Virový maják č. 2: Virus W97M.JulyKiller

W97M.JulyKiller je makrovirus, který byl poprvé objeven na Taiwanu. JulyKiller infikuje globální šablonu MS Word (tj. šablona NORMAL.DOT) a přidává novou šablonu do kořenového adresáře disku C, nazvanou AUTOEXEC.DOT. Virus je nejnebezpečnější v červenci, kdy nahradí soubor AUTOEXEC.BAT vlastním, obsahujícím příkaz ke smazání všech souborů na disku C. Podle informací se JulyKiller neumí aktivovat, pokud máte MS Office 97 Service Pack 1, nebo vyšší.

Popis:
Makrovirus používá jeden modul VBA5 nazvaný A. Tento modul obsahuje čtyři funkce: AutoOpen, AutoNew, AutoClose a AutoExec, jež jsou aktivovány v okamžiku, kdy v MS Wordu otevřete dokument, vytvoříte nový dokument, zavřete dokument, nebo spustíte MS Word. Každá z těchto funkcí vykoná následující kroky:

Průběh infekce:

1. Vytvoří novou šablonu C:\AUTOEXEC.DOT (nezaměňovat s AUTOEXEC.BAT!) a změní cestu k souborům, které se "natáhnou" při spuštění MS Wordu z původního C:\Program Files\Microsoft Office\Office\Spusteni na C:\. Tím se šablona AUTOEXEC.DOT aktivuje při každém spuštění Wordu.
2. Vypne antivirovou ochranu maker ve Wordu.
3. Odstraní moduly nazvané AutoOpen, AutoNew, AutoClose a AutoExec ze všech otevřených dokumentů a šablon, včetně NORMAL.DOT (tím si připraví prostor pro bod 4).
4. Zkopíruje vlastní virový modul A do všech otevřených dokumentů a šablon, včetně NORMAL.DOT.
5. Zmodifikuje klávesové zkratky Alt+F8 (Makra) a Alt+F11 (Editor jazyka Visual Basic). Ty pak namísto původní funkce vyvolají uložení souboru. Klávesám Alt+F1 a Alt+F2 následně přiřadí původní funkce kláves Alt+F8 a Alt+F11 (zřejmě programátorova zadní vrátka, aby se k těmto volbám dostal).
6. Změní menu Nástroje-Šablony a doplňky, Nástroje-Možnosti, Nástroje-Makro, Nástroje-Editor jazyka Visual Basic a další tak, aby vyvolaly makro AutoClose. Stejně upraví panely nástrojů Editoru jazyka Visual Basic, čímž ztíží ruční odstranění škodlivých maker.
7. Nastaví všechny panely nástrojů tak, aby je uživatel nemohl změnit.

Pokud tuto zprávu potvrdíte, zobrazí se další hláška obsahující text:

"You are wise, please choose this later again, critically!"

Jestliže ovšem změníte odpověď na něco jiného, nebo stisknete třikrát tlačítko Storno, virus zobrazí:

"Stop it! you are so incurable to lose 3 chances!
Now,god will punish you..."

a nahradí soubor C:\AUTOEXEC.BAT vlastním, který obsahuje příkaz DELTREE s parametry C: /y *.*. Soubor AUTOEXEC.BAT se zpracovává při každém spuštění počítače, takže při příštím restartu nebo spuštění počítače dojde ke smazání dat.

Způsob léčení:

1. Odstraňte soubor C:\AUTOEXEC.DOT, který virus vytvořil. Během mazání nesmí být tento soubor používán (tj. nesmí být spuštěný Word).
2. Protože virus znemožnil nastavení všech menu a panelů nástrojů, musíte smazat šablonu NORMAL.DOT (zpravidla bývá v C:\Program Files\Microsoft Office\Sablony).
3. Zkontrolujte, zda v menu Nástroje-Možnosti-Umístění souborů je položka Spouštění nastavena na C:\Program Files\Microsoft Office\Office\Spusteni. Jestliže směřuje na C:\, budete jí muset ručně nastavit na správný adresář.
4. V Poznámkovém bloku otevřete soubor C:\AUTOEXEC.BAT. Jestliže obsahuje příkaz DELTREE C: /Y *.*, bude nutné tento soubor smazat a nahradit jej za zálohy.