Virový maják č. 30: Konec roku 1999 přinesl mnoho nových virů
Konec roku přinesl řadu virů, červů a trojských koňů. Protože novinek bylo opravdu mnoho, podíváme se dnes alespoň stručně na část novinek, další informace můžete očekávat v průběhu tohoto týdne.
W97M.Armagid.A
Jde o jednoduchý makrovirus pro MS Word 97. Není příliš škodlivý, pouze se šíří a 8. května umístí do složky C:\WINDOWS\CURSORS soubor HELP.CUR, obsahující kurzor ve tvaru červeného kříže a zamění kurzor šipky za tento symbol. Během tisku pak provádí záměnu některých znaků.
WM97.BackHand.A
Další relativně neškodný makrovirus pro MS Word 97. Jeho přítomnost v počítači poznáte podle toho, že v pátek třináctého zahesluje všechny otevřené dokumenty heslem Trim(Two) a zobrazí dialogové okno s textem Have A Nice Day! It's Friday 13th! This is my lucky day, I hope it's yours too. V případě, že systémové hodiny ukazují rok 2000, nastaví datum na 1. ledna 1980. Kromě toho každý pátek zobrazuje hlášku, která má v uživateli vyvolat dojem, že dokument, s nímž chce pracovat, je poškozen. Hláška obsahuje tento text:
Your document has been corrupted because of a bug in Word! Call Microsoft Customer Support, they can help you. When you call them, tell them this Bug-ID Code (don't forget it!): 1948321369.
W95.Esmeralda.807
Pro změnu paměťově rezidentní souborový virus, který napadá spustitelné PE (tj. portable executable) soubory EXE tak, že se zapisuje na jejich konec. Virus využívá podobné techniky jako W95.CIH (alias Černobyl), čímž znesnadňuje svou identifikaci. Infikované soubory si Esmeralda "značkuje", takže každý soubor napadne pouze jednou. V těle viru je viditelný text ESMERALDA para Esmeralda Vera Vera Bucaramanga, Colombia, 1999. K odstranění viru je nutné zavést systém z čisté diskety a spustit antivirový program schopný provozu v režimu příkazové řádky.
W32.ExploreZip.C
Další mutace v poslední době často kopírvaného červa ExploreZip. Tentokrát se šíří e-mailem s textem v portugalštině
Oi jméno příjemce
Eu recebi essa merda da uma
olhada ai falou t++++ CYA!!.
V příloze je pak soubor DINHERO.EXE. Stejně jako u původního ExploreZipu se po spuštění zobrazí chybová hláška, avšak na pozadí dojde k infiltraci červa do systému. Infikovaný soubor nese název SYSTEM!.EXE a je spouštěn při každém startu operačního systému. Virus se pak odešle se pomocí elektronické pošty na všechny adresy, které máte v adresáři kontaktů a dále se pokusí infikovat všechny dostupné počítače v síti zkopírováním souboru ERROR!.EXE a úpravou registrů, která zajistí aby byl tento soubor spuštěn při následujícím restartu. To se pochopitelně podaří pouze tehdy, když máte k okolním počítačů příslušná přístupová práva.
Poslední škodolibou činností tohoto červa je nastavení nulové délky souborů s příponami H, C, ARJ, DOC, XLS, RTF a DBF, čímž se tyto soubory nenávratně poškodí.
The_Fly
The_Fly, označovaný v některých zdrojích jako CommonSence.Worm, je červ šířící se prostřednictvím aplikací MS Outlook, mIRC a Pirch. Pochází z dílny stejného autora, jako VBS.BubbleBoy (jistě si na tento virus vzpomenete - byl to historicky první virus, který se aktivuje pouhým "přečtením" e-mailové zprávy).
Fly je šířen v souboru THE_FLY.CHM, což je zkompilovaný soubor nápovědy pro Windows ve formátu HTML obsahující vložený JavaScript. Po otevření se zobrazí varovná hláška - v případe potvrzení dojde ke spuštění skriptu. Červ zkopíruje soubor THE_FLY.CHM do složky Windows pod původním názvem a stejný soubor zkopíruje i do systémové složky, tentokrát pod názvem DXGFXB3D.DLL. Následně umístí do stejné složky nový soubor MSJSVM.JS a přidá do registrů klíč HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Javascript VM.
V případě, že máte nainstalovaný MS Outlook, odešle The_Fly na všechny adresy v adresáři zprávu s předmětem Funny thing a textem If you ride a motorcycle, close your mouth :). Nakonec samozřejmě nezapomene připojit svou další kopii.
Při dalším spuštění nebo restartu Windows se spustí již zmíněný soubor MSJSVM.JS. Ten nejprve zjistí je-li instalován program mIRC nebo Pirch a v případě, že některý z těchto programů nalezne, zajistí po připojení své odeslání všem uživatelům, kteří jsou na stejném kanále jako vy.
Virus odstraníte smazáním souborů THE_FLY.CHM, MSJSVM.JS a DXGFXB3D.DLL a odstraněním klíče HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Javascript VM z registrů. Máte-li nainstalovaný mIRC nebo Pirch, měli byste též smazat soubory SCRIPT.INI a EVENTS.INI a obnovit je ze zálohy.
WM97.Chantal.B
Chantal.B je makrovirus pro MS Word, který 31. dne v měsíci zobrazí pomocníka MS Office s hláškou MK Words V.2 Y2K is Coming Soon.... Pokud systémové hodiny ukazují rok 2000, smaže virus všechny soubory v aktuální složce a v kořenovém adresáři disku C. Svou zlomyslnou činnost ukončí hláškou Welcome To Y2K.
Virus navíc vypouští do systému program napsaný ve Visual Basic skriptu, který provede několik změn v nastavení systému, například nastaví jméno registrovaného uživatele na Mae Koo V-Groups a verzi na MKV-99. V těle viru je obsažen text:
MK-Words 2
From the MKVG - The Lion City
MKVG had present MK Words Version 2
(C) May 1999
Kromě možnosti smazání souborů tedy není WM97.Chantal.B nijak nebezpečný.
Kill98.Trojan
Pro změnu trojský kůň, který je šířen v nelegálních kopiích MS Windows 98 jako 5'682 bajtů velký soubor INSTALAR.EXE. Po spuštění se virus zkopíruje do kořenového adresáře disku C jako KEYB.EXE a zkopíruje soubor C:\Windows\Command\KEYB.COM do souboru SORT.COM. Při příštím startu Windows se virus zkopíruje do složky C:\Windows\Command\ jako KEYB.COM a nastaví španělské rozložení kláves.
Pokud systémový čas ukazuje rok 2000, vymaže virus všechny soubory na disku C.
Odstranění viru je jednoduché: stačí přejmenovat soubor C:\Windows\Command\SORT.COM na C:\Windows\Command\KEYB.COM.
W95.Lovesong.998
Po delší době tu máme virus, jehož cílem není likvidace dat. Jedná se o paměťově rezidentní virus napadající spustitelné soubory, který byl objeven koncem roku v Koreji. Jediným projevem je, že každý první den v měsíci počínaje březnem 2000 přehraje přes PC speaker hudební melodii (údajně se jedná o oblíbený korejský song, takže našinec si asi nezanotuje...). Lovesong funguje pouze pod operačními systémy Windows 9x, uživatelé Windows NT budou tedy "hrajícího" viru ušetřeni.
VBS.Tune
K tomu, aby se mohl tento červ aktivovat právě ve vašem počítači potřebujete mít nainstalovaný Windows Scripting Host, který je standardní součástá Windows 98, Windows 2000 a Windows NT s nainstalovaným Internet Explorerem 5.0x. Dodatečně si toto rozšíření mohou nainstalovat i majitelé starších Windows 95.
Virus se po spuštění nejprve nakopíruje do složek C:\Windows a C:\Windows\System jako tune.vbs a do složky C:\Windows jako temp.vbs. Následně provede úpravu regsitrů tak, aby byl spouštěn při každém startu Windows.
Po spuštění se pak VBS.Tune zkopíruje do kořenového adresáře všech disků, včetně síťových.
V případě, že máte MS Outlook 98 nebo 2000, odešle virus na všechny adresy v adresáři zprávu s předmětem Please Read a textem Hey, you really need to check out this attached file I sent you...please check it out as soon as possible. Přiložený soubor TUNE.VBS pochopitelně obsahuje další kopii viru. Následně upraví registry, čímž zajistí, aby tuto činnost neprováděl opakovaně. Ke svému šíření dokáže využít i aplikace mIRC a Pirch.
Win95.Spaces.1633
Tentokrát jde o nebezpečný VxD virus, který se instaluje jako ovladač do systémů Windows 9x a používá techniky podobné legendárnímu CIHu. Z paměti pak napadá všechny spouštěné programy. 1. června pak poškodí boot sektor pevného disku, takže při dalším spuštění nelze zavést operační systém. Naštěstí je možné provést opravu ze záchranné diskety.
Win32.Crypto
Tento 21'280 bajtů velký virus funguje jak pod Windows 95 a 98, tak i pod Windows NT a 2000. Podle některých informací ale není schopen činnosti pod některými verzemi Windows 95. Charakteristika viru vypadá nebezpečně: šifrovaný, polymorfní, rezidentní virus používající ke svému zamaskování stealth techniky. Autor si ale zřejmě nedal záležet, neboť virus obsahuje řadu chyb, které znemožňují provádění některých neprogramovaných funkcí.
Po spuštění infikovaného souboru vytvoří virus v adresáři Windows soubor kernel32.dll a upraví WININIT.INI tak, aby při příštím statru systému tímto souborem nahradil C:\WINDOWS\SYSTEM\KERNEL32.DLL.
Při každém spuštění Windows pak virus infikuje dvacet spustitelných souborů. Win32.Crypto šifruje dynamické knihovny a sám slouží jako dešifrátor, takže pokud virus odstraníte, nebudou tyto dynamické knihovny fungovat (zde se nabízí podobnost s One Halfem, který šifroval pevný disk a sám sloužil jako klíč - v případě odstranění bez dekódování disku jste se mohli rozloučit se svými daty).
VBS.Lucky.2000
Další VBS virus, kterého se musí obávat pouze uživatelé, kteří mají nainstalovaný Visual Basic Scripting Host. 866 bajtů velký virus pocházející z Německa napadá všechny soubory v adresáři tak, že jejich kód přepisuje vlastním, čímž je nevratně poškodí. S pravděpodobností 1 ku 2 zobrazí Lucky.2000 hlášku This is ou end... a vytvoří v oblíbených položkách zástupce Lucky2000.url odkazujícího na webový server v Rusku. VBS.Lucky.2000 naštěstí neobsahuje žádné replikační techniky, takže nelze předpokládat, že by došlo k výraznějšímu rozšíření.
Zelu.Trojan
Další trojský kůň, který se "tváří" jako utilita na opravu problémů souvisejících s rokem 2000. Je šířen jako soubor Y2K.EXE, který po spuštění zobrazí textovou obrazovku s nadpisem ChipTec Y2K - Freeware Version a položkami Timer, Device Drivers, File System a BIOS. V dolní části obrazovky je pak text Y2K Copyright (C) 1999 - 2002 ChipTec All Rights Reserved. Zelu.Trojan pak postupně přepisuje všechny soubory na disku textem This file is sick! It was contaminated by the radiation liberated... by the explosion of the atomic bomb..., čímž je poškodí a zcela znemožní jejich opravu.
Co říci závěrem? Buďte opatrní a nedůvěřiví, nikdy nespouštějte programy a neotvírejte dokumenty, které vám přijdou elektronickou poštou. Opatřete si kvalitní antivirový program a pravidelně aktualizujte jeho virovou databázi. Přijít o data spuštěním jednoho hloupého programu můžete velice rychle a snadno!
|
