Kolorowe robaki

O ile typowe wirusy, z racji małych rozmiarów nie mogły zawierać grafiki z prawdziwego zdarzenia, to trojany, udające zwykłe aplikacje, mogą z powodzeniem zawierać dużo grafiki.

O ile typowe wirusy, z racji małych rozmiarów nie mogły zawierać grafiki z prawdziwego zdarzenia, to trojany, udające zwykłe aplikacje, mogą z powodzeniem zawierać dużo grafiki.

Feliz To nie wirus, tylko typowy koń trojański. Po uruchomieniu programu wyświetlane jest okno z życzeniami noworocznymi. Po naciśnięciu przycisku Exit wyświetlanych jest kilka kolejnych okien, zawierających różnorakie przestrogi przed używaniem niesprawdzonych programów. Na zakończenie pojawia się jeszcze jedno okno, ponownie z życzeniami noworocznymi. Niestety, w tym czasie Feliz usuwa kilka ważnych plików systemowych (m.in. command.com), co powoduje, że system przestaje działać po najbliższym restarcie. Jedynym wyjściem z sytuacji jest ponowna instalacja Windows (dane z innych programów i dokumentów są zachowane).

Plage Znany także jako Plage 2000, P2000, I-Worm. Po raz pierwszy pojawił się na stronach WWW, wkrótce rozprzestrzenił się na wiele krajów. Program jest robakiem internetowym, rozmnażającym się przez pocztę e-mail. Ikona pliku zawierającego robaka jest identyczna z ikonami plików ZIP tworzonymi przez WinZipa. Plage próbuje w ten sposób podszywać się pod pliki ZIP. Twórcy oczekiwali zapewne, iż taki wygląd może sprowokować częstsze próby otwarcia pliku - i w konsekwencji uruchomienie robaka.

Po uruchomieniu Plage zapisuje swój kod jako plik INETD.EXE w folderze Windows. Robak modyfikuje także pliki WIN.INI i Rejestr Windows - dzięki temu jest automatycznie uruchamiany podczas każdego startu systemu.

Plage nadzoruje przychodzącą pocztę i wyszukuje listy, na które użytkownik nie udzielił odpowiedzi. Wtedy robak automatycznie wysyła własną odpowiedź, podobną do tych, które są przez wiele osób używane w funkcji auto-reply.

I'll try to reply as soon as possible. Take a look to the attachment and send me your opinion! Get your FREE P2000 Mail now! Do każdego takiego listu dołączany jest oczywiście plik zawierający robaka. Może mieć kilka różnych nazw (pics.exe, images.exe,joke.exe, PsPGame.exe, news_doc.exe, hamster.exe, tamagotxi.exe, searchURL.exe, SETUP.EXE, Card.EXE, billgt.exe, midsong.exe, s3msong.exe, docs.exe, humor.exe, fun.exe).

Po uruchomieniu pliku z robakiem wyświetlane jest okno przypominające okno dialogowe pojawiające się przy uruchomieniu samo rozpakowującego się pliku ZIP. Jeśli użytkownik kliknie przycisk rozpoczynający "dekompresję", po chwili wyświetli się komunikat o błędzie. Jest fałszywy i ma na celu ukrycie działalności robaka, który instaluje się w systemie niezależnie od działań użytkownika.

Raz zainstalowany wirus sprawdza datę i godzinę, wyświetlając w środy zaraz po północy (według niektórych źródeł - o 2.00) okno dialogowe z rysunkiem i napisem:

Fight against the plage of inhumanity. This is Plage 2000 coded by Bumblebee/29a. Wykorzysty-wane są przy tym pewne kontrolki (pochodzące z pakietów Borlanda), które nie występują we wszystkich systemach i wówczas okno nie wyświetla się.

Jak dotąd nie wiadomo nic o procedurach niszczących zasoby systemu, których może użyć Plage - mogą jednak pojawić się nowe mutacje korzystające z jego szerokich możliwości rozprzestrzeniania. Ostatnia znana wersja Plage zawiera błąd w procedurze rozsyłania listów i zdarza się, że zainfekowane listy nie docierają do wszystkich potencjalnych adresatów.

Kill98 Oto przykład na to, że nie warto kupować nielegalnego oprogramowania. Koń trojański Kill98 pojawił się na nielegalnych płytach z systemem Windows98. Jest ukryty w dodatkowym pliku INSTALAR.EXE. Po uruchomieniu Kill98 dokonuje zmian w folderze systemowym, m.in. zmienia rodzaj klawiatury na hiszpańską. Jeśli data w komputerze przekroczyła 1 stycznia roku 2000, Kill98 uruchamia procedurę niszczącą - próbuje usunąć wszystkie pliki z dysku C:.

Zelu Oto jeszcze jeden przykład zagrożeń związanych z rokiem 2000. Zelu ukryty jest w pliku Y2K.EXE, fałszywym sprawdzianie zgodności z rokiem 2000. Po uruchomieniu, program wyświetla fałszywe komunikaty o sprawdzaniu kolejnych plików dysku. W rzeczywistości są usuwane. O prawdziwej naturze uruchomionego programu użytkownik dowiaduje się dopiero pod koniec działania programu, kiedy to system operacyjny jest już zniszczony, a większości danych na dyskach nie ma.

LoveSong To zagrożenie jest typowym wirusem, zamieszkującym niewykorzystane miejsce w plikach wykonywalnych. Pochodzi z Korei i wyróżnia się tym, że po 16 lutego 2000 (oprócz 30 dnia każdego miesiąca), gdy spełnione są różne dodatkowe warunki, odgrywa za pomocą zwykłego głośnika komputera krótką melodię. Dodatkowo wirus zawiera w sobie tekst "love" - stąd też pochodzi jego nazwa. Jak dotąd, nie wiadomo nic o procedurach niszczących uruchamianych przez LoveSong. Wirus ten wykorzystuje jednak podobne mechanizmy, jak niesławny i groźny wirus CIH, co każe obawiać się niebezpieczeństw, jeśli nie w tej, to w następnych wersjach LoveSong.

Więcej informacji na stronach:

www.mks.com.pl

www.symantec.com/avcenter

www.mcaffee.com


Zobacz również