ZaRohem.cz Pražské metro Test osobnosti CowParade 2004 Praha MHD v ČR
Blog ZaRohem 1.PCRevue.cz Vinárna Na roli (Petřvald) Restaurace Třebovická role kapela Terra Ignota

Reklama
Hlavní stránka
Aktuality
Software
Internet
Hardware
Seriály
Viry
Tipy a triky
Download
Konference
Napište nám
Reklama
Doporučujeme užitečný crm systém od CÍGLER SOFTWARE!
27. září 1999 - Viry

Virový maják č. 12: Nebezpečný virus ExploreZip má svého nástupce

Máme tu další virus, který může navštívit zrovna váš počítač. Jak jej chytíte? Jako ostatně většinu virů velmi snadno! Prostě vám jako příloha e-mailové zprávy přijde dokument SUPPL.DOC obsahující vložený EXE soubor. Tento soubor je klasický červ, který svou funkcí připomíná dobře známého trojského koně z února letošního roku W32.Ska (alias Happy99.exe). Stejně jako W32.Ska i tento virus používá ke svému šíření knihovnu WSOCK32.DLL, kterou nahradí vlastní (zde je zřejmá odlišnost - W32.Ska tuto knihovnu pouze modifikoval). Upravená knihovna pak zajišťuje, aby byl společně s každým e-mailem odesílán i zavirovaný dokument SUPPL.DOC.

V případě, že máte ve Wordu zapnutou antivirovou ochranu maker, zobrazí se při otevření dokumentu hláška o přítomnosti maker. Pokud makra povolíte, nebo máte-li antivirovou ochranu vypnutou, provedou se následující kroky:

  1. Je zjištěno umístění adresáře Windows (zpravidla je adresář Windows na disku C v kořenovém adresáři, ale nemusí to být pravidlem!)
  2. Do tohoto adresáře se zkopírují tři soubory:
    • WININIT.INI velký 143 bajtů
    • DLL.LZH velký 6712 bajtů
    • ANTHRAX.INI velký 38968 bajtů
  3. Ze souboru DLL.LZH je dekomprimován 16384 bajtů velký DLL.TMP.
  4. Po restartu nebo novém zapnutí počítače se provedou instrukce uvedené v souboru WININIT.INI (tento soubor používají některé instalační programy například k záměně systémových souborů, pokud není možné tuto záměnu provést při spuštěném systému). Nejprve je soubor WSOCK32.DLL přejmenován na WSOCK33.DLL, následně je WSOCK32.DLL nahrazen souborem DLL.TMP.
  5. Soubory DLL.LZH a WININIT.INI jsou odstraněny.
  6. Změněný WSOCK32.DLL potom zajišťuje, aby ke každému odeslanému e-mailu byl jako příloha přidán SUPPL.DOC, čímž si virus zajišťuje další šíření.
Jestliže vám pouhé šíření připadá málo zajímavé, můžete se 163 hodin (6 dnů a 19 hodin) po prvním zavedení modifikovaného WSOCK32.DLL "těšit" na to, že vám virus prohledá všechny fyzické i mapované disky a zničí soubory DOC, XLS, TXT, RTF, DBF, ZIP, ARJ a RAR podobným způsobem, jako to dělal červ ExploreZip (tj. nastaví informaci o jejich velikosti na nulu).

Přítomnost viru Suppl poznáte snadno podle hlášky informující o přítomnosti maker v infikovaných dokumentech a dále podle změny velikosti globální šablony NORMAL.DOT.

Odstranění viru není příliš obtížné - stačí v režimu MS DOS nahradit soubor Windows\System\WSOCK32.DLL původním WSOCK33.DLL, zrestartovat počítač, smazat šablonu NORMAL.DOT a zkontrolovat antivirovou ochranu maker. V případě již zmíněné hlášky o přítomnosti maker nikdy nedovolte jejich spuštění a na infikované dokumenty použijte antivirový program s aktuální virovou databází.

Jestliže právě pláčete nad ztracenými daty, máte snad ještě nějakou šanci na záchranu, použijete-li software pro obnovu smazaných souborů. Nedělejte si ale příliš velké naděje a počítejte s tím, že pokud pravidelně nezálohujete, patrně se můžete s částí ztracených dat navždy rozloučit.

Reklama
 
 
Aktuální články:
Reklama
Program eWay-CRM je praktické CRM řešení integrované přímo do Microsoft Outlooku.
 
 
Reklama
 
© 1.PC Revue.cz - všechna práva vyhrazena
ISSN: 1213-080X
© Karel Kilián ml.
Zásady ochrany osobních údajů
Reklama