Romanasii nostri au lansat saptamana trecuta pe Internet un virus ce ia nume de fete, agata curiosii pe mIRC, apoi se instaleaza intr-un locsor ascuns si -confortabil- in computerele lor.
In primul raport asupra acestui virus, facut public de Bit Defender la inceputul saptamanii trecute, numarul celor infestati era de 700, ceea ce inseamna ca avea o raspandire medie. Avand in vedere ca inmultirea acestui virus se face exponential, este foarte probabil ca la aceasta ora numarul calculatoarelor -agatate- sa fie de cateva mii, si poate chiar mai mult.
Cine, ce, cum…
De fapt, un mic geniu informatic de pe plaiurile mioritice a modificat virusul -Duload-, care se raspandea prin intermediul retelei KaZaA. Duload instala in computerul victimei un troian numit Backdoor EvilBot.B. Dupa ce a mesterit putin la Backdoor EvilBot.B, programatorul l-a facut sa functioneze pe mIRC, trimitand mesaje in limba romana noilor intrati pe anumite canale de IRC. Cine intra in joc primeste drept premiu un virus! Aceasta noua amenintare cibernetica a fost botezata Backdoor.EvilBot.B, dupa numele troianului modificat.
Backdoor.EvilBot.B ia nume (nicknames) de fete si -intra- pe canale romanesti de mIRC foarte frecventate, de genul: -#deva-, -#cluj-, -#sibiu- etc. Virusul este chiar capabil sa poarte o mica conversatie in limba romana cu utilizatorul. Da binete, se prezinta, apoi pune intrebarea magica: -Vrei sa-ti trimit o poza?-. Daca primeste orice alt raspuns in fara de -Da-, atunci -femeia-virus- isi va lasa potentiala victima in pace.
Daca utilizatorul va raspunde -Da- la intrebare, atunci ii va parveni un fisier cu extensia -.exe- si nu -.jpg- sau altele de acest gen caracteristice imaginilor. Ca orice -backdoor- respectabil, virusul romanesc are grija sa isi ascunda prezenta si sa se mentina proaspat la fiecare startare a sistemului.
Mesaje triviale catre un utilizator
Virusul a fost configurat pentru a se conecta la serverul de mIRC eu.undernet.org pentru a intra pe canalul -#ucica-. Problema este ca poate emite comenzi atat prin mesajele private de mIRC, cat si prin cele generale pe intregul canal: aceste comenzi sunt adresate vorbaretilor curiosi care au fost deja infectati. Consecintele sunt departe de a fi distractive: desi virusul ca atare nu produce daune la nivelul calculatoarelor contaminate, este periculos tocmai din cauza comenzilor care vor fi executate prin intermediul conexiunii la mIRC. De exemplu, comanda -down- – descarca un fisier de pe Internet si il executa; -msg- – trimite mesaje triviale catre un utilizator. Una dintre cele mai grave comenzi este insa -udp-, care presupune actiuni de flooding (suprasolicitare) pe anumite adrese de Internet si, implicit, pe anumite servere.
Actiunea de suprasolicitare nu ar provoca probleme atat de mari daca ar fi vorba de cativa utilizatori infectati, insa in cazul in care sunt deja sute de calculatoare care incarca un server, concluzia nu poate fi prea fericita.
Cristian Ionita
Bogdan Panturu
