Průběh je vždycky stejný: Jednoho dne někdo vypustí do světa vir, který se šíří prostřednictvím Microsoft Outlooku a Microsoft Internet Exploreru. Během pár hodin je připraven antivir, ale to už je zachvácena skoro celá síť. Po několika týdnech nebo měsících se totéž opakuje. Tentýž způsob, tytéž oběti.
W32.Badtrans.B@mm se vrací
Objevil se v pátek ve Velké Británii. Chová se jako červ, šíří se prostřednictvím příloh (různých jmen, velikosti 29.020 bytů) elektronických dopisů, využívá známé chyby v MS Outlooku a MS IE 5.0 a 5.5 v operačních systémech Microsoft Widows. Není třeba ho spouštět, aktivuje se při otevření emailu. Jako první akci nahraje do adresářové struktury hostitele dynamickou knihovnu.
C:\Windows\System\Kdll.dll
Vzápětí infikuje soubor KERNEL32.EXE
v témže adresáři. Následně se zaregistruje ve Windows Registry.
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\ CurrentVersion\RunOnce Kernel32 = kernel32.exe
Podle Symantecu nezpůsobuje okamžité škody (na stupnici nebezpečnosti je ohodnocen 20 procenty), „pouze“ zaznamenává uživatelské vstupy (odposlouchává klávesnici) a odesílá na jednu ze svých adres uživatelem zadaná hesla. Je to tedy vir-červ (worm) z rodu trojských koňů. Tento vir může například být použit k získání tajných přístupových hesel nebo pro zneužití platebních karet.
Než jsem začal psát článek, požádal jsem kolegu Tomáše Filípka, který spravuje Antivirovou stránku na Slunečnici, aby mi kopii viru zaslal. Nechal jsem svůj počítač dobrovolně infikovat a vše se skutečně odehrálo zcela automaticky. Dokonce jsem při té příležitosti pravděpodobně odhalil další projev viru: z ničeho nic nešlo napsat písmeno ť, ď nebo ň, pro která neexistuje klávesa, ale musí se skládat. kdykoli po stisknutí klávesy s háčkem [ˇ] se hned vypsaly dva háčky. Odstranění viru je jednoduché. Stačí smazat soubory Kdll.dll
, Kernel32.exe
a z dočasných souborů poštovního klienta i infikovaný email, na závěr ještě v programu RegEdit
odstranit záznam z registry a je po viru.
Na poštu jen s ochranou
Podobný scénář se opakuje každé dva tři měsíce, přitom ochrana je víc než jednoduchá. Vyžaduje trochu sebekázně od uživatelů emailu, trochu prozřetelnosti od majitele počítače a důslednost od správců mailserverů. Právě díky správcům mailserverů se totiž podařilo řádění Batrans.B
výrazně omezit.
Čtenáři emailů – Ačkoli se zdá, že nemohli v tomto případě udělat více pro ochranu proti viru, přesto stačí neotvírat podezřelé emaily, nesnižovat zbytečně zabezpečení aplikací, a hlavně okamžitě hlásit podezřelé chování správci počítače. Naprosto zbytečné je rozesílání hromadných emailů s informacemi o viru.
Majitelé počítačů – Určitě by měli vybírat aplikace tak, aby co nejvíce omezili řádění virů. Místo Outlooku lze používat i jiné poštovní programy, místo Exploreru třeba Mozillu nebo Operu. Místo Windows třeba MacOS nebo Linux. Přesto, i když je někdo „nucen“ používat Outlook a Explorer, měl by je pravidelně obnovovat (alespoň jednou za čtvrt roku) a určitě by měl investovat do osobního antiviru a firewallu. Antiviry nyní obvykle mohou obnovovat svou databázi popisu virů online, a tak stačí strpět jednou za čtrnáct dní nebo za týden při startu systému minutové zdržení při automatické obnově databáze.
Správci mailserverů – V tomto případě jim zbývá jediné: antivir nainstalovat na mailserver. Druhou možností je filtrování příchozí pošty, která obsahuje v přílohách spustitelné soubory a v těle skripty nebo iframe. Pokud odesilatel odfiltrované zprávy dostane zprávu, že dopis nebyl přijat z bezpečnostních důvodů, určitě to nebude moci považovat za neoprávněný zásah. V mnoha nadnárodních společnostech takto servery poštu již filtrují. K podobnému kroku by měli přistoupit i správci malých sítí, administrátoři webhostingových společností a ISP.
Nedělám si iluze, že v lednu, nejpozději v únoru bude Internet opět zachvácen nějakým emailovým červem. Jsem si ale naprosto jist tím, že podruhé už nenaletím na stejný trik. A co vy a váš mailserver?