ZaRohem.cz Pražské metro Test osobnosti CowParade 2004 Praha MHD v ČR
Blog ZaRohem 1.PCRevue.cz Vinárna Na roli (Petřvald) Restaurace Třebovická role kapela Terra Ignota

Reklama
Hlavní stránka
Aktuality
Software
Internet
Hardware
Seriály
Viry
Tipy a triky
Download
Konference
Napište nám
Reklama
Doporučujeme užitečný crm systém od CÍGLER SOFTWARE!
Reklama
Tip na výkonný Macbook Pro 2017. Pořiďte si rychlý notebook s dlouhou výdrží.
28. červen 1999 - Viry

Virový maják č. 1: Virus Heathen.A

Od posledního poprasku způsobeného červem ExploreZip byl relativně klid. Ačkoliv virů je každým dnem stále více a více, stojí za zmínku teprve novinka Heathen.A. Není sice tak nebezpečný jako viry "velkých jmen", ale přesto může způsobit řadu nepříjemností.

W97M.Heathen.12288.A, jak zní celý název, je multipartitní virus, který napadá soubor EXPLORER.EXE a dokumenty MS Wordu. Virus se původně rozšířil z diskusní skupiny a replikuje se skrze soubory Microsoft Word 97. Potěšující je, že neničí data, a na rozdíl od Melissy a Worm.ExploreZip se také nedokáže sám rozesílat e-mailem. Odborníci ho řadí do kategorie středně nebezpečných virů.

Jde o další pokus zkombinovat techniky makrovirů se schopnostmi klasických virů napadajících aplikace Win32. Vir obsahuje řadu chyb, takže funguje pouze pod Windows 95 (uživatelé Windows 98 a NT se ho nemusí bát).

Nakazit se můžete pouze otevřením infikovaného dokumentu. Ten lze nejčastěji dostat e-mailem nebo si ho stáhnete ze serveru, který je tímto virem napaden.

Průběh infekce:

  • po otevření zavirovaného dokumentu se spustí makro AutoOpen, jež vytvoří soubor HEATHEN.VDO do adresáře Windows.
  • jako další je do adresáře Windows umístěn Win32 program HEATHEN.VDL dlouhý 12288 bytů, který obsahuje rutinu určenou k infikování dokumentů MS Word.
  • virus modifikuje EXPLORER.EXE tak, aby se při každém spuštění aktivoval HEATHEN.VDL. Infekce může způsobit nestabilitu Průzkumníka a problémy s MS Word 97.
  • pokud se předchozí krok nepodaří (soubor EXPLORER.EXE má atribut read only nebo je právě používán), virus zkopíruje EXPLORER.EXE do HEATHEN.VEX, ten následně zmodifikuje a zamění jej při dalším spuštění Windows zpět za EXPLORER.EXE. Toho dosáhne zápisem do WININIT.INI pomocí příkazu: [rename]

    C:\WINDOWS\Explorer.exe=C:\WINDOWS\Heathen.vex

  • Po spuštění modifikovaného EXPLORER.EXE následuje:
    • nahraje se HEATHEN.VDL, který na pozadí projde všechny dostupné disky.
    • poté tato rutina vyhledá všechny soubory .DOC a .DOT.
    • jestliže tyto soubory neobsahují makra, nahraje do nich obsah HEATHEN.VDO.
Podle dalších informací po šesti měsících smaže Heathen registry Windows včetně zálohy, čímž znemožní spuštění systému.

Způsob léčení:

  1. Smazejte soubory HEATHEN.VDO a HEATHEN.VDL z adresáře Windows.
  2. Pokuste se najít soubor WININIT.INI. V případě, že je přítomen, vymažte z něj řádky obsahující [rename] a C:\WINDOWS\Explorer.exe=C:\WINDOWS\Heathen.vex. Jestliže soubor nemá jiný obsah, můžete jej smazat celý.
  3. Restartujte počítač.
  4. Odstraňte infekční makro z napadených dokumentů (k tomuto raději použijte antivirový program specializovaný na likvidaci makrovirů).
  5. Nahraďte soubor EXPLORER.EXE z instalačního CD Windows 95 (u standardních Windows je zkomprimován ve WIN95_10.CAB, u OSR2 pak ve WIN95_17.CAB). K rozbalení použijte WinZip nebo jiný program schopný pracovat s archívy CAB.

Reklama
 
 
Aktuální články:
Reklama
Program eWay-CRM je praktické CRM řešení integrované přímo do Microsoft Outlooku.
 
 
Reklama
 
© 1.PC Revue.cz - všechna práva vyhrazena
ISSN: 1213-080X
© Karel Kilián ml.
Zásady ochrany osobních údajů
Reklama