Hlavní navigace

Hloupé viry a hloupí uživatelé

29. 11. 2001
Doba čtení: 3 minuty

Sdílet

Badtrans.B neslaví takové úspěchy jako předchozí červi, přesto se ještě najde několik nepoučitelných lidí, kterým se v počítači uhnízdil. A přitom je to velmi jednoduchý vir, kterému se lze snadno bránit. Své zásluhy na úspěšném tažení emailových červů si mohou připsat i správci mailserverů a počítačových sítí. K uživateli by se tento typ viru neměl ani dostat.

Průběh je vždycky stejný: Jednoho dne někdo vypustí do světa vir, který se šíří prostřednictvím Microsoft Outlooku a Microsoft Internet Exploreru. Během pár hodin je připraven antivir, ale to už je zachvácena skoro celá síť. Po několika týdnech nebo měsících se totéž opakuje. Tentýž způsob, tytéž oběti.

W32.Badtrans.B@mm se vrací

Objevil se v pátek ve Velké Británii. Chová se jako červ, šíří se prostřednictvím příloh (různých jmen, velikosti 29.020 bytů) elektronických dopisů, využívá známé chyby v MS Outlooku a MS IE 5.0 a 5.5 v operačních systémech Microsoft Widows. Není třeba ho spouštět, aktivuje se při otevření emailu. Jako první akci nahraje do adresářové struktury hostitele dynamickou knihovnu.

C:\Windows\System\Kdll.dll

Vzápětí infikuje soubor KERNEL32.EXE v témže adresáři. Následně se zaregistruje ve Windows Registry.

HKEY_LOCAL_MACHINE\Software\
   Microsoft\Windows\
   CurrentVersion\RunOnce
   Kernel32 = kernel32.exe

Podle Symantecu nezpůsobuje okamžité škody (na stupnici nebezpečnosti je ohodnocen 20 procenty), „pouze“ zaznamenává uživatelské vstupy (odposlouchává klávesnici) a odesílá na jednu ze svých adres uživatelem zadaná hesla. Je to tedy vir-červ (worm) z rodu trojských koňů. Tento vir může například být použit k získání tajných přístupových hesel nebo pro zneužití platebních karet.

Než jsem začal psát článek, požádal jsem kolegu Tomáše Filípka, který spravuje Antivirovou stránku na Slunečnici, aby mi kopii viru zaslal. Nechal jsem svůj počítač dobrovolně infikovat a vše se skutečně odehrálo zcela automaticky. Dokonce jsem při té příležitosti pravděpodobně odhalil další projev viru: z ničeho nic nešlo napsat písmeno ť, ď nebo ň, pro která neexistuje klávesa, ale musí se skládat. kdykoli po stisknutí klávesy s háčkem [ˇ] se hned vypsaly dva háčky. Odstranění viru je jednoduché. Stačí smazat soubory Kdll.dll, Kernel32.exe a z dočasných souborů poštovního klienta i infikovaný email, na závěr ještě v programu RegEdit odstranit záznam z registry a je po viru.

Na poštu jen s ochranou

Podobný scénář se opakuje každé dva tři měsíce, přitom ochrana je víc než jednoduchá. Vyžaduje trochu sebekázně od uživatelů emailu, trochu prozřetelnosti od majitele počítače a důslednost od správců mailserverů. Právě díky správcům mailserverů se totiž podařilo řádění Batrans.B výrazně omezit.

Čtenáři emailů – Ačkoli se zdá, že nemohli v tomto případě udělat více pro ochranu proti viru, přesto stačí neotvírat podezřelé emaily, nesnižovat zbytečně zabezpečení aplikací, a hlavně okamžitě hlásit podezřelé chování správci počítače. Naprosto zbytečné je rozesílání hromadných emailů s informacemi o viru.

Majitelé počítačů – Určitě by měli vybírat aplikace tak, aby co nejvíce omezili řádění virů. Místo Outlooku lze používat i jiné poštovní programy, místo Exploreru třeba Mozillu nebo Operu. Místo Windows třeba MacOS nebo Linux. Přesto, i když je někdo „nucen“ používat Outlook a Explorer, měl by je pravidelně obnovovat (alespoň jednou za čtvrt roku) a určitě by měl investovat do osobního antiviru a firewallu. Antiviry nyní obvykle mohou obnovovat svou databázi popisu virů online, a tak stačí strpět jednou za čtrnáct dní nebo za týden při startu systému minutové zdržení při automatické obnově databáze.

Křisťálová Lupa 24 hlasovani

Správci mailserverů – V tomto případě jim zbývá jediné: antivir nainstalovat na mailserver. Druhou možností je filtrování příchozí pošty, která obsahuje v přílohách spustitelné soubory a v těle skripty nebo iframe. Pokud odesilatel odfiltrované zprávy dostane zprávu, že dopis nebyl přijat z bezpečnostních důvodů, určitě to nebude moci považovat za neoprávněný zásah. V mnoha nadnárodních společnostech takto servery poštu již filtrují. K podobnému kroku by měli přistoupit i správci malých sítí, administrátoři webhostingových společností a ISP.

Nedělám si iluze, že v lednu, nejpozději v únoru bude Internet opět zachvácen nějakým emailovým červem. Jsem si ale naprosto jist tím, že podruhé už nenaletím na stejný trik. A co vy a váš mailserver?

Napadl vás v roce 2001 počítačový vir šířený emailem?

Autor článku

Autor se zabývá výkonovým marketingem na internetu. Pracoval pro Advertures, Dobrý web a Outrider. Martin byl dříve redaktorem Lupy a dalších periodik o IT.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).