Vše začalo docela nevinně. V sobotu 24. listopadu jsem kolem čtvrté hodiny odpoledne dostal SMS zprávu, že se v Anglii objevila nová varianta již známého červa Badtrans. Takových zpráv dostávám týdně několik, nic nenasvědčovalo tomu, že tento případ bude odlišný. Přesto jsme ihned udělali aktualizaci našeho produktu. Již po několika hodinách ale bylo jasné, že nás čeká několik perných dní. Červ byl v krátkém sledu zachycen v několika dalších zemích a jeho výskyt se dále rapidně zvětšoval. Z jeho analýzy vyplynulo, že má všechny předpoklady pro úspěšné epidemické šíření. Již během pondělka se epidemie naplno ukázala, masové šíření trvá dodnes. Během necelého týdne se Badtrans-B vyšplhal u anglické firmy Messagelabs na druhé místo ve výskytu virů všech dob – před ním zůstává již jen dlouhodobě úspěšný Win32:Sircam.

Co způsobilo tak raketový nástup tohoto červa? Vlivů je několik, ten hlavní ale spočívá ve využívání bezpečnostní díry iframe v programu Internet Explorer firmy Microsoft. Tento program špatně interpretuje modifikovanou hlavičku MIME. V té červ uvádí, že připojený soubor je typu WAV (to je standardně zvukový soubor) a programy Outlook a Outlook Express je okamžitě začnou pomocí MS IE interpretovat. V průběhu zpracování se ale přijde na to, že jde ve skutečnosti o EXE program, a ten je pak automaticky a bez zásahu uživatele spuštěn. Tato chyba je již známa delší dobu. Týká se MS IE verze 5.01 a 5.5 a oprava na ni existuje už od března tohoto roku. Problémem je to, že naprostá většina uživatelů se o žádné záplaty nezajímá a opravné patche nepoužívá. Stejnou bezpečnostní díru přitom úspěšně využívají i další viry z poslední doby: Win32:Nimda, Win32:Klez a Win32:Aliz. Proto Vám co nejdůrazněji doporučuji: zkuste své Windows aktualizovat! Nejjednodušším způsobem, který funguje na všech systémech kromě Win95 je použití služby „Windows Update“ v nabídce Start.

Vlastní červ je standardním programem Widows (PE) a je zhruba 29 Kb dlouhý. Po svém spuštění se nejdříve nakopíruje do systémového adresáře Windows pod jménem KERNEL32.EXE (správný systémový soubor se jmenuje KERNEL32.DLL). Také do systému nainstaluje trojského koně, který zaznamenává stisknuté klávesy. Tohoto trojského koně ukládá do souboru KDLL.DLL. Červ používá dvě různé metody pro získávání adres dalších obětí: jednak je schopen odpovídat na všechny dosud nepřečtené zprávy v adresáři, jednak aktivně prohledává dočasně uložené internetové stránky (HTML, ASP) a v nich hledá adresy, na které se pak sám posílá. Obsahuje vlastní SMTP rutinu, pro odesílání využívá SMTP server své oběti ale pokud jej nenajde, má v zásobě i vlastní seznam. Stejným způsobem používá i informaci o odesílateli: pokud ji na daném počítači najde, použije ji (do adresy ale přidá znak podtržítko, takže automaticky zaslané varování o viru adresáta nezastihne), pokud ne, použije jednu z patnácti fixních adres. Četl jsem smutný příběh jedné z obětí, jejíž adresa byla tímto způsobem zneužita a která je zavalena poštou tak, že adresu musela přestat používat.

První je vybráno z následujích možností: fun, Humor, docs, info, Sorry_about_yesterday, Me_nude, Card, SETUP, stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, images a Pics.

Druhou část tvoří první přípona: .DOC., .MP3. a .ZIP., třetí částí jména je (často skryté) druhá a pro systém rozhodující přípona pif či scr.

Odstranění červa je poměrně jednoduché – stačí smazat výše uvedené soubory, které červ vytvořil a také odkazy na ně v registry systému. Pro smazání programu KERNEL32.EXE je často nutné nabootovat v DOSu, popř. v Safe (bezpečném) módu Windows. Nezapomeňte aplikovat výše uvedené bezpečnostní patche firmy Microsoft!

Co nás čeká dále? Je možné, že Badtrans-B dokonce předhoní veleúspěšný Sircam. Určitě se objeví další viry, které budou využívat zmíněnou bezpečnostní díru v MS IE, je velmi pravděpodobné, že se objeví další podobné bezpečnostní problémy. Jen doufám, že výskyt takovýchto programů nepřinese soumrak celé elektronické pošty, že každodenní nával virů a spamu nezpůsobí, že tento užitečný nástroj se brzy nestane naprosto nepoužitelným. Byla by to škoda – a dnes ráno, když jsem přes víkend dostal kolem 300 kopií Badtransu, jsem měl pocit, že už k tomu tak daleko nemáme.