Virový maják č. 21: VBS.BubbleBoy - stačí jen přečíst mail a máte zavirovaný počítač!
Jedná se o historicky první virus, který se aktivuje pouhým "přečtením" e-mailové zprávy. Obvyklé viry jsou šířeny jako příloha, kterou je nutno otevřít nebo spustit, takže uživatel se může bránit například tak, že přílohy nebude otvírat, nebo že bude maily s přílohou automaticky mazat - pak má jistotu, že se mu touto cestou žádný virus do počítače nedostane. VBS.Bubbleboy je ale obsažen přímo v těle samotné zprávy jako "neviditelný" VB skript (není tedy jako příloha) a spustí se v okamžiku, kdy si takto infikovanou zprávu chcete přečíst. K tomu je ale nutné splnit několik předpokladů
- musíte mít Windows 9x nebo 2000 (pod Windows NT údajně nefunguje).
- musíte mít anglickou nebo španělskou verzi Windows.
- musíte mít Windows v adresáři C:\Windows.
- musíte mít nainstalovanou podporu Windows Scriptingu (ta je standardně pouze pod Windows 98 a 2000).
- musíte mít nainstalovaný MS Internet Explorer 5.0.
- musíte používat MS Outlook 98, MS Outlook 2000, nebo MS Outlook Express.
V tuto chvíli je tedy potenciální nebezpečí velmi nízké - relativně malé procento českých uživatelů má nainstalované anglické Windows 98, takže ohroženi jsou především ti, kdož testují Windows 2000.
 Virus se šíří e-mailovou zprávou, kde je jako odesílatel uveden ten, jehož počítač byl napaden před vámi, předmětem BubbleBoy is back! a textem The BubbleBoy incident, pictures and sounds http://www.towns.com/dorms/tom/bblboy.htm.
"Přečtením" zprávy (v MS Outlooku musíte zprávu otevřít, v MS Outlook Express stačí pouze náhled v náhledovém okně) se do adresáře C:\Windows\Start Menu\Programs\StartUp (resp. C:\Windows\Menu Inicio\Programas\Inicio pro španělskou verzi) uloží soubor UPDATE.HTA, který je spuštěn při nejbližším startu nebo restartu operačního systému.  Poté Bubbleboy změní v registrech informaci o vlastníkovi Windows - jméno uživatele nastaví na BubbleBoy a organizaci na Vandelay Idustries a v zápětí odešle e-mailovou zprávu v HTML formátu (jedině tento formát totiž umožňuje odesílat zprávy s integrovaným skriptem, který se spustí po jejich zobrazení) obsahující jeho kopii na všechny adresy, které najde v adresáři aplikace Outlook (ev. Outlook Express). Na závěr, jako většina virů této kategorie, provede úpravu registrů tak, aby při další aktivaci nedošlo k opakovaném rozeslání a zobrazí hlášku System error, delete "UPDATE.HTA" from the startup folder to solve this problem.
Je velmi pravděpodobné, že (stejně jako v případě Melissy) vznikne velká skupina virů založená na principu BubbleBoy, která bude pracovat i pod dalšími jazykovými mutacemi Windows. V současné době jsou na světě dvě varianty, které se liší pouze tím, že BubbleBoy.B je šifrovaný. Naštěstí existuje řada způsobů, jak se bránit:
- Nainstalovat opravný patch pro MS Internet Explorer 5.0.
- Odinstalovat Windows Scripting. Nechcete-li Windows Scripting odinstalovávat, zrušte alespoň asociaci souborů HTA s touto aplikací.
- Nastavit bezpečnost Internet Exploreru na nejvyšší úroveň.
- Opatřit si antivirový program schopný sledovat příchozí poštu (všechny významné firmy již připravily aktualizace virových definic).
Vzhledem k tomu, že tento virus nepáchá žádnou destruktivní činnost, je považován za málo nebezpečný.
|
