Virusi i „trojanci” koji se šire preko e-maila

Šta sve može da vas zadesi ako pokrenete programe koji su stigli elektronskom poštom

Tokom januara pojavilo se nešto neobično: i preko maila i na news grupama počele su da se pojavljuju poruke sa fajlom happy99, a ako ste pokrenuli taj program videli ste nešto nalik slici uz ovaj tekst – simpatično realizovan vatromet uz poruku „Srećna Nova godina”.

Vrlo brzo misterija je razrešena. Radilo se o „trojancu” ili još tačnije Internet crvu (Internet Worm). Pokretanjem pomenutog vatrometa pokreće se i deo koji zameni originalni winsock32.dll svojim i koji sa svakom e-mail i news porukom šalje, na istu adresu, još jednu koja ima u hederu „X-Spanska: Yes”, nema „To:” polje, a u atečmentu je sam virus.

AVP sa definicijama posle 20. februara otkriva ovaj virus i uspešno ga uklanja.

Pomenuti virus širio se po računarima u Americi zapanjujućom brzinom, po rečima Dana Taake iz Data Fellows Inc. (autora popularnog paketa f-prot): „Danima već stiže oko 20 do 30 fajlova dnevno”. Crv je pušten na Usenet i od prethodnog meseca oko 4 500 poruka dnevno stiže sa „hepijem”...

Happy je najpoznatija i najraširenija pojava, evo još nekoliko virusa ili „virusa” koji vas mogu sačekati na mreži:

PolyPoster preuzima dokumente i šalje ih na news. U pitanju je makro virus koji se prenosi MS Wordovim dokumentima i pokušava da ih pošalje na različite news grupe uključujući alt.binaries.cracks, alt.conspiracy, alt.hacker... i to sa nekim od naslova poruke sa sledećeg spiska: Easy Money!, Learn to hack!, New Virus Alert!, Serial Number List!

Sama poruka izgleda kao da ju je pravi korisnik poslao iz Forte Agent newsreadera a sadržaj poruke je sledeći: JZ/Ntrag ol Ybeq Angnf, što je u stvari „WM/Agent by Lord Natas” kriptovano ROT-13 sistemom. Poruka ima i kompletan username i potpis. Vrhunac je to što su i poslati fajlovi zaraženi, tako da i onaj ko ih pogleda u Wordu dobija virus. WM/PolyPoster može da „radi” samo ako je instaliran Forte Agent.

URLSNOOP, poznat kao Picture.EXE, širi se preko spam poruka. Kada se pokrene atečment zaražen ovim virusom on proverava diskove i zapisuje u fajl $2321.dat spisak svih fajlova. Prilikom sledećeg startovanja pravi spisak URL-ova iz direktorijuma C:\Windows\Temporary Internet Files i zapisuje u drugi fajl $4135.dat. Ukoliko je intstaliran AOL klijent pokupiće i šifru za pristup ovom sistemu. Prilikom trećeg startovanja program će pokušati da pošalje $2321.dat i $4135.dat na email adresu sa domenom u Kini.

Još jedan u nizu Internet virusa je Marker ili HSFX. U pitanju je MS Word makro virus koji skuplja inforamcije o korisniku iz Worda i onda koristi FTP da bi ih poslao preko Interneta. Log smešta u fajl c:\netldv.vxd, koji potom šalje na codebreakers.org a sadrži informacije o sistemskom vremenu, datumu, korisnicima i adresama.

Caligula je takođe MS Word macro virus koji pokušava da naruši zaštitu koju pruža PGP (Pretty Good Privacy). Virus se širi tako što svoj kod drži u fajlu c:\io.vxd. Wordov summary information inficiranog dokumenta sadrži stavke navedene u posebnom prozoru.

Virus locira ključ pgp-a (secring.skr) i pokušava da ga prebaci FTP-om na codebreakers.org. Da bi poslao fajl kreira privremeni fajl c:\cdbrk.vxd. PGP koristi sistem javnih i tajnih ključeva, tako da sam po sebi fajl nije dovoljan da bi se zloupotrebila privatnost, ali kako većina korisnika koristi jednostavne šifre, čak i metodi grube sile daju dobre rezultate.

I za kraj, specijalitet. Vi se čuvate, skidate antivirusne programe na vreme, ali ste zato instalirali MS Excel. Ruska nova godina, rupa u sigurnosti Excela. Ranjivost Excela je u vezi sa Call funkcijom, koja omogućava napadaču da pošalje email ili da napravi Web stranicu, tako da kada joj se pristupi Excel automatski se pokreće i koristi da bi se pokrenuo neki određeni program. Ovo omogućava napadaču da uradi maltene bilo šta na ciljnoj mašini.

Ovaj način napada još uvek nije uzeo maha, ali postoji mogućnost da bi neki maliciozni haker lako mogao da iskoristi ovaj metod da nanese zla na ciljnoj mašini. „Microsoft„ je ovo rešio izdajući patch za Excel 97, koji jednostavno eliminiše ovu funkciju. Za Excel 95 još uvek nema nikakve zaštite.

Naravno, tu je i nebrojeno mnogo „trojanaca” koji stižu pod imenima najnovijih zakrpa ili programa i to direktno od proizvođača, najčešće Microsofta. Zakrpe i dodatke za takve vrste preuzimajte samo sa sajtova proizvođača. BadSector poznat i kao Snake distribuiran je kao update za Explorer. Kada se instalira virus šalje e-mailove svuda po svetu.

• • •

Priključivanje na Mrežu pored ogromnih prednosti koje pruža zahteva sve veću odgovornost. Redovno preuzimanje najnovijih definicija za antivirusne programe, praćenje zakrpa za poznate čitače i opreznost kod preuzimanja i instaliranja softvera zaštitiće vas od neprijatnih situacija. Što bi se reklo: pamet u glavu – antivirus u StartUp.

Antivirusni programi, kao i njihove definicije, mogu se preuzeti sa adresa www.avp.com, www.mcafee.com i www.symantec.com.

Damjan PELEMIŠ