Virový maják č. 11: Dva viry od "Microsoftu" aneb nevěřte všemu...
W32.Fix
W32.Fix je 32bitový středně nebezpečný červ, který se šíří prostřednictvím elektronické pošty. Zpráva, kterou odesílá, je v angličtině nebo španělštině a tvrdí se v ní, že v příloze najdete program opravující chybu související s problémem Y2K.
V okamžiku, kdy přílohu spustíte, zkopíruje se tento virus do adresáře Windows\System a provede několik změn v registrech tak, aby mohl používat vašeho e-mailového klienta. Následně zobrazí hlášku "Your Internet Connection is already Y2K, you don't need to upgrade it.", tedy "Vaše internetová konektivita je připravena na Y2K, nepotřebujete upgrade". Pozornějším čtenářům jistě neušlo, že internetová konektivita nemůže být sama o sobě stižena problémem s chybnou interpretací datumu.
Po restartu systému začne W32.Fix odesílat s každým odcházejícím e-mailem ještě jeden obsahující zprávu s předmětem Internet problem year 2000 a textem v němž tvrdí, že v příloze příjemce najde program na otestování internetové konektivity na problém Y2K, který prý lze stáhnout z oficiálních stránek Microsoftu. Jak jistě správně tušíte, není v příloze žádný test, ale další kopie našeho červa.
Count2K
Další virus, tentokrát z kategorie trojských koňů, můžete opět "chytit" z e-mailu. I tentokrát se jeho autor zaštítil Microsoftem, čímž jistě může zmást mnoho nezkušených uživatelů. Vlastní zpráva obsahuje text:
From: support@microsoft.com
Sender: support@microsoft.com
Received: from Microsoft (stara65.pip.digsys.bg [193.68.4.65])
Subject: Microsoft Announcement
Date: Wed, 15 Sep 1999 00:49:57 +0200
To All Microsoft Users,
We are excited to announce Microsoft Year 2000 Counter.
Start the countdown NOW.
Let us all get in the 21 Century.
Let us lead the way to the future and we will get YOU there FASTER and SAFER.
Thank you,
Microsoft Corporation
Zkuste si tipnout, co najdete v příloze. Napovím: je to 124885 bajtů velký soubor Y2KCOUNT.EXE, po jehož spuštění se zobrazí chyba Password protection error or invalid CRC32! Pokud tipujete, že v příloze je virus, máte pravdu a určitě také správně předpokládáte, že jeho účelem není pouze zobrazení nějaké hlášky.
Ve skutečnosti jde o samorozbalovací archiv vytvořený WinZipem, který obsahuje následující soubory:
Project1.exe
file001.dat
file002.dat
file003.dat
file004.dat
Project1.exe se spustí ihned po dokončení extrakce souborů a nainstaluje všechny *.dat soubory do systémového adresáře jako Proclib.exe, Proclib.dll, Proclib16.dll, ntsvsrv.dll a Nlhvld.dll. Následně přidá ntsvsrv.dll na konec řádky drivers= v sekci [boot] v souboru SYSTEM.INI. Z toho celkem logicky vyplývá, že trojský kůň se probudí současně s následujícím startem systému, kdy přejmenuje soubor WSOCK32.DLL na Nlhvld.dll a původní WSOCK32 nahradí zkopírováním souboru Proclib16.dll. Tím získá kontrolu nad internetovou konektivitou a při každém připojení spustí Proclib.exe. Jediným účelem tohoto "prográmku" je odeslání vašeho uživatelského jména a hesla autorovi.
Odstranění viru:
- smazejte odkaz na ntsvsrv.dll ze SYSTEM.INI.
- Restartujte počítač a nespouštějte žádnou aplikaci, která by mohla aktivovat WSOCK32.DLL.
- Přejmenujte soubor WINDOWS\SYSTEM\Nlhvld.dll na WINDOWS\SYSTEM\WSOCK32.DLL. Pokud při pokusu o přejmenování narazíte na chybovou hlášku, je WSOCK32.DLL aktivován - pak je nutné zakázat všechny internetové a síťové aplikace a provést tuto proceduru znovu.
- Smazejte následující soubory ze složky Windows\System
Proclib.exe
Proclib.dll
Proclib16.dll
ntsvsrv.dll
Nlhvld.dll
Pokud nevíte, zda náhodou tento nepříjemný program nenavštívil zrovna váš pevný disk, stačí se pouze podívat do systémové složky Windows. Uvidíte-li zde výše jmenované soubory, můžete začít s odstraňováním.
|
