Virový maják č. 28: Dva nové viry (naštěstí jen málo nebezpečné)

W32.HLLW.Soft6

V okamžiku, kdy uživatel s administrátorskými právy spustí soubor instals.exe (ten můžete dostat např. elektronickou poštou nebo na disketě), se virus pokusí najít v lokální síti další počítače s operačním systémem Windows NT. V případě, že takový stroj najde, zkopíruje do adresáře SYSTEM32 oba zmíněné soubory a upraví registry tak, aby byly spuštěny při každém zavedení operačního systému.

Mezi 9. a 12. hodinou pak virus zobrazí již zmíněnou hlášku. Po nějaké době bude velikost obou souborů nastavena na nulu, v důsledku čehož červ přestane fungovat. Nebezpečnost W32.HLLW.Soft6 lze naštěstí považovat za velmi nízkou.

W97M.Verlor.a

W97M.Verlor lze svým způsobem považovat za stealth virus. Neskrývá se sice před antivirovým programem, ovšem před uživatelem, který ví, že makroviry najde v editoru jazyka Visual Basic, se dokáže skrýt celkem rafinovaným způsobem. Pokud si totiž takový uživatel spustí editor VBA, změní virus v registrech jméno uživatele, na nějž jsou registrovány Windows na the Overlord a do souboru win.ini do sekce [windows] přidá řádek run=c:\windows\overlord.b.vbs. Následně uloží do adresáře Windows soubory overlord.b.vbs (tj. VBScript) a overlord.b.dll obsahující zdrojový kód viru v ASCII formátu. Poté se Verlor sám odstraní ze všech otevřených dokumentů i z globální šablony a teprve pak zobrazí samotný editor VBA (kde pochopitelně uživatel nenajde ani stopy po nějakém viru).

Při příštím startu Windows je spuštěn soubor overlord.b.vbs, který opětovně infikuje globální šablonu kódem ze souboru overlord.b.dll a z ní jsou pak dále infikovány veškeré dokumenty. Podmínkou k úspěšnému provedení této "reinkarnace" je nainstalovaný Windows Scripting Host.

W97M.Verlor.a neničí data ani se nerozesílá elektronickou poštou či jiným způsobem. Nelze tedy očekávat, že by se rozšířil závratnou rychlostí, jak je u současných virů zvykem. Přesto buďte opatrní.