Virový maják č. 27: dvě nové mutace známých virů
Win32.ICQGreetings.Worm
Virus Win32.ICQGreetings.Worm (časté je též pojmenování W32.Mypics.worm.27648), objevený 9. prosince, je novou variantou W32.Mypics.Worm. Jeho cílem je zničení dat a aplikací zformátováním pevných disků, k němuž má dojít 1. ledna 2000.
ICQGreetings se šíří e-mailem jako příloha Icq_Greetings.exe, přičemž zpráva nemá předmět a neobsahuje žádný text. Po spuštění se soubor zkopíruje do počítače a provede úpravu registrů tak, aby se aktivoval automaticky při každém startu operačního systému.
Deset minut po prvním spuštění virus přepošle své kopie na padesát adres, které najde v adresáři kontaktů MS Outlooku a tuto činnost pak opakuje každých dalších deset minut.
Jak již bylo řečeno, IcqGreetings se pokusí zformátovat disky v pořadí D, E, A, F, U a B, ale protože obsahuje několik chyb, údajně se mu tato činnost nezdaří. Podle dalších informací tento červ smaže až 30. ledna všechny soubory s příponou začínající písmenem C, O a I ve složkách Windows a Windows\System.
W32.ExploreZip.worm.pak.b
Další varianta vycházející z červa Worm.ExploreZip, tentokráte přeložená do italštiny (funguje ale i pod dalšími jazykovými mutacemi Windows).
Po spuštění se zobrazí anglická hláška Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help. ovšem mezitím se červ zkopíruje do počítače jako _saver.scr (v původní verzi to byl _setup.exe) a drvssrv.exe (původně Explore.exe) a upraví soubor win.ini (pod Win9x) nebo registry (pod WinNT) tak, aby byl spuštěn automaticky při startu systému. Pak hlídá veškerou doručnou poštu a "odpovídá" na ní zprávou s textem Ho ricevuto la tua E-mail e rispondero al piu presto. Nel frattempo, leggi i doc allegati. Ciao!. Jako přílohu přidá 137'321 bajtů velký soubor File_Zipputi.exe. Tento soubor má stejnou ikonu, jako archivy zkomprimované WinZIPem, čímž může zmást nepoučené uživatele.
Cílem tohoto červa je likvidace souborů se specifickou příponou (především jde o dokumenty MS Office a zdrojové kódy některých programovacích jazyků) o což se pokusí hned po spuštění a následně každých 30 minut. Stejně jako původní Worm.ExploreZip i tato mutace hledá mapované síťové disky a najde-li na nich nainstalované Windows, zmodifikuje inicializační soubor win.ini tak, aby byl ExploreZip spuštěn při každém startu Windows. Tím je možné během několika hodin infikovat celou vnitropodnikovou síť a zničit všechny dokumenty.
Buďte velmi obezřetní v případě, že dostanete elektronickou poštou nějaký soubor. Pokud jste si soubor sami nevyžádali, zeptejte se odesílatele proč vám příslušný soubor poslal a podá-li dobré vysvětlení, uložte tento soubor na disk a prověřte jej antivirovým programem s aktuální virovou databází. V opačném případě doručený e-mail bez váhání smažte.
|
