Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
11.01.2002 - Martin LEPIŠ - Popisy vírusov
Win32/Donut  (alias NET/dotNET)

Približne v júni 2000 zverejnila spoločnosť Microsoft prvú podobu návrhu nového programovacieho jazyka nazvaného C#, ktorý by sa mal po uvedení do praxe stať jedným z nosných prvkov novej verzie prostredia Microsoft Visual Studio.NET. Tento jazyk bol od svojho prvopočiatku prezentovaný ako univerzálny nástroj pre tvorbu aplikácií pre platformu MS Windows s využitím tzv. služieb OS Windows novej generácie. Dnes tu máme január 2002 a spolu s ním aj PRVÝ počítačový vírus na svete schopný infikovať súbory/aplikácie naprogramované v jazyku C#, ktorý ešte oficiálne nebol ani uvedený na softvérový trh... .

Pár slov o C# na úvod...
Jazyk C# bol navrhnutý štvorčlenným tímom, ktorého hlavným predstaviteľom sa stal Anders Hejlsberg, tvorca takých programovacích jazykov, ako napr.: Turbo Pascal a Delphi. Úlohou tohto tímu bolo vytvoriť a uviesť do reálnej praxe nový - univerzálny - programovací jazyk pre prostredie OS MS Windows, ktorý by bol prenositeľný medzi všetkými existujúcimi platformami. Aktuálny princíp fungovania programov vytvorených v jazyku C# je založený na tom, že výsledný kód danej aplikácie je preložený do tzv. medzijazyka (Intermediate Language - skrátene len IL), ktorý je nezávislý na výslednej platforme určenej pre jeho používanie (... do úvahy treba brať skutočnosť, že OS MS Windows pracuje aj na iných procesoroch než sú tie, ktoré vychádzajú z koncepcie Intelu). Medzijazyk v skutočnosti nie je možné priamo vykonať a preto sa pred samotným použitím musí preložiť do strojového kódu cieľového procesora, prostredníctvom prekladača JIT (Just In Time). Prekladač generuje riadiaci kód, ktorý využíva služby tzv. spoločného runtime systému (Common Language RunTime - skrátene len CLR). Výsledkom celého procesu sa teda stane program vytvorený v jazyku C# a preložený do medzijazyka, ktorý je možné použiť v rámci najnovších verzií OS MS Windows nezávisle na type použitého procesora.

Vírus Win32/Donut...
Vráťme sa ale od všeobecného úvodu ku už spomínanému PRVÉMU vírusu na svete, ktorý je schopný infikovať súbory/aplikácie naprogramované v jazyku C#. Jeho autorom je český tvorca počítačových vírusov Benny/29A, ktorý sa už niekoľko krát prezentoval navonok v skutku pozoruhodnými dielkami (napr.: Win2k/Installer, Win/Stream, Win32/Linux.Winux, ... ). Podľa dostupných informácií je väčšina z 8 kB vírusového kódu naprogramovaná v Assembleri pre prostredie Win32 a len malá časť v tzv. medzijazyku. Schopnosť šíriť sa a infikovať nové súbory je v prípade tohto skôr prezentačného než pre reálny život v kybernetickom priestore určeného vírusu obmedzená iba na MSIL PE súbory vytvorené v jazyku C#.
V okamihu spustenia infikovaného súboru dôjde k prvotnej replikácii tela vírusu do všetkých MSIL PE súborov na úrovni aktuálneho adresára (t.j. tam, odkiaľ bol spustený infikovaný súbor) a na úrovni maximálne 20-tich nadradených adresárov. Samotný proces infiltrácie pozostáva zo zápisu tela vírusu do poslednej časti tzv. relocation sekcie súboru, zistení pozície CLR hlavičky, zazálohovaní pôvodných metaúdajov a ich prepise vírusovým kódom (... zväčšuje sa tým celková kapacita súboru). Ďalej dochádza k vzniku tzv. dočasného súboru (... ktorý je kópiou aktivovaného infikovaného objektu), v ktorom vírus vykoná úpravu vybraných dát, zmeny následne uloží a súbor aktivuje. V tomto štádiu dochádza s pravdepodobnosťou 1:10 k zobrazeniu dialógového okna s nasledujúcou informačnou správou: "This cell has been infected by dotNET virus! 1.NET.dotNET by Benny/29A". Za bežných podmienok by však v budúcnosti namiesto informačnej správy mohlo v tomto okamihu dôjsť k aktivácii napr. deštrukčných rutín. Ďalší postup je zo strany vírusu taký, že zmenené údaje v aktívnom - dočasnom súbore vráti do pôvodného stavu, zmeny opäť uloží a súbor aktivuje. Tým už ale dôjde k spusteniu pôvodného aplikačného kódu uloženého v infikovanom súbore. Vírus ostáva aktívny aj naďalej a v momente, keď je ukončený beh pôvodného aplikačného kódu odstráni z pevného disku tzv. dočasný súbor a svoju činnosť ukončí. Princíp fungovania Win32/Donut je v porovnaní s inými doteraz prezentovanými vírusmi, či červmi o dosť zložitejší i keď skutočne brilantný!

Z vyššie uvedeného popisu je jasne vidieť, že sa v tomto prípade a najmä v tomto čase nejedná o nijako nebezpečný a masovo rozšíriteľný počítačový vírus. Doba jeho "rozkvetu" môže nastať až v okamihu keď sa do praxe uvedie programovací jazyk C# a väčšina systémov bude namiesto dnešných súborov tvorená MSIL PE súbormi. Kým sa tak stane, bude už pravdepodobne vzorka vírusu Win32/Donut (alias NET/dotNET) obsiahnutá v jednotlivých AV-systémoch, resp. ich databáz vírusových reťazcov. Najbližšia doba nám určite prinesie ešte nejedno podobné prekvapenie a posun vpred v oblasti tvorby počítačových vírusov. Veď nemožno popierať napríklad tvrdenie, ktoré raz napísal jeden tvorca počítačových vírusov:

"Budúcnosť a dokonalosť vírusov je v našich rukách... ".

Vytlačiť článok... Zdroj: Benny/29A


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.