Egy trojai falo termeszetrajza

Banhegyi Zsolt zsolt at VAX.MTAK.HU
2001. Ápr. 28., Szo, 09:51:50 CEST 

Kedves kollegak!

Most latom, hogy Horvath Sandor Domonkos mar tegnap a Vbuster alapjan
leirta a most galibat okozo virust. Megis - az atfedesek ellenere -
elkuldom a sajat tapasztalatomat osszefoglalo levelemet, talan nem
art -:)).

Ugy latom, tobben fertozodtunk egy Katalistra kuldott leveltol, ill.
az abban terjedo alig egyhonapos gonosz virustol. Annak ellenere,
hogy egy eleg potens viruskereso reggelente atnezi a gepem.
(Persze a virusok delutan szoktak tamadni...) Es hat, a virusellenorzo
egyebkent sem erzekelte a vadonatuj virust. Az elso tanulsag maris
adodik: mindig frissiteni kell a viruskeresot.

Az ominozus virus abbol a tipusbol valo, amit szemleletesen
trojai falonak (Trojan horse) neveznek. Es baromi kellemetlen. A
levelezo rendszer cimlistajabol cimeket halasz ki es regebbi
leveleket, levelfoszlanyokat veletlenszeruen elkuld ezekre a
cimekre. Egy igen jeles kolleganak peldaul, akivel magasroptu
konyvtari szakkerdesekrol szoktunk levelet valtani, egy holgyhoz
irott, honapokkal ezelott keletkezett bizalmas termeszetu
levelemet tovabbitotta. Ahogy ezt a tenyt a kollega telefonon
kozolte velem, rogvest gyongyozni kezdett a homlokom. A
sulyosbito korulmeny az, hogy a Sent Items rovatban termeszetesen
semmilyen beiras nem keletkezik, ugyhogy nem tudja az ember, hova
ment level. Elnezest azoktol, akiket erintett, megha az ember nem
is tehet rola. Valas Gyuri mar irta, hogy ne nyissunk ki kettos
kiterjesztesu, subject nelkuli anyagot. De hat...sokszor ez nem
is latszik es a specifikaciobol alabb kiderul, hogy a fereg
magatol generalhat subject-sort. Lenyeg, hogy le kell kapcsolodni
a Halorol, amig ki nincs irtva a virus.

Kimentem egy kicsit tajekozodni es a Symantec honlapjan
(www.symantec.com) megkerestem a kerdeses virust. A
'w32.magistr.24876 at mm' eleg ronda, az emailes fergek kozul valo
(marmint amelyek az email utjan terjednek). Sot, abban meg
modernebb - hiszen az emailes virus is ujnak szamit -, hogy
"virul" a halozatban. A Windows futtathato fajljait (PE) fertozi
meg, kiveve a .dll rendszerfajlokat. Email uzeneteket kuld az
Outlook mail-folderekbol (dbx, mbx) kiszedett cimekre, a Netscape
elkuldott levelek (Sent Items) fajlbol, ill. a Windows cimtarabol
(.wab) Lehet persze attachmentje es veletlenszeruen generalt
subject-je, valamint uzenet resze. (Mas nevei: PE_MAGISTR.A es
W32.Magistr at mm) 2001. marcius 13-an keszitettek.

-------------------------------

***WARNING: Innentol erosen technikai jellegu leiras kovetkezik***

A kovetkezokben osszefoglalo technikai leirast adok errol a virusrol
PETER FERRIE altal a Symantec honlapjan kozzetett specifikaciobol.

A virussal fertozott fajl futtataskor olvashato, irhato inicializalt
szakaszt keres az Explorer.exe memoriateruleten belul. Ha talal ilyet,
berak egy 110 bajtnyi rutint es a TranslateMessage-funkciot erre a
rutinra kapcsolja. Ha a berakott kod felulkerekedik, egy szal (thread)
keletkezik es az eredeti Translate Message-funkciot hivja meg. A szal
harom percig var mielott aktivizalodna. Aztan a virus atveszi a
komputer nevet, atkonvertalja egy base64 stringre, es a nev elso
karakteretol fuggoen keszit egy fajlt vagy a \Windows-folderben, a
\Program Files- folderben vagy a root-folderben. Ebben a fajlban van
valami informacio, pl. az email-cimtarak lelohelye, es a fertozodes
kezdetenek datuma. Aztan visszakeresi a kurrens hasznalo email nevet
es cimet a Registrybol (Outlook, Exhange, Internet Mail), vagy a
Prefs.js fajlbol (Netscape-nel). A virus a testeben tartja a 10
legutobb fertozodott hasznalo torteneti elozmenyeit. Azutan a virus a
Netscape Sent File-jai kozott wab, mbx es dbx kiterjesztesu fajlokat
keres a \Windows es a \Program Files mappakban.
Ha van aktiv internet kapcsolat, a virus kivalaszt max. 5 db doc-fajlt
es txt-fajlt es egy veletlenszeru szoszedetet gyujt ki valamelyikbol.
Ez a szoszedet adja az email uzenet subject sorat es magat az uzenetet
is. Ezutan a virus max. 20 db exe es scr fajlt keres ki, amelyek
kisebbek 128 kB-nal, ezek egyiket megfertozi, a fertozott fajlt
hozzaragasztja az uj uzenethez es elkuldi a cimtarban szereplo max.
100 emberhez (orulet...) Van ra esely, hogy a subject alapjaul szolgalo
fajlt is csatolja. A kuldo cimenek masodik karakterehez hozzateszi az 1.
szamot. Ez a kis valtozas megakadalyozza, hogy a valasz (reply)
visszaerkezzen a feladohoz, tehat minel kesobb leplezodjon le (ugyes..)

A postazast kovetoen a virus max. 20 exe es scr fajlt keres es ezekbol
egyet megfertoz. Aztan ezt atteszi a \Windows mappaba, es a fajl nevet
is kisse modositja. Ahogy a fajl atkerul a \Windows mappaba, egy run=
sor beirodik a win.ini fajlba, amely a gep beinditasakor futtatja a
virust. Van olyan verzio, hogy a virus egy registry kulcsot kreal a

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

path-ban.

Ennek a kulcsnak a neve megegyezik a fajl kiterjesztes nelkuli nevevel.
A virus azutan vegigpasztazza a lokalis merevlemezeket es megfertoz max.
20 exe es scr fajlt es a run= sort hozzaadja, ha a \Windows mappa
letezik azon a helyen.

Ha egy honapig fertozott marad a gep es legalabb 100 helyre kuldott
fertozott fajlt, akkor meg tovabb aktivizalodik a kovetkezokeppen:
--kitorli a fertozott fajlt,
--kitorli a  CMOS-t
--kitorli a FlashBIOS-t
--minden 25. fajlt felulirja a YOUARESHIT szoveggel annyiszor, ahanyszor
  a fajlba belefer
--minden masodik fajlt torli
--kiirja: YOU THINK YOU ARE GOD. BUT YOU ARE ONLY A CHUNK OF SHIT
--felulirja az elso merevlemez egy szektorat

A muveletet aztan folyamatosan ismetli.

Ket honapos fertozottseg utan paratlan napokon a Desktop ikonjai
kiugranak az eger alol, ahogy kozelitunk hozzajuk, mintha menekulnenek
az egertol..Harom honapos fertozottseg utan a fertozott fajl kitorlodik.

A W32.Magistr.24876 at mm altal fertozott fajloknal a belepesi pont cime
ugyanaz marad, de 512-bajtnyi szemetkod kerul a helyre. A szemetkod
atteszi a vezerlest az utolso szektorba. Egy polimorf (valtozo alaku)
kodolt programreszt csatol az utolso szektorhoz. A virus ideges lesz a
virusmentesitoktol (debugger), ha ilyet talal, tonkreteszi a komputert.

A virus eltavolitasara P. Ferrie a legujabb virusirtokat, elsosorban a
Norton AntiVirust (NAV) ajanlja.

Banhegyi Zsolt

-----------------------------------------------------------------
Zsolt Banhegyi ** Systems Librarian ** Library  of  the Hungarian
Academy of Sciences  ** H-1245 Budapest P. O. B. 1002 Hungary  **
Phone: 36-1-331-7707 Fax: 36-1-331-6954 E-mail: zsolt at vax.mtak.hu
-----------------------------------------------------------------

További információk a(z) Katalist levelezőlistáról