Virový maják č. 20: Dva nové makroviry a jeden pokračovatel Černobylu
W97M.Opey.M - alespoň neškodný makrovirus
Další z makrovirů napadající dokumenty MS Word 97, který funguje i v případě, že máte nainstalovaný první Service Pack MS Office. Vlastní kód viru je uložen v modulu Antivirus_1_0. Opey.M odstraňuje z dokumentů všechna uživatelská makra, čímž se podobá první verzi velmi rozšířeného W97M.Cap.
Při otevření zavirovaného dokumentu spustí rutina autoexec, která zajistí vypnutí antivirové ochrany maker, infikuje globální šablonu normal.dot a zmodifikuje funkce filesave, fileclose, fileexit, filenew, autoopen a fileopen. V kódu viru je následující text, který je vložen jako poznámka:
' Company: FoxChit SOFTWARE SOLUTIONS
' Author: Ulysses R. Gotera
' Date Created: March 30, 1999 Date Revisions: <>
' Note: This macro restores the original toolbars and immunizes other files
Před spuštěním infikační rutiny změní virus informace o uživateli MS Wordu (ty najdete v Nástroje-Možnosti-Informace o uživateli) následujícím způsobem:
Jméno: Ulysses R. Gotera
Iniciály: URG
Poštovní adresa: FoxChit SOFTWARE SOLUTIONS
Dále pak upraví souhrnné informace o právě otevřeném dokumentu (najdete je v Soubor-Vlastnosti-Souhrnné informace), kde změní jméno autora na Ulysses R. Gotera a za klíčová slova dosadí FoxChit SOFTWARE SOLUTIONS.
Vzhledem k tomu, že W97M.Opey.M se nešíří elektronickou poštou, což je v současné době velmi populární způsob, ani nemaže či jinak nepoškozuje data, lze jej považovat za relativně málo nebezpečný.
W95.Tip - potenciálně nebezpečný pokračovatel Černobylu
Jedná se o paměťově rezidentní šifrovaný 32bitový virus napadající PE (portable executable) programy pod Windows 9x. Virus má podobné funkce jako legendární W95.CIH alias Černobyl a pokud se dostane do vašeho počítače, můžete se "těšit" na 26. dubna. V tento den totiž W95.Tip zapíše do flash BIOSu informace, které znemožní spuštění počítače a uvedení do provozuschopného stavu vás zřejmě bude stát návštěvu hodně dobrého servisního střediska. Kromě toho s pravděpodobností 2% poškodí tento virus při otevření soubory s příponou DBF (databáze) a SCH (soubory MS Schedule+) tak, že přepíše náhodné 4 bajty, čímž může znemožnit jejich další použití. Virus se chrání mechanismy, které podstatně ztěžují jeho odstranění z počítače. Přítomnost tohoto viru v systému můžete ale poznat dříve než zmíněného 26. dubna, protože při infikaci spustitelných souborů může dojít k jejich poškození, takže pokud vám právě přestal fungovat do té doby bezchybně chodící program, určitě nezapomeňte spustit antivirový program s aktualizovanou virovou databází.
Viry napadající flash BIOS jsou poměrně nebezpečné, ale můžete se jim bránit. Jednou z možností obrany je vypnutí zápisu do BIOSu, což se zpravidla provádí přepínačem nebo propojkou na základní desce (ne všechny desky ale touto funkcí disponují). Spolehlivou ochranou je deska s tzv. dual-BIOSem. V případě, že je primární BIOS poškozen (například útokem viru) a není možný start počítače, stačí obnovit obsah ze záložního BIOSu a máte po starostech (jak to provést a co všechno budete muset po obnově nastavit ručně najdete opět v manuálu k motherboardu).
W97M.Astia.Y - smazat globální šabonu nestačí
O tomto viru původně informovaly některé zdroje jako o W97M.BMH, častěji bylo ale použito označení W97M.Astia.Y, pod nímž jej bude identifikovat většina antivirových programů.
Astia se šíří prostřednictvím dokumentů MS Word 97 a podle některých zdrojů není schopná replikace, pokud máte nainstalovaný první Service Pack MS Office. Podobně jako většina makrovirů i tento vypíná antivirovou ochranu maker v MS Wordu, čímž může otevřít bránu další případné infekci. Vlastní kód viru je uložen ve dvou modulech nazvaných BmH (odtud také pramení původní označení) a Boo. Jedná se o jednu z variant rodiny W97.Astia, jež k infikaci používá soubory SNrml.dot a SNrml.src, které by v české verzi byly uloženy ve složce Program Files\Microsoft Office\Office\Spusteni. Díky tomu nestačí k odstranění viru pouhé smazání šablony normal.dot, což je účinný způsob likvidace jednodušších makrovirů, ale je nutné taktéž smazat oba zmíněné soubory.
Kromě šíření Astia pouze zobrazuje patnáct minut po otevření infikovaného dokumentu obměňující se hlášku s obrázkem, který má uživatel na pozadí pracovní plochy.
Seznam vět, které mohou být virem zobrazeny:
Infected Boomv1.01
Me, No longer to stay in your computer!
Beware of the Boomv1.01!
Otevřením MS Wordu se aktivuje rutina autoexec, která spustí vlastní virus. Ten si pak hlídá funkce fileopen, autoopen, viewvbcode, autoexit, toolsmacro, filetemplates, formatstyle, autoclose, fileexit a toolsoptions a při jejich volání je nahrazuje vlastním kódem.
Pokud například chcete spustit Editor jazyka Visual Basic přes menu (klávesovou zkratku Alt+F11 totiž Astia zablokuje), je vyvolána rutina viewvbcode, která zobrazí hlášku "Are you sure you want to record a new macro ? YES/NO" a po jejím odsouhlasení místo editoru spustí Záznam nového makra.
Jestliže zvolíte v menu Nástroje položku Možnosti, ukáže vám Word implicitní nastavení, takže například nezjistíte, že máte vypnutou antivirovou ochranu maker.
W97M.Astia.Y nepatří mezi nebezpečné viry, přesto byste se ale jeho přítomnosti ve svém počítači měli vystříhat.
|
