9 stycznia 2002

SWScript.LFM - pierwszy wirus infekujący pliki Macromedia Shockwave

Macromedia Shockwave stał się ofiarą wirusa komputerowego, który infekuje pliki SWF. Jest to pierwszy przypadek tak złośliwego programu. Kaspersky Lab doniósł o wykryciu wirusa SWScript.LFM - pierwszego złośliwego programu infekującego pliki multimedialne Macromedia Shockwave.

Pliki Macromedia Shockwave (z rozszerzeniem .SWF) służą do przechowywania danych audio i wideo. Zwięzłość oraz prostota w tworzeniu animacji i sekwencji wideo, wsparcie ze strony większości aplikacji Web uczyniły format Macromedia Shockwave jednym z najbardziej popularnych sposobów przesyłania informacji multimedialnych przez Internet. Używając plików SWF tysiące ludzi na świecie może przesyłać elektroniczne kartki z życzeniami, a tysiące firm zintegrowało technologię Macromedia ze swoimi stronami Internetowymi aby podnieść ich atrakcyjność oraz dynamikę.

Dokładniejsza analiza LFM pokazała, że obecna wersja wirusa jest raczej próbą realizacji pewnej koncepji niż zagrożeniem dla użytkowników Interenetu. Aby wirus mógł się rozprzestrzeniać musi być spełnionych kilka warunków, których jednoczesne wystąpienie jest właściwie niemożliwe. Po pierwsze LFM wymaga by komputer był wyposażony w pełną wersję programu, który uruchamia pliki Macromedia Shockwave (domyślnie zainstalowane plug-iny dla Internet Explorer oraz Netscape Navigator nie są wystarczające do uruchomienia wirusa). Po drugie, użytkownik musi ręcznie zgrać zainfekowany plik SMF na swój komputer i uruchomić go. Po trzecie LFM jest zdolny zaifekować inne pliki SMF, tylko jeżeli znajdują się one w tym samym katalogu co plik już zainfekowany.

Kaspersky Lab uważa, że możliwość wybuchu epidemii spowodowanej wirusem LFM jest mało prawdopodobna. Jednakże zaleca się użytkownikom ostrożność podczas pracy z plikami Macromedia Shockwave, gdyż nie można wykluczyć pojawienia się innego, bardziej zlośliwego pragramu zarażającego pliki SMF.

Procedury zwalczające wirusa LFM zostały już dodane do dziennego uaktualnienia baz antywirusowych z dnia 8 stycznia 2002 oprogramowania Kaspersky Lab.

Szczegóły techniczne

Wirus wykorzystuje możliwości języka skryptowego dostępnego w animacjach Shockwave - jest on zapisany w postaci pliku skryptowego Shockwave, który następnie umieszcza w systemie DOS-owy plik wykonywalny o nazwie "V.COM" o długości 926 bajtów. Plik ten jest tworzony na dysku przez standardowy skrypt DEBUG, ale tylko w systemach Windows NT, 2000 oraz XP, ponieważ skrypt usiłuje wywołać preprocesor "cmd.exe", który nie jest dostępny w systemach Win 9X/ME. Po wykonaniu pliku V.COM program szuka w bieżącym katalogu wszystkich plików z rozszerzeniem *.SWF, upewnia się czy nie są one plikami tylko do odczytu, ukrytymi lub systemowymi, a następnie próbuje je zainfekować. Następnie wirus sprawdza czy pliki te posiadają standardową sygnaturę "FWS\x99", co umożliwia stworzenie identycznego skryptu, który został użyty do umieszczenia pliku "V.COM" na dysku. Jest on umieszczany we fragmencie dynamicznie przydzielanej pamięci i dopisywany na początku docelowego pliku Shockwave.