Openoffice makró féreg – három platform ellen
A RosszNyuszinak, azaz BadBunnynak keresztelt féreg a Windows, a Mac és a Linux alapú gépeket egyaránt megtámadhatja, ám szakértők szerint nem jelent komoly veszélyt.
A StarBasicben – az OpenOffice csomag makrónyelvén – írt féreg onnan kapta a nevét, hogy többek között egy nyúlnak öltözött férfit ábrázoló pornográf képet jelenít meg. Mivel a StarBasic minden olyan operációs rendszeren fut, amelyen az OpenOffice, így a Windows, a Mac OS és a Linux környezet egyaránt alkalmas a kártevő számára.
Az OpenOffice felhasználó akkor fertőződhet meg, ha megnyit egy badbunny.odg nevű OpenOffice Draw állományt. Ekkor a makró megjeleníti a nyulas pornóképet, majd felteszi a kérdést:
Hey %username% you like my BadBunny?
(“Hahó, tetszik a RosszNyuszim?”; %username% az aktuális felhasználónév), s kitesz egy OK gombot is. Azonban hogy megnyomjuk-e a gombot vagy sem, az mindegy: eddigre már lefutott a terjedésről gondoskodó kód.Platformtól függően a féreg különböző “feladatokat” hajt végre, persze a már említett kép megjelenítésén kívül. Ezek rendre a következők.
- Windows: A féreg ledob az áldozat gépére egy drop.bad nevű állományt, amelyet aztán, ha van a felhasználónak mIRC mappája, annak system.ini -jébe tesz át. Ledobja ezen kívül a badbunny.js állományt is. Ez utóbbi nem más, mint egy JavaScript vírus, amely a mappában lévő más állományokra terjed tovább.
- Mac OS: A féreg két Ruby szkript vírus valamelyikét dobja le (a lehetséges fájlnevek: badbunny.rb vagy badbunnya.rb).
- Linux: A féreg XChat szkripként ledobja a badbunny.py állományt, valamint elhelyez egy apró Perl vírust (fájlneve badbunny.pl), amely más Perl állományokat fertőz meg.
Terjesztéséhez a vírus a ledobott mIRC és XChat szkriptet használja. Közben túlterheléses támadással is próbálkozik a következő vírusvédelmi site-ok ellen:
www.ikarus.at
www.aladdin.com
www.norman.no
www.norman.com
www.kaspersky.com
www.kaspersky.ru
www.kaspersky.pl
www.grisoft.cz
www.symantec.com
www.proantivirus.com
www.f-secure.com
www.sophos.com
www.arcabit.pl
www.arcabit.com
www.avira.com
www.avira.de
www.avira.ro
www.avast.com
www.virusbuster.hu
www.trendmicro.com
www.bitdefender.com
www.pandasoftware.comm
www.drweb.com
www.drweb.ru
www.viruslist.com
A BadBunny egy olyan csoport műve, amely már korábban is írt StarOffice kártevőt. Tőlük származott a tavaly májusban felfedezett Stardust vírus, amely Silvia Saint pornósztár képét próbálta meg letölteni. A most talált féreg azonban az eddigi legösszetettebb kód, s az első, amely – legalábbis elméletben – több platformon is terjedhet. Emiatt szakértők egyetértenek, hogy minden eddigi StarOffice kártevő közül ennek van a legtöbb esélye, hogy vadon terjedjen. Ezzel együtt úgy gondolják: inkább a “régi iskolához” tartozó, bizonyítási céllal írt rosszindulatú kód a BadBunny, s nem igazi támadási-károkozási szándékkal készült.
Az OpenOffice.org üzenetben igyekezett megnyugtatni a felhasználókat. Levelezőlistájukon így nyilatkoztak: “Az OpenOffice.org mérnökei komolyan veszik a szoftver biztonságát, s bármilyen új fejleményre azonnal reagálni fognak. Ez a bizonyítéknak szánt (\\”proof of concept\\”) vírus azonban nem új információ, s nem teszi szükségessé szoftverjavítás kibocsátását”. Persze szakértők, mint mindig, most is azt ajánlják: ne bízzunk az ismeretlen forrásból származó állományokban.
