Untitled - Vitajte na stránkach www.einsty.hostujem.sk
Untitled - Vitajte na stránkach www.einsty.hostujem.sk
Untitled - Vitajte na stránkach www.einsty.hostujem.sk
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
S E R V I S<br />
A tu je ešte zopár mojich a Petrových a<strong>na</strong>lýz.<br />
WIN32/ANSET. Je to èerv <strong>na</strong>písaný v Delphi a <strong>sk</strong>omprimovaný utilitou UPX. Šíri sa<br />
ako správa elektronickej pošty s predmetom ANTS Version 3.0, v prílohe ktorej sa <strong>na</strong>chádza<br />
súbor ants3set.exe. V tele správy je text v nemèine a angliètine:<br />
Hi,<br />
Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen<br />
kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei<br />
ausführen.<br />
Attached you will find the brand new Version 3.0 of ANTS, the unique<br />
freeware trojan scanner. To install ANTS simply run the attached setup<br />
file.<br />
Adieu, Andreas<br />
webmaster@avnetwork.de<br />
http://<strong>www</strong>.ants-online.de<br />
Text správy oz<strong>na</strong>muje, že súbor v prílohe je nová verzia freeware <strong>sk</strong>enera <strong>na</strong> trójany<br />
ANTS. Táto správa môže dôverèivých prinúti spusti zo zvedavosti priložený súbor. Na<br />
základe rozšírenia èerva v nemecky hovoriacich krajinách je to podarený pokus o využitie<br />
sociálneho inžinierstva. Na stránkach <strong>www</strong>.ants-online.de sa však uvádza, že ANTS 3.0<br />
nebude uvedený <strong>sk</strong>ôr ako vo februári alebo marci 2002.<br />
Po spustení súboru v prílohe sa èerv aktivuje. Skopíruje sa pod náhodným menom do<br />
adresára, v ktorom je <strong>na</strong>inštalovaný operaèný systém Windows. V registri systému v<br />
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce vytvorí<br />
k¾úè, pomocou ktorého sa èerv aktivuje pri <strong>na</strong>sledujúcom reštarte systému.<br />
Èerv zí<strong>sk</strong>ava adresy <strong>na</strong> svoje šírenie z adresára poštového klienta Outlook a<br />
preh¾adávaním súborov s prípo<strong>na</strong>mi php, htm, html, shtm, shtml, cgi a pl <strong>na</strong> di<strong>sk</strong>u C:.<br />
Ak je poèítaè pripojený <strong>na</strong> internet, èerv sa pokúša šíri . Najprv vytvorí svoju kópiu v<br />
koreòovom adresári <strong>na</strong> di<strong>sk</strong>u C: s názvom ants3set.exe. Èerv posiela svoju kópiu prostredníctvom<br />
SMTP protokolu bez spoliehania sa <strong>na</strong> operaèný systém. Na to používa<br />
server, ktorý je <strong>na</strong>konfigurovaný <strong>na</strong> <strong>na</strong>padnutom poèítaèi, prípadne jeden z <strong>na</strong>sledujúcich<br />
relay serverov:<br />
200.52.69.2<br />
200.52.69.9<br />
193.92.94.226<br />
12.34.208.35<br />
195.229.189.2<br />
toad.com<br />
196.40.0.82<br />
196.40.0.90<br />
V políèku Slepá kópia (BCC:) sú uvedené ïalšie adresy, <strong>na</strong> ktoré sa èerv rozposlal. Po<br />
zabezpeèení šírenia je súbor ants3set.exe vymazaný. Existuje viacero variantov tohto<br />
èerva.<br />
WIN32/NIMDA.E. Na rozdiel od predošlých variantov (Nimda B, C, D), ktoré sa<br />
líšili len použitím rozlièných metód komprimácie, táto je nekomprimovaná a mierne zmenený<br />
je kód èerva. V tele sa <strong>na</strong>chádza text:<br />
Concept Virus(CV) V.6, Copyright(C)2001, (This’s CV, No Nimda.)<br />
Príloha má názov sample.exe. Èerv oproti starej verzii má zmenené aj niektoré mená<br />
vytváraných súborov (<strong>na</strong>pr. httpodbc.dll <strong>na</strong>miesto admin.dll). Lieèenie je zahrnuté do systému<br />
NOD32 od verzie 1.121.<br />
Záplata, ktorá odstraòuje bezpeènostnú dieru v Internet Exploreri, využívanú týmto<br />
èervom, je <strong>na</strong>: <strong>www</strong>.microsoft.com/windows/ie/downloads/critical/q290108/default.asp.<br />
VBS/VBSWG.L. Ide o script vírus vo Visual Basic Scripte (VBS), vytvorený pomocou<br />
generátora VBSWG. Šíri sa ako správa elektronickej pošty, ktorej predmet je: Antrax Info.<br />
V texte správy sa <strong>na</strong>chádza text v španielèine:<br />
si no sabes que es el antrax o cuales son sus efectos aqui te mando u<strong>na</strong> foto<br />
para que veas los efectos que tiene<br />
Nota: la foto esta un poco fuerte.<br />
Èo v preklade z<strong>na</strong>mená:<br />
ak nevieš, èo je antrax alebo aké sú jeho efekty, tu ti posielam jednu fotku, aby si to videl.<br />
Poznámka: fotka je pre silné nervy<br />
Prílohu tvorí súbor antraxinfo.vbs, ktorý obsahuje telo èerva. Èerv modifikuje súbory:<br />
mirc.ini a events.ini, aby sa mohol šíri pomocou IRC klientov. Takisto prechádza sie ové<br />
di<strong>sk</strong>y a všetky nájdené súbory VBS a VBE prepíše svojím telom.<br />
Položku v registroch HKCU\software\Antrax\mailed používa <strong>na</strong> poz<strong>na</strong>èenie vyko<strong>na</strong>ného<br />
rozoslania svojho tela. Ak sa v nej ne<strong>na</strong>chádza jednotka, vytvorí spomenutý e-mail<br />
a rozošle ho <strong>na</strong> všetky adresy v adresári. Obdobne je to aj s IRC klientmi.<br />
Telo èerva sa zaèí<strong>na</strong> re azcom Vbs.Antrax Created By wAsEk a konèí re azcom Vbswg<br />
1.0. [K]Alamar.<br />
26. januára zobrazí <strong>na</strong>sledujúce okno:<br />
Dos bolo antraxového šialenstva, prajem<br />
vám, aby ste mali veselé Vianoce, veï humor<br />
je jed<strong>na</strong> z posledných radostných vecí <strong>na</strong><br />
tomto svete. A do vírenia v novom roku.<br />
Miroslav Trnka<br />
12/2001 PC REVUE 135