SWScript.LFM

Macromedia Shockwave sta艂 si臋 ofiar膮 wirusa komputerowego, kt贸ry infekuje pliki SWF. Jest to pierwszy przypadek tak z艂o艣liwego programu. Na wolno艣ci pojawi艂 si臋 wirus SWScript.LFM - pierwszy z艂o艣liwy program infekuj膮cy pliki multimedialne Macromedia Shockwave.

Pliki Macromedia Shockwave (z rozszerzeniem .SWF) s艂u偶膮 do przechowywania danych audio i wideo. Zwi臋z艂o艣膰 oraz prostota w tworzeniu animacji i sekwencji wideo, wsparcie ze strony wi臋kszo艣ci aplikacji Web uczyni艂y format Macromedia Shockwave jednym z najbardziej popularnych sposob贸w przesy艂ania informacji multimedialnych przez Internet. U偶ywaj膮c plik贸w SWF tysi膮ce ludzi na 艣wiecie mo偶e przesy艂a膰 elektroniczne kartki z 偶yczeniami, a tysi膮ce firm zintegrowa艂o technologi臋 Macromedia ze swoimi stronami Internetowymi aby podnie艣膰 ich atrakcyjno艣膰 oraz dynamik臋.

Dok艂adniejsza analiza LFM pokaza艂a, 偶e obecna wersja wirusa jest raczej pr贸b膮 realizacji pewnej koncepji ni偶 zagro偶eniem dla u偶ytkownik贸w Interenetu. Aby wirus m贸g艂 si臋 rozprzestrzenia膰 musi by膰 spe艂nionych kilka warunk贸w, kt贸rych jednoczesne wyst膮pienie jest w艂a艣ciwie niemo偶liwe. Po pierwsze LFM wymaga by komputer by艂 wyposa偶ony w pe艂n膮 wersj臋 programu, kt贸ry uruchamia pliki Macromedia Shockwave (domy艣lnie zainstalowane plug-iny dla Internet Explorer oraz Netscape Navigator nie s膮 wystarczaj膮ce do uruchomienia wirusa). Po drugie, u偶ytkownik musi r臋cznie zgra膰 zainfekowany plik SMF na sw贸j komputer i uruchomi膰 go. Po trzecie LFM jest zdolny zaifekowa膰 inne pliki SMF, tylko je偶eli znajduj膮 si臋 one w tym samym katalogu co plik ju偶 zainfekowany.

Uwa偶a si臋, 偶e mo偶liwo艣膰 wybuchu epidemii spowodowanej wirusem LFM jest ma艂o prawdopodobna. Jednak偶e zaleca si臋 u偶ytkownikom ostro偶no艣膰 podczas pracy z plikami Macromedia Shockwave, gdy偶 nie mo偶na wykluczy膰 pojawienia si臋 innego, bardziej zlo艣liwego pragramu zara偶aj膮cego pliki SMF.

Szczeg贸艂y techniczne

Wirus wykorzystuje mo偶liwo艣ci j臋zyka skryptowego dost臋pnego w animacjach Shockwave - jest on zapisany w postaci pliku skryptowego Shockwave, kt贸ry nast臋pnie umieszcza w systemie DOS-owy plik wykonywalny o nazwie "V.COM" o d艂ugo艣ci 926 bajt贸w. Plik ten jest tworzony na dysku przez standardowy skrypt DEBUG, ale tylko w systemach Windows NT, 2000 oraz XP, poniewa偶 skrypt usi艂uje wywo艂a膰 preprocesor "cmd.exe", kt贸ry nie jest dost臋pny w systemach Win 9X/ME. Po wykonaniu pliku V.COM program szuka w bie偶膮cym katalogu wszystkich plik贸w z rozszerzeniem *.SWF, upewnia si臋 czy nie s膮 one plikami tylko do odczytu, ukrytymi lub systemowymi, a nast臋pnie pr贸buje je zainfekowa膰. Nast臋pnie wirus sprawdza czy pliki te posiadaj膮 standardow膮 sygnatur臋 "FWSx99", co umo偶liwia stworzenie identycznego skryptu, kt贸ry zosta艂 u偶yty do umieszczenia pliku "V.COM" na dysku. Jest on umieszczany we fragmencie dynamicznie przydzielanej pami臋ci i dopisywany na pocz膮tku docelowego pliku Shockwave.