Miluju Virtual PC

Tak mi dneska přišel virus. Opět. Nebyl to žádný zákeřný zmetek využívající chybu systému, ale hajzlík jednoduše parazitující na lidské neznalosti. Po technické stránce však velmi propracovaný.

Vy, jež zmatení z pojmů těchto vámi hýbá, jděte raději číst něco o vaření, zde to bude jen o technice.

První pohled. Virus dorazil a majitelka ICQ zmatena
První pohled. Virus dorazil a majitelka ICQ zmatena

Na uvedené adrese je přesměrování na .exe soubor, který se vám v Internet Exploreru poslušně stáhne. Nové verze tohoto prohlížeče sice uživateli cestu k tomuto souboru znesnadňují vyšším množšvím nudných varovných hlášení, která se stala pro svoji otravnost neúčinnými. Po spuštění se nestane vůbec nic, tedy alespoň nic zjevného.

Pomocí několika šikovných nástrojů lze velmi snadno zjistit, že ona nevinnost až tak nevinná nebyla.

FileMon odhalí skutečnou činnost aplikace
FileMon odhalí skutečnou činnost aplikace

Ano, do systému se uložily nejméně dvě knihovny (rsvp32_2.dll a sporder.dll) a do registrů bylo zapsáno mrtě záznamů, kterým ani nerozumím – toť jen vnější projev činnosti toho prevíta.

Pak zavládlo krátké ticho a po několika minutách se náhle restartuje systém. A je k tomu využita násilná forma, protože ani finta s otevřeným notepadem nevyšla.

Rozepsaný text v Notepadu nedovolí ukončit systém
Rozepsaný text v Notepadu nedovolí ukončit systém

Od té doby je systém silně nestabilní a každou podezřelou činnost (například instalaci Ad-Aware) odmění restartem. Stačí si zobrazit, které procesy „drží“ jeden z těch souborů a je zle.

Unlocker odhalí použití knihoven
Unlocker odhalí použití knihoven

Bohužel jsem se nikdy nenaučil pracovat s žádným dekompilátorem, abych alespoň přibližně dokázal odhadnout činnost kompilované klihovny, ale i tak mnohdy stačí prostý pohled do souboru obyčejným prohlížečem textu. Tento pohled do zásobníků řetězců mluví za mnohé:

Primitivní pohled do binárního souboru
Primitivní pohled do binárního souboru

Každý s minimálním množstvím znalostí o PC snadno odhadne, čím se knihovna zabývá.

Ano, je to mizerný spamer. Avšak musím před jeho propracovaností smeknout. Umí totiž využít mnoho cizích služeb a ještě k tomu napadnout ICQ a přikládat odkaz na sebe ke skutečným zprávám.

Nic to ovšem neříká o tom, jaký je jeho skutečný cíl. Proč se šíří? Je to jen experiment nezodpovědného kutila, nebo za tímto vším je vyšší cíl – například vykrádání hesel?

Na internetu v současností není o tomto viru mnoho zmínek. Avast mě klasicky nechal na holičkách, NOD32 snad údajně cosi detekuje už v první fázi. Vysloužil si jméno Nuwar/Zhelatin.

Informace o postupu odinstalování jsou na fóru viry.cz. Jen dodám, že tento návod je funkční, ale nenechte se zmást prvními dvěma body – ty soubory nemusí existovat a Hijackthis sice najde cosi podezřelého se souborem rsvp32_2.dll, ale Fix nefunguje.

Hijakthis není všemocný
Hijakthis není všemocný

Zbytek návodu je však funkční a účinný.

A co ten Virtual PC

Důvod proč o tom mluvím je ale jiný.

Celou tuhle zábavu si na svém primárním počítači může pustit jen hlupák. Nyní je však pro každého zcela zdarma k dispozici úžasný nástroj Virtual PC 2007, kterým si ve svém počítači vytvoříte nový – plně izolovaný prostor. Do něho si nainstalujete nový systém Windows a můžete libovolně experimentovat.

Instalace systému Windows probíhá stejně jako na obyčejném počítači. A pak si můžete stahovat viry a zvesela zkoušet, co to dělá. Virtual PC má totiž jednu úžasnou vlastnost – lze v něm zapnout tzv. Undo disk, který způsobí, že po vypnutí virtuálního stroje jsou všechny změny vráceny do původního stavu. A to se vyplatí!

1 komentář u „Miluju Virtual PC“

  1. Virtual – výborná záležitost S Virtualem jsem měl tu čest několikrát pracovat – byl jsem naprosto spokojen. Mým cílem bylo programování „na hraně“ a tak se mi hodil operační systém, u kterého mi nevadilo, když padne…

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *