ZaRohem.cz Pražské metro Test osobnosti CowParade 2004 Praha MHD v ČR
Blog ZaRohem 1.PCRevue.cz Vinárna Na roli (Petřvald) Restaurace Třebovická role kapela Terra Ignota

Reklama
Hlavní stránka
Aktuality
Software
Internet
Hardware
Seriály
Viry
Tipy a triky
Download
Konference
Napište nám
Reklama
Doporučujeme užitečný crm systém od CÍGLER SOFTWARE!
Reklama
Tip na výkonný Macbook Pro 2017. Pořiďte si rychlý notebook s dlouhou výdrží.
20. září 1999 - Viry

Virový maják č. 11: Dva viry od "Microsoftu" aneb nevěřte všemu...

W32.Fix

W32.Fix je 32bitový středně nebezpečný červ, který se šíří prostřednictvím elektronické pošty. Zpráva, kterou odesílá, je v angličtině nebo španělštině a tvrdí se v ní, že v příloze najdete program opravující chybu související s problémem Y2K.

V okamžiku, kdy přílohu spustíte, zkopíruje se tento virus do adresáře Windows\System a provede několik změn v registrech tak, aby mohl používat vašeho e-mailového klienta. Následně zobrazí hlášku "Your Internet Connection is already Y2K, you don't need to upgrade it.", tedy "Vaše internetová konektivita je připravena na Y2K, nepotřebujete upgrade". Pozornějším čtenářům jistě neušlo, že internetová konektivita nemůže být sama o sobě stižena problémem s chybnou interpretací datumu.

Po restartu systému začne W32.Fix odesílat s každým odcházejícím e-mailem ještě jeden obsahující zprávu s předmětem Internet problem year 2000 a textem v němž tvrdí, že v příloze příjemce najde program na otestování internetové konektivity na problém Y2K, který prý lze stáhnout z oficiálních stránek Microsoftu. Jak jistě správně tušíte, není v příloze žádný test, ale další kopie našeho červa.

Count2K

Další virus, tentokrát z kategorie trojských koňů, můžete opět "chytit" z e-mailu. I tentokrát se jeho autor zaštítil Microsoftem, čímž jistě může zmást mnoho nezkušených uživatelů. Vlastní zpráva obsahuje text:

From: support@microsoft.com

Sender: support@microsoft.com
Received: from Microsoft (stara65.pip.digsys.bg [193.68.4.65])
Subject: Microsoft Announcement
Date: Wed, 15 Sep 1999 00:49:57 +0200

To All Microsoft Users,
We are excited to announce Microsoft Year 2000 Counter.
Start the countdown NOW.
Let us all get in the 21 Century.
Let us lead the way to the future and we will get YOU there FASTER and SAFER.

Thank you,
Microsoft Corporation

Zkuste si tipnout, co najdete v příloze. Napovím: je to 124885 bajtů velký soubor Y2KCOUNT.EXE, po jehož spuštění se zobrazí chyba Password protection error or invalid CRC32! Pokud tipujete, že v příloze je virus, máte pravdu a určitě také správně předpokládáte, že jeho účelem není pouze zobrazení nějaké hlášky.

Ve skutečnosti jde o samorozbalovací archiv vytvořený WinZipem, který obsahuje následující soubory:

Project1.exe
file001.dat
file002.dat
file003.dat
file004.dat

Project1.exe se spustí ihned po dokončení extrakce souborů a nainstaluje všechny *.dat soubory do systémového adresáře jako Proclib.exe, Proclib.dll, Proclib16.dll, ntsvsrv.dll a Nlhvld.dll. Následně přidá ntsvsrv.dll na konec řádky drivers= v sekci [boot] v souboru SYSTEM.INI. Z toho celkem logicky vyplývá, že trojský kůň se probudí současně s následujícím startem systému, kdy přejmenuje soubor WSOCK32.DLL na Nlhvld.dll a původní WSOCK32 nahradí zkopírováním souboru Proclib16.dll. Tím získá kontrolu nad internetovou konektivitou a při každém připojení spustí Proclib.exe. Jediným účelem tohoto "prográmku" je odeslání vašeho uživatelského jména a hesla autorovi.

Odstranění viru:

  1. smazejte odkaz na ntsvsrv.dll ze SYSTEM.INI.
  2. Restartujte počítač a nespouštějte žádnou aplikaci, která by mohla aktivovat WSOCK32.DLL.
  3. Přejmenujte soubor WINDOWS\SYSTEM\Nlhvld.dll na WINDOWS\SYSTEM\WSOCK32.DLL. Pokud při pokusu o přejmenování narazíte na chybovou hlášku, je WSOCK32.DLL aktivován - pak je nutné zakázat všechny internetové a síťové aplikace a provést tuto proceduru znovu.
  4. Smazejte následující soubory ze složky Windows\System
    Proclib.exe
    Proclib.dll
    Proclib16.dll
    ntsvsrv.dll
    Nlhvld.dll

Pokud nevíte, zda náhodou tento nepříjemný program nenavštívil zrovna váš pevný disk, stačí se pouze podívat do systémové složky Windows. Uvidíte-li zde výše jmenované soubory, můžete začít s odstraňováním.

Reklama
 
 
Aktuální články:
Reklama
Program eWay-CRM je praktické CRM řešení integrované přímo do Microsoft Outlooku.
 
 
Reklama
 
© 1.PC Revue.cz - všechna práva vyhrazena
ISSN: 1213-080X
© Karel Kilián ml.
Zásady ochrany osobních údajů
Reklama