Je až s podivem, kolik virů dokáže relativně úspěšně žít z jedné chyby v počítačovém software, k níž je již dokonce k dispozici záplata. Řeč je v tomto případě o chybě známé jako přetečení zásobníku v LSASS, na níž vydala společnost Microsoft záplatu MS04-11 již před téměř dvěma měsíci. První a nejúspěšnější zneužití této chyby bylo v režii různých variant počítačového červa Sasser.
Počítače napadané Sasserem se pak snažil ukořistit Dabber, který k šíření využívat právě přítomnost zmíněného červa. V poslední době to byly červy Stdbot, Bobax či Korgo. K zastavení šíření takových virů by přitom stačilo, aby měl každý svůj počítač aktuálně záplatovaný. Pokud jste si tedy doposud počítač nezáplatovali nejnovějšími opravami, učiňte tak okamžitě.
Poslední zmíněný se měl zatím nejvíce k světu, u jeho varianty Korgo.F (také Padobot.E) musela dokonce společnost Symantec zvýšit označení úrovně rizika.
Tento vir nepotřebuje ke svému šíření e-mail a byť i nepatrnou spolupráci uživatele, neboť se právě v důsledku chyby LSASS může po lokální síti a internetu šířit sám. V důsledku toho napadá systémy Windows 2000 a Windows XP, ale může být spuštěn i na starších verzích OS Windows..
Co červ dělá V případě, že se Korgovi.F podaří proniknout na nezáplatovaný systém, zapíše do „spouštěcího“ registru odkaz na sebe. Ten mu zaručí, že se při každém zapnutí počítače bude moci aktivovat. V tom samém registru pak odstraní odkazy na jiné červy, takže ty se tímto způsobem nebudou moci dále spouštět. V určitých případech se také vloží jako adresáře System, kde jej lze objevit jako spustitelný *.EXE soubor s náhodným názvem. Korgo se také snaží připojit k běžnému programu OS Windows Explorer.exe. Pokud se mu to podaří má zajištěn další způsob aktivace, která je navíc nenápadná. V opačném případě se spouští jako samostatný proces. Pokud je červ v běhu pokouší se otevřít porty 113, 3067 a další, kterými může do systému proniknout útočník. Na těchto portech také čeká na zprávu, která mu umožní odeslat svou kopii na další počítač. Pro další šíření vyzkouší náhodnou IP adresu vzdáleného počítače, aby se pokusil přes port 445 zneužít případně nezáplatované chyby v LSASS. Bylo také zjištěno, že si červ „chodí“ pro další příkazy na některou z následujících adres :
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
gaz-prom.ru
graz.at.eu.undernet.org
irc.tsk.ru
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
moscow-advocat.ru
washington.dc.us.undernet.org V případě, že červ úspěšně napadl systém a připravuje se na další šíření, pokouší se zmezit počítači ve vypínání či rebootu. Pokud chcete virové nákaze předejít, musíte dodržovat určitá pravidla. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší opatrnosti neobejdete. Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.
