Virový maják č. 29: nové viry NewApt a W32.Video.worm
W32.NewApt
Další z mnoha virů, které se šíří elektronickou poštou. První výskyt byl zaznamenán počátkem minulého týdne v několika zemích současně.
Zpráva obsahující NewApt má předmět Just for your eyes a tělo obsahuje text, který záleží na typu klienta. Pokud váš e-mailový program nepodporuje HTML, uvidíte zprávu he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT stuff, v opačném případě se pak zobrazí http://stuart.messagemates.com/index.html Hypercool Happy Year 2000 funny programs and animations?. We attached our recent animation from this site in our mail ! Check it out! Firma MessageMates, která je ve zprávě označena jako původce přiloženého souboru ovšem nemá s tímto virem nic společného.
Pokud přiložený 69'632 bajtů velký soubor, který může mít jeden ze 26 známých názvů, spustíte, zobrazí se varovná hláška s textem The dinamic link library giface.dll could not be found in specified path seznam názvu adresářů. Místo seznam názvu adresářů jsou zobrazeny všechny složky nadefinované v autoexec.bat v proměnné PATH. Všimněte si také slova dinamic, které obsahuje hrubku (správně je dynamic), což by mohlo nasvědčovat tomu, že autor viru nepochází z anglofonní země.
Následně NewApt zjistí, je-li v systému nainstalován MS Outlook Express a v případě kladného výsledku umístí do složky Windows dva soubory:
- mma. - obsahuje seznam e-mailových adres získaný ze souborů na pevném disku (např. soubory MS Mail, Outlook Express, atd.). Tento seznam je pak v pravidelných intervalech aktualizován.
- mmail. - obsah adresáře MS Outlook Expressu.
Poté virus upraví registry tak, aby byl spouštěn při každém startu operačního systému. Při příštím spuštění Windows se virus zavede do paměti a po určité době odešle na adresy obsažené v souboru mma. e-mail, jež jsme si popsali na začátku.
Po půlnoci 26. prosince se NewApt začne pokoušet každé tři vteřiny o spojení s jiným počítačem (údajně má jít o počítač umístěný u Microsoftu) a údajně také zkouší v náhodných okamžicích vytáčet telefonní čísla.
12. června 2000 pak NewApt sám odstraní svůj záznam v registrech a při následném zavedení systému se již neaktivuje.
W32.Video.25600.Worm
W32.Video.25600.Worm je další červ založený na v současné době velmi populárním W32.Mypics.Worm. Stejně jako Mypics využívá ke svému šíření elektronickou poštu, přičemž zpráva kterou se tento virus šíří nemá žádný předmět a obsahuje text Here's a digital video for you. Jestliže spustíte 25'600 bajtů velký soubor video.exe, jež najdete v příloze, uloží se do kořenového adresáře disku C dva soubory - video.exe a zip01.exe. Druhý jmenovaný soubor je následně aktivován při každém startu Windows, čehož W32.Video dosahuje obligátním zápisem do registrů. Cílem tohoto červa je smazání všech souborů s příponou začínající písmeny C, O a I z adresáře Windows a ze systémového adresáře, čímž s znemožní start Windows.
|
