Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
27.05.2004 - Martin LEPIŠ - Novinky
Proof-of-Concept vírus pre MS Windows XP 64-bit-Edition je na svete!

Uplynulých 10 dní by sa dalo na scéne škodlivých kódov označiť za pokojné obdobie, počas ktorého sa síce objavilo niekoľko nových vírusov a červov, no žiadnemu z nich sa nepodarilo masovo rozšíriť. V rovnakom období sa taiwanskej a kanadskej polícii podarilo odhaliť/zadržať osoby podozrivé z vytvorenia a rozšírenia dvoch škodlivých kódov – jedného trójskeho koňa a jedného červa. Takpovediac horúcou novinkou týchto dní sa stala informácia o existencii prvého (... hoci len ukážkového) počítačového vírusu vytvoreného špeciálne pre OS MS Windows XP 64-bit-Edition, ktorý je upravený pre nové a vysokovýkonné 64-bitové procesory od firiem AMD a Intel.

Skôr než sa pozrieme na to, čo so sebou prináša prvý 64-bitový počítačový vírus pozastavíme sa ešte pri udalostiach súvisiacich s identifikáciou a zatknutím osôb podozrivých z vytvorenia a šírenia škodlivých kódov.
V prvom prípade môžeme hovoriť o úspechu taiwanskej polície, ktorej sa práve dnes (t.j. 27.5.2004) podarilo po viac ako dvojmesačnom pátraní identifikovať a tiež zadržať 30-ročného počítačového inžiniera Wang Ping-an. Ten je podozrivý z toho, že vytvoril trójsky kôň označovaný ako Peep (... pozri obrázok) a následne sa ho pokúsil rozdistribuovať prostredníctvom populárnych – hackermi navštevovaných web stránok. Medzi najzákladnejšie funkcie tohto trójskeho koňa patrí vzdialené ovládanie infikovaných systémov a prístup ku všetkým informáciám, ktoré sa v nich nachádzajú uložené. Niektoré zdroje uvádzajú, že tento trójsky kôň umožnil mladým hackerom len v rámci Taiwanu prístup k stovkám počítačových systémov používaných v školách, firmách i štátnych inštitúciách, čo malo za následok únik niektorých dôležitých informácií. V prípade, že bude tento počítačový inžinier pred súdom uznaný vinným určite ho nečaká nič dobré! Čeliť totiž bude zrejme aj obvineniu za to, že práve vďaka jeho trójskemu koňovi mali k infikovaným, vládnym taiwanským systémom na istý čas prístup aj čínski hackeri, ktorí sú pre Taiwan ako krajinu trvalými nepriateľmi.
Druhou dobrou správou je to, že sa kanadskej polícii nesúcej označenie "The Technological Crime Unit of the Royal Canadian Mounted Police (RCMP)" podarilo identifikovať a zadržať 16-ročného mladíka (... žijúceho neďaleko Toronta), ktorý je podozrivý z vytvorenia a rozšírenia viacerých modifikovaných variantov červa Win32/Randex. Tento červ počas svojej existencie infikoval viac ako 9000 počítačových systémov, pričom šíriť sa dokáže prostredníctvom sieťovo zdieľaných zdrojov, systémov pre vzájomné zdieľanie dát a navyše má vo svojom kóde "zakomponovaný" aj jednoduchý backdoor komponent, ktorý umožňuje vzdialenému útočníkovi ovládať infikovaný systém pomocou sady špeciálnych príkazov zadávaných cez IRC (Internet Relay Chat). Za istú kuriozitu v tomto smere možno považovať aj to, že presne pred rokom kanadská University of Calgary priniesla informáciu o tom, že má záujem otvoriť vzdelávací kurz venovaný problematike fungovania škodlivých kódov (... viac informácií si môžete prečítať priamo tu).

Prvý vírus pre OS MS Windows XP 64-bit-Edition sa volá Win64/Rugrat...
S postupným presadzovaním plne 64-bitovej architektúry (... na úrovni hardvéru i softvéru), ktorá sľubuje svojim používateľom vyšší výkon a väčšie možnosti pri spracovaní náročných operácií ako sú šifrovanie/dešifrovanie, práca s 3D grafikou, DivX kódovanie filmov a iné bolo nutné počítať aj s tým, že sa stane novou výzvou pre istú skupinu tvorcov škodlivých kódov. Pre tých tvorcov, ktorí chcú byť vždy a vo všetkom prví a svojim spôsobom jedineční. Počítačový vírus Win64/Rugrat.3344 je toho typickým príkladom. Jedná sa totiž o ukážku (tzv. Proof-of-Concept) dostupných možností pri programovaní počítačových vírusov na 64-bitovej platforme.
Tento vírus je schopný infikovať výlučne IA64 Windows Portable Executable – spustiteľné súbory, ktoré sú toho času použiteľné len v rámci 64-bitového prostredia OS MS Windows XP 64-bit-Edition, v kombinácii so 64-bitovým procesorom od spoločnosti AMD alebo Intel. Vzhľadom na to, že vírus Win64/Rugrat patrí do skupiny priamych infektorov dokáže okamžite po svojom spustení infikovať všetky IA64 spustiteľné súbory uložené v tom istom adresári, v ktorom sa nachádza vírus (... prípadne už infikovaný súbor) a tiež súbory vo všetkých podadresároch. Po ukončení tejto operácie sa vírus odstráni z operačnej pamäti, pričom nedochádza k jeho ďalšiemu šíreniu ani prostredníctvom emailových správ, ani pomocou sieťovo zdieľaných zdrojov. Dôležité je tiež zdôrazniť, že tento ukážkový exemplár prvého 64-bitového vírusu neobsahuje vo svojom kóde žiadne deštruktívne rutiny. Pri jeho hĺbkovej analýze bolo odhalených len niekoľko chýb v rámci výkonného kódu a nasledujúci krátky textový odkaz:

Shrug - roy g biv
06/05/04
*4U2NV*


Len pre úplnosť môžeme spomenúť, že tento vírus pri svojej činnosti využíva niekoľko Win64 API (Application Programming Interface) funkcií integrovaných v rámci troch knižníc OS MS Windows – konkrétne ide o súbory: NTDLL.DLL, SFC_OS.DLL a KERNEL32.DLL. Svoj kód vírus vkladá na záver každého infikovaného súboru, pričom však nedokáže infikovať dôležité systémové súbory chránené systémovou funkciou SFC (System File Checker). Podľa informácií zverejnených AV-spoločnosťami je vírus Win64/Rugrat.3344 dielom toho istého tvorcu škodlivých kódov, ktorý vytvoril vírus Win32/Chiton – svedčí o tom rutina použitá v oboch vírusoch za účelom infikovania nových súborov, ktorá je vraj identická.

Ako je možné vidieť aj na udalostiach, ktoré sa odohrávajú vo svete v týchto dňoch, snahou našej spoločnosti je neustále bojovať proti škodlivým kódom i osobám, ktoré ich vytvárajú a rozširujú. Žiaľ aj napriek hroziacemu riziku sa však stále nájdu takí ľudia, ktorí svoj voľný čas a energiu venujú tvorbe nových alebo modifikácii už existujúcich škodlivých kódov. Niektorým z nich sa z času na čas podarí vytvoriť aj nejaký ten ukážkový vírus alebo červ, ktorý síce nie je deštruktívny, no je v istom ohľade aspoň prvý na svete – rovnako ako vírus Win64/Rugrat.



Súvisiace články:
20.07.2004  WinCE/Duts - prvý počítačový vírus pre OS MS Windows CE - Novinky
16.06.2004  A je to tu – červ, ktorý napáda mobilné telefóny za pomoci technológie Bluetooth! - Novinky


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.