Soho a DIDer: Viry a neviry...

Čert nikdy nespí a autoři virů také ne! Mezi uživateli tak počátkem roku 2002 vesele koluje trojský kůň DIDer a i-worm Soho. Co všechno dovedou a jak jsou nebezpeční...?

Mnoho uživatelů si vůbec a nebo jen velmi málo uvědomuje nebezpečí, které pro jeho počítačový systém může znamenat napadení trojským koněm, tj. programovým kódem umožňujícím odesílání citlivých informací z napadeného počítače a jeho případné otevření dalším, mnohdy ničivějším útokům. Trojský kůň DIDer spatřil světlo světa již v závěru minulého roku. Původně byl vyvinut divizí NetUProfits společnosti Strategic Advertising Services, a to jako součást on-line loterijní hry ClickTillUWin. Zde měl za úkol sledovat účinnost zobrazované reklamy. Ačkoliv se nejedná o virus v pravém smyslu slova a nebezpečnost se zatím nezdá býti příliš vysoká, je třeba míti se napozoru. Tento trojský kůň je obsažen v klientech výměnných systémů Grokster, Limewire Gnutella, KaZaA a také v některých dalších aplikacích.

Trojského koně DIDer tvoří dvě komponenty. Jeho hlavní částí je soubor Explorer.exe, který je uložen do podadresáře Windows\Explorer\. Hlavní komponenta je stahována a upgradována pomocí druhé utility, která je obsažena v souboru DlDer.exe, uložené v hlavním adresáři Windows. Když je soubor DlDer.exe po instalaci všech součástí softwaru, se kterým je distribuován, spuštěn, stáhne z webu soubor Explorer.exe a uloží jej do výše zmíněného podadresáře. Následně vytvoří v systémových registrech klíč, který zajistí jeho spuštění při startu systému. Při příštím startu systému je Explorer.exe aktivován a vytvoří podobný klíč v registrech pro soubor DIDer.exe - tyto komponenty se aktivují navzájem. Poté se připojí na server 2001-007.com, kam předává informace o uživatelově ID, IP adrese, internetovém prohlížeči a webech, které navštěvuje. Nelze však vyloučit skutečnost, že může v systému otevírat potenciálně zneužitelnou bezpečnostní díru. Činnosti tohoto trojského koně lze zabránit poměrně snadno - lze jej ze systému odstranit jednoduchým vymazáním jeho uvedených komponent a provedením restartu systému.

Zhruba ve stejném čase jako trojský kůň DIDer se objevil na internetu nový virus typu I-Worm – Soho, který antivirové programy detekují také jako I-Worm.Welyah, W32.Shoho@MM, W32/Welyah.A@mm nebo W32/Shoho@MM. Shoho je klasický e-mailový červ, který se šíří v příloze infikované zprávy elektronické pošty. Z nakaženého počítače odesílá nebo maže některé soubory. Červ je soubor typu PE EXE o velikosti asi 108 kB, napsaný ve Visual Basicu a jeho kód není komprimován ani šifrován. Infikovaný e-mail je v HTML formátu a využívá bezpečnostní díru, která dovoluje na „nezáplatovaném“ systému spustit nebezpečný kód již při pouhém otevření zprávy. Pokud je červ spuštěn, zkopíruje do systémového adresáře Windows soubor WINL0G0N.EXE a vytvoří následující položky v systémových registrech:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run WINL0G0N.EXE = \WINL0G0N.EXE HKLM\Software\Microsoft\Windows\CurrentVersion\Run WINL0G0N.EXE = \WINL0G0N.EXE

K rozesílání používá přímého napojení na SMTP server, který zjistí ze systémového registru, nebo použije svůj vlastní – tj. 210.177.111.18. E-mailové adresy červ získá ze souborů typu: .eml, .wab, .dbx, .mbx, .xls, .xlt, .mdb. Rozesílaná zpráva elektronické pošty obsahuje následující údaje:

Předmět: Welcome to Yahoo! Mail
Text: Welcome to Yahoo! Mail
Příloha: readme.txt .pif

Červ ukládá e-mailové adresy, na které se odeslal, do souboru emailinfo.txt a svůj kód uchovává v souboru email.txt. Pokud na lokálním disku najde soubory tree.dat, smdata.dat, hosts.dat nebo sm.dat, odešle je na FTP server ftphd.pchome.com.tw, a to uživatelům „shit0918“, „shit530“, „shiu58“, „shoho2“ a „shoo2206“. Pozor – tento červ disponuje destrukční rutinou, která maže všechny soubory v aktuálním adresáři a po restartu i v adresáři Windows.