Primul Java-virus din lume

Costin Raiu

În urmă cu puţine săptămâni a fost descoperit primul virus informatic care infectează aplicaţiile scrise în Java. Virusul, numit "StrangeBrew", reprezintă o noutate în domeniu, deoarece până acum se credea că pericolul unui virus scris în Java este doar teoretic.

Primul antidot din lume la acest virus l-a constituit un produs software din România, antivirusul RAV (versiunea 6.08) produs de GeCAD The Software Company.

Java.StrangeBrew.A este un virus nativ Java, capabil să infecteze atât applet-uri cât şi aplicaţii, însă se poate răspândi numai dacă este rulat ca aplicaţie, folosind programul JAVA.EXE din JDK sau altceva simi lar, precum utilitarul JVIEW al Microsoft. Virusul nu se înmulţeşte dacă este lansat din navigatoare web precum Netscape Navigator sau MS Internet Explorer, dar funcţionează dacă este lansat ca applet din browser-ul Sun HotJava, sau dintr-un browser configurat să ruleze plug-in-ul de securitate care permite applet-urilor să ruleze ca aplicaţii Java.

Virusul foloseşte metoda "System.getProperty" pentru a afla directorul curent al utilizatorului ("user.dir") şi a lista toate obiectele aflate în directorul curent. Apoi testează toate aceste obiecte, dacă sunt fişiere, dacă fişierul este accesibil, dacă lungimea este multiplu de 101 bytes şi dacă numele fişierului se termină cu ".class". Testul de lungime este utilizat de către virus pentru a se autodetecta în fişierele deja infectate. Interesant de menţionat că este vorba de acelaşi test utilizat şi de viruşii scrişi de membri grupului 29A, viruşi cum ar fi Win95.Marburg. Virusul caută toate fişierele din directorul curent care au dimensiunea divizibilă cu 101 (zecimal). Dacă un fişier trece toate aceste teste, virusul crează un nou obiect Random AccessFile pentru a-l accesa. Autorul virusului a ales să utilizeze RandomAccessFile în loc de DataInput şi DataInputStream pentru că foloseşte operaţii "seek" pentru a lucra în fişier, operaţii permise numai de obiectul RandomAccessFile. De notat că loader-ul unei clase poate fi scris fără a utiliza nici o operaţie "seek", dar probabil a fost mult mai simplu pentru autor să scrie parser-ul folosind apeluri "seek". Fişierul candidat este deschis read-only, pentru că virusul va face doar câteva teste pe fişier, rutina de infecţie fiind apelată mai târziu. Dacă vă întrebaţi de ce virusul caută fişiere infectate în directorul curent, răspunsul e simplu: trebuie să-şi încarce codul de undeva, pentru că nu-l poate accesa direct din memorie. Deci trebuie să caute fişiere infectate şi să încarce corpul virusului în două zone de memorie alocate dinamic (de lungimi 2860 şi 1030 bytes).

De acum înainte, produsele AV performante vor trebui să includă (dacă nu făcut-o deja) loader-e şi analizoare pentru cod Java.

Este foarte probabil că virusul a fost scris doar ca demonstraţie că un astfel de virus poate fi creat. Mecanismul său de infecţie este pe, de o parte, destul de primitiv (îşi caută corpul în alte fişiere), iar pe de alta este foarte performant (datorită rutinei de infectare directă). Limbajul Java este însă foarte puternic. Viruşi criptaţi şi, de ce nu, polimorfici pot fi scrişi şi în Java. Detectarea lor s-ar putea să ridice probleme în industria produselor Anti-Virus, dar câtă vreme aplicaţiile Java nu sunt foarte mult schimbate printre utilizatori, este foarte puţin probabil ca asfel de viruşi să se răspândească. Situaţia este aproape aceeaşi ca la viruşii pentru Microsoft Access, cu o mică diferenţă: pentru a scrie un virus de Java este nevoie de un nivel de cunoştinţe / cali tăţi de programare mult mai mare. Deci şi şanse mai puţine ca aceştia să prolifereze.

Primul antidot din lume la "StrangeBrew" – un soft românesc

Antivirusul RAV 6.08 produs de GeCAD - The Software Company, care are un motor special adăugat pentru acest tip de viruşi, este primul antivirus din lume care poate detecta şi curăţa "StrangeBrew". Soluţia românească la acest virus a apărut după numai câteva zile (şi nopţi de lucru intens) de la primele infecţii raportate cu "StrangeBrew". Performanţa românească a fost recunoscută ca atare şi mediatizată imediat de publicaţii de profil din Europa occidentală.

Pentru mai multe informaţii vizitaţi pagina de web GeCAD, unde puteţi găsi o analiză detaliată a virusului, realizată de specialiştii echipei RAV.

Primul Java-virus din lume

Primul antidot din lume la "StrangeBrew" – un soft românesc

BYTE România - septembrie 1998

(C) Copyright Computer Press Agora