2 września 2003

MBA.First - nie lubi geografii

Jest to pierwszy znany wirus infekujący tabele systemu MapInfo. Uruchamia się po otwarciu zainfekowanej tabeli i atakuje środowisko MapInfo oraz wszystkie aktywowane w nim tabele. Szkodnik wyposażony jest w funkcję dodatkową, która w zależności od daty systemowej niszczy pliki przechowujące tabele.

Co to jest MapInfo?

MapInfo jest jednym z największych na świecie rozwiązań programowych służących do obsługi geograficznych baz danych. Producentem systemu jest firma MapInfo Corporation. MapInfo oferuje język programowania MapBasic pozwalający na tworzenie własnych aplikacji działających w ramach systemu. Z punktu widzenia składni język ten jest bardzo zbliżony do Microsoft Visual Basic, jednak został wzbogacony o funkcje służące do obsługi tabel oraz map.

Informacje dotyczące wirusa

Wirus powstał przy użyciu języka programowania MapBasic i został skompilowany do postaci aplikacji binarnej, działającej w środowisku MapInfo. Po uruchomieniu zainfekowanej tabeli szkodnik przejmuje kontrolę i atakuje całe środowisko. W tym celu wirus kopiuje się z nazwą 0gPiSs1.dll do folderu, w którym zainstalowano system MapInfo.

Podczas swojej aktywności wirus kolekcjonuje nazwy otwartych tabel w celu późniejszego ich wykorzystania.

W momencie zamykania systemu MapInfo szkodnik sprawdza datę systemową. W poniedziałki uruchamiana jest pierwsza funkcja dodatkowa - wirus kataloguje zgromadzone nazwy tabel i z prawdopodobieństwem 1% usuwa pliki posiadające następujące rozszerzenia: MAP, TIF, PCX oraz JPG.

Druga funkcja dodatkowa jest uruchomiona w piątki przypadające na 13 dzień miesiąca. Działa identycznie jak pierwsza, lecz pliki usuwane są z prawdopodobieństwem 14%. Dodatkowo funkcja ta nadpisuje plik mapinfow.prj następującym tekstem (kodowanie KOI-8R):

"--- ëIIOÄÉÎÁÔU ---"
"äIIÇIÔÁ / uÉOIÔÁ", 3, 62, 
8, -74, 40.5, 40.6666666667, 
41.0333333333, 2000000, 100000.

Jeżeli uruchomienie jednej z funkcji dodatkowych nie powiedzie się szkodnik infekuje wszystkie skatalogowane tabele.

Leczenie

Program Kaspersky Anti-Virus wykrywa wirusa i usuwa jego kod z zainfekowanych plików, jednak nie może przywracać plików usuniętych przez szkodnika. Do pełnego wyleczenia komputera konieczne może okazać się przywrócenie pliku mapinfow.prj z kopii zapasowej.