Virový maják č. 23 - šest nových virů za jediný týden
W97M.Jany.A - další makrovir šířící se Internetem
Jedná se o virus napadající dokumenty Word 97, který je schopný se šířit i v případě, že máte nainstalovaný první Service Pack MS Office. Jako obvykle i Jany.A vypíná antivirovou ochranu maker, čímž si usnadňuje šíření a zároveň otvírá bránu pro průnik dalších virů. Samotný kód viru je uložen v modulu nazvaném Jany_2000 (proto také některé zdroje používají označení Jany2000). Virus je nebezpečný především tím, že odesílá napadené dokumenty skrze mIRC a Pirch, čehož dosahuje modifikací skriptů. Kromě toho zobrazuje v určené datum různé hlášky. Ke svému šíření používá soubor JANY2000.DLL, obsahující zdrojový kód, který je uložen v kořenovém adresáři disku C. Z něj je pak infikována globální šablona a dokumenty.
Virus používá známé "maskovací techniky" skrytí zdrojového kódu, takže pokud se pokusíte spustit Editor jazyka Visual Basic, dostanete jako odpověď hlášku No code to see!.
Kódu viru obsahuje následující text, která se nikdy nezobrazí:
'V_Name = [JANY2000]
'Author = [Del_Armg0]
'Date = [14nov99]
'Type = [W97MacroVirus/Mirc_Pirch_Worm/NoDestructor!/AndAlwaysForAGirl;)]
'GreetZ = [Jany, Secret aka Stram ! ;), Phage, all_on_#vxtrader&vx-vtc, Fa, Elsa, Soph&Franck, &marie42_]
'Disclaim=[JE L'AIME TOUTE ENTIERE... SIMPLEMENT]
Po infikování je globální šablona, otevřený a aktivní dokument uložen do složky Windows do souborů Jany_is_cute.doc, Jany_is_Sweet.doc, Jany2000.doc a PASSWORDS.doc.
Dále jsou zapsány skriptovací soubory c:\mirc\script.ini, c:\pirch32\events.ini a c:\pirch98\events.ini.
Pokud se pak přihlásíte do nějakého kanálu mIRC, je všem uživatelům odeslána zpráva Jany2000 HI!!! Une Jany Virtuelle, c deja ca!!! ;) a soubory Jany_is_cute.doc a Jany_is_Sweet.doc.
Používáte-li Pirch, odešle se všem uživatelům na stejném kanále zpráva A Del_Armg0 Ripped! Script 4 Jany se soubory Jany2000.doc a PASSWORDS.DOC.
Jestliže bude příjemce naivní, zvědavý a ještě navíc povolí spouštění maker, stane se další obětí viru Jany.A.
Kromě rozesílání sebe sama zobrazuje virus následující hlášky:
- každého prvního dne v měsíci:
Lorsque tout me ravit, J'ignore
Si quelque chose me seduit.
Elle eblouit comme l'Aurore
Et console comme la Nuit
- každého druhého dne v měsíci:
Et l'harmonie est trop exquise,
Qui gouverne tout son beau corps,
Pour que l'impuissante analyse
En note les nombreux accords.
- Každého 31. dne v měsíci (poznámka: jde pouze o hlášku - ve skutečnosti nedojde k žádnému poškození dat)
U're going now to be Destroyed ! Sorry, but if u ShutDown, u won't restart, believe me ! ; )
But U can Do one Thing... if u're able to save 25 .doc in 1 minutes, i leave u alone... almost... C u :) hehehe ... Del_ !"
- 14. února:
Pire que tout l'Amour-Propre et la Fierte,... Mais l'Amour reste Pur, Sage & Eternel... La Vie n'en est pas moins dure... 1000BaiserS a toi... & Happy St Valentin a vous toutes que j'Aime tant,
Fa_luv_U
- 15. května:
Et l'harmonie est trop exquise Qui gouverne tout son beau corps, Pour que l'impuissante analyse En note les nombreux accords.
- 8. listopadu:
Lorsque tout me ravit, J'ignore
Si quelque chose me seduit.
Elle eblouit comme l'Aurore
Et console comme la Nuit
- 31. prosince:
WAAA!!! YEAR2000 Tomorrow!!! Great no?? I Guess yes!!! Et je te souhaite que ces années 2000 soient fastes, heureuses, et pleines de surprises cools ; ) Bises!!!
Kromě šíření a odesílání dokumentů, k čemuž Jany.A využívá nepříliš používané programy (alespoň ve srovnání s MS Outlook Expressem, který je platformou pro šíření virů založených na Melisse), není tento virus příliš nebezpečný.
W97M.Mck.E a W97M.Mck.F - podobní bráškové
Další makroviry pro MS Word 97, které (tentokrát) nejsou schopné šíření v případě, že máte nainstalovaný první Service Pack MS Office 97. Kód viru je uložen v modulu Halimaw (varianta E) nebo Bungo (varianta F). Virus je vytvořen generátorem a je polymorfní.
W97M.Mck nahrazuje události autoopen, autonew, filesave, filesaveas a fileclose vlastním kódem, který se spustí při požadavku na otevření, zavření, uložení nebo vytvoření nového dokumentu.
Virus při otevření dokumentu, v případě, že číslo minuty je mezi 1 a 30, používá funkci Vybrat vše-Vyjmout, čímž na první pohled vymaže text dokumentu. Naštěstí je ale možné celý dokument obnovit, protože je stále uložen ve schránce (to provedete buď klávesovou zkratkou Ctrl+V nebo přes menu Úpravy-Vložit).
Obě varianty W97M.Mck mění informace o dokumentu, kdy nastaví jméno autora na Lucky Warrior, klíčová slova na W97M/Halimaw (varianta E) nebo W97M/Bungo (varianta F) a do komentáře doplní Anti Government Corrupt Officials (E) resp. More to come... (F).
Varianta F navíc mění údaje o uživateli Wordu, jehož jméno nastaví na Lucky Warrior, iniciály na LW a adresu na Bgy. Tiguib, O.E.S..
W97M.Mck.E je podstatně nebezpečnější, protože se každého dvacátého dne v měsíci pokusí smazat všechny soubory a složky DOSovským příkazem deltree.
W97M.Melissa.O - pouze rozesílá maily....
Málo nebezpečná pokračovatelka rodu Meliss, která je schopná replikace i pod Wordem s nainstalovaným Service Packem. Aktivuje se v okamžiku uzavření infikovaného dokumentu, kdy napadne globální šablonu. Jediným cílem této mutace je rozesílání e-mailové zprávy s předmětem Duhalde Presidente jméno uživatele a textem Programa de gobierno 1999 - 2004 na prvních sto adres z adresáře MS Outlooku. Jako příloha je samozřejmě odeslán dokument obsahující další kopii Melissy.O.
W97M.Melissa.W - nebezpečná sestřička
A ještě jedna Melissa, která se, stejně jako ta předcházející, dokáže šířit pod Wordem SR-1. Některé zdroje označují tuto mutaci jako W97M.Prilissa.A.
Virus po své aktivaci nejprve zjistí, existuje-li v registrech v klíči HKEY_CURRENT_USER\Software\Microsoft\Office položka CyberNET s hodnotou (C)1999 - Indonesia by AnomOke!. V případě, že tuto položku nenajde, rozešle přes Outlook zprávu na prvních padesát adres z adresáře. Tato zpráva má předmět Message From jméno uživatele a obsahuje text This document is very Important and you've GOT to read this !!! s přílohou obsahující Melissu.W. Nakonec virus provede úpravu registrů tak, aby při příští aktivaci nedošlo k opětovnému rozesílání zpráv.
Nebezpečí přichází 25. prosince, kdy Melissa.W zobrazí hlášku ©1999 - CyberNET Vine...Vide...Vice...Moslem Power Never End...You Dare Rise Against Me... The Human Era is Over, The CyberNET Era Has Come !!! a přepíše autoexec.bat vlastním, obsahujícím následující instrukce:
@echo off
@echo Vine...Vide...Vice...Moslem Power Never End...
@echo Your Computer Have Just Been Terminated By
-= CyberNET =- Virus !!!
ctty nul
format c: /autotest /q /u
Ti, kdož umí pracovat v prostředí MS DOS, jistě vědí, že po restartu počítače dojde k zobrazení textové hlášky a zformátování pevného disku (nehrozí majitelům Windows NT, protože tento systém soubor autoexec.bat při svém startu nepoužívá).
Wyx - starý dobrý bootvirus
V záplavě makrovirů se takřka ztrácí viry "staré generace". Tuto díru alespoň částečně vyplňuje Wyx, což je paměťově rezidentní bootvirus používající k zamaskování své přítomnosti stealth techniky.
Jediný způsob, jak můžete infikovat svůj počítač, je zavedení systému z diskety, která má Wyx v boot sektoru. Virus se pak zapíše do MBR a boot sektoru pevného disku, čímž si zajistí aktivaci při každém spuštění počítače. Z paměti se pak pokusí infikovat každou disketu, s níž budete pracovat, takže taková disketa pak slouží k jeho dalšímu šíření.
|
