Vyšlo na www.novinky.cz dne 5.5.2000
Vytištěno z adresy: http://www.earchiv.cz/anovinky/ai4417.php3

Už jste dostali LOVE LETTER?

Nestává se tak často, aby se informace o novém počítačové viru dostaly do hlavních televizních zpráv, navíc mezi jejich hlavní body. Novému viru "I LOVE YOU" se to podařilo. O co jde?

V poslední době se mohlo zdát, že v oblasti virů už těžko někdo vymyslí něco radikálně nového, co zde ještě nebylo a co by mohlo překonat stávající rekordy. A vidíte - zdání klame. Sotva jsme si zvykli na různé Melissy, Pretty Parky a podobné virulentní věcičky ukryté v podezřelém rouchu EXE souborů přikládaných jako přílohy k emailům (a snad se i naučili je nespouštět), objevil se někdo, kdo si uvědomil že proveditelný soubor nemusí mít pouze podobu souboru s příponou EXE. Ke stejnému účelu může posloužit i skriptový soubor, jako modernější a účinnější nástupce něktejších příkazových (či: dávkových) souborů. Naštěstí, či spíše naneštěstí, ale není skript jako skript - existují různé skriptovací jazyky a některé vám z principu neumožní dělat nebezpečné věci jako je "sahání" na soubory či dokonce jejich kopírování, mazání či přejmenovávání (takto se snaží chovat např. JavaScript).

Jiné skriptovací jazyky a jejich implementace to ale umožňují, a mezi ně patří i Visual Basic Script, zdomácnělý na platformě MS Windows. Přípona .vbs, kterou mají skriptové soubory psané v tomto jazyku, ještě nevešla do povědomí uživatelů jako něco potenciálně nebezpečného, co by mohlo napáchat obdobné zlo jako neznámý soubor s příponou EXE - a právě této skutečnosti využil autor (či: autoři) nového viru, který se právě včera začal šířit jako mailová příloha doslova jako lavina celým Internetem - na příponu vbs lidé celkem bez zábran klikali, netuše co může následovat. Autor navíc "zabalil" celý virus do podoby jakéhosi milostného vyznání, a také díky tomu nachytal mnoho lidí na jejich zvědavost.

[Obr: loveexample.gif (11735 Bytes)]

Efekt nového viru byl umocněn jeho poměrně propracovaným mechanismem působení, který lze v prvním přiblížení popsat takto (alespoň podle tohoto zdroje):

  • virus se nainstaluje na tři různá místa v MS Windows (viz poslední řádky na obrázku o něco níže, se skriptem viru) a změní startovní stránku Internet Exploreru
  • při příštím spuštění počítače virus spustí Explorer, a skrze natažení startovací stránky stáhne spustitelný soubor (WIN-BUGSFIX.exe) z jednoho ze čtyř různých míst (všechny se nachází na adrese http://www.skyinet.net, což je jeden z ISP na Filipínách).
  • virus posléze rozešle sám sebe na všechny adresy, které najde v uživatelově poštovním adresáři
  • poté virus hledá a přejmenovává všechny soubory s příponami jako .mp3, .jpg, .jpeg a další (hlavně multimediální soubory), kterým dává nově příponu .vbs (a podle jiných zpráv některé soubory přímo maže).
  • virus poté hledá program mIRC, skrz který se snaží infikovat další uživatele prostřednictvím služby IRC (Internet Relay Chat).

Již několik hodin po rozšíření viru se objevily první prostředky pro jeho detekci a odstranění - z tuzemských například u firem Alwil a AEC (kde také najdete odkazy na další zdroje ochranným prostředků).

[Obr: lovetext.gif (9138 Bytes)]
'Zdrojový tvar' nového viru

Jak se viru bránit?

Princip obrany před novým virem I LOVE YOU se nijak neliší od principu obrany před jinými viry, které se šíří v přílohách emailů - základem všeho je nedat jim šanci spustit se, tj. neklikat na ně, ani je jinak nespouštět.

Přeci jen je ale zde určitá odlišnost od tradičních EXE souborů - zatímco tyto soubory mohou být spuštěny přímo v operačním systému Windows (bez dalších opatření), ke spuštění skriptového souboru je nutné mít nainstalovaný příslušný interpret, v daném případě software s názvem Windows Scripting Host. Ten není standardně instalován pod systémem Windows 95 a Windows NT 4, ale je instalován standardně pod Windows 98 a Windows 2000 a je také součástí některých dalších programových balíků (např. Microsoft Internet Explorer v5.x). Pokud jej chcete odinstalovat, musíte na to jít přes Control Panel (Ovládací panely) a zde přes instalování/odinstalování programů a konfiguraci Windows a jejich příslušenství (pro anglická Windows viz obrázek).

[Obr: scriptinghost.gif (16030 Bytes)]

Bylo to i v televizi!

Jak jsem se již zmínil v podtitulu tohoto článku, nový virus se díky své velké virulenci (viz také dnešní sloupek) dostal i do hlavního večerního zpravodajství ČT1 i Novy. Osobně pro mne bylo velkým překvapením, jak se s tím obě televizní stanice vyrovnaly. Příspěvek České televize připomínal doslovný konec světa - vyskytovaly se v něm formulace jako:

během několika minut tak zkolabovalo doručování pošty téměř v celé České republice
zahltil i burzu cenných papírů
ušetřena nezůstala ani policie
virus zničil poštovní programy v Evropě a míří přes oceán

Celkové vyznění na ČT 1 bych označil jako senzacechtivé a zveličené. Naproti tomu Nova, od které bych takovýto přístup čekal spíše, byla ve svém příspěvku realističtější, a měl jsem subjektivní pocit že i kompetentnější - nelíčila vše jako konec světa, ale jako dosti nepříjemnou komplikaci, za kterou si ale lidé mohou především sami, nedodržováním základního pravidla (neklikat na neznámé přípony).

[Obr: lovenova.gif (60239 Bytes)]

I LOVE YOU není první VBS virus

Na závěr ještě malou technickou poznámku - nový virus není úplně prvním virem, který ke svému šíření používá skriptovací jazyk Visual Basic Script. Jeho předchůdci (například TUNE) ale rozhodně nezískali takovou popularitu, jako toto nové "vyznání lásky".