Virový maják č. 31: Konec roku 1999 přinesl mnoho nových virů II
Pokračujeme ve výčtu virů, které se vyrojily koncem loňského a počátkem letošního roku. "Nabídka" je skutečně velmi pestrá, posuďte sami:
W32.Aladdin.worm alias W32.Antiqfx.Worm
Jde o 32 bitového červa napsaného v C++, který byl objeven krátce před Štědrým dnem a zatím jediný výskyt byl zaznamenán ve Velké Británii. Soubor, kterým se virus šíří, se jmenuje MSCDEX.EXE (stejně nazvaný soubor používaly CD mechaniky v režimu MS DOS, nebo mechaniky fungující pod Windows v reálném režimu) a je velký 114'688 bajtů. Virus používá dynamickou knihovnu síťového rozhraní MPR.DLL k zjištění dostupných systémů v síti, čehož využije pro své další šíření. Tím se podobá dobře známému červu ExploreZip.
Program se umísťuje do složek:
- \winnt\profiles\Administrator\Start Menu\Programs\Startup\mscdex.exe
- \winnt\profiles\All Users\Start Menu\Programs\Startup\mscdex.exe
- \windows\Start Menu\Programs\Startup\mscdex.exe
Podle všeho by tedy neměl být nebezpečný pod českou verzí Windows, neboť ta používá lokalizované názvy složek.
Při dalším restartu provede úpravy registrů tak, aby se červ spouštěl jako služba systému. Cílem tohoto viru je smazání souborů QFXWIN.EXE, QFXWIN.INI, QFXWIN1.DLL, QFXCC.DLL, AVER.INI, AMWIN1.DLL, AMCC.DLL, AVERMAGIC.EXE, AMAGIC.EXE a souborů s příponami .bth, .mar, .gly, .isp, .pos, .bru, .qfo, .que, .cat ,.lut a .lso.
Zda je váš počítač tímto virem napaden poznáte velmi snadno: stačí se podívat do kořenového adresáře disku C a najdete-li zde soubor MSCDEX.EXE, prověřte nabídku Startup v menu Start a zkontrolujte registry na přítomnost volání tohoto souboru.
Pro odstranění červa Aladdin.worm se doporučuje nastartovat počítač z čisté systémové diskety a spustit antivirový program z příkazové řádky.
Feliz.Trojan
Další trojský kůň, který se maskuje jako neškodná aplikace. Jako většina virů této kategorie, neobsahuje ani tento žádné replikační instrukce, nicméně je velmi destruktivní, neboť po spuštění smaže soubory registrů (system.dat a user.dat), interpreter příkazové řádky (command.com), důležité systémové soubory (system.ini, system.cb a win.ini) a životně důležitý win.com. Po smazání všech zmíněných souborů se zobrazí obrázek s ošklivě vyhlížejícím obličejem a titulkem FELIZ ANO NOVO!!! (Šťastný nový rok v portugalštině). Pokud uživatel stiskne tlačítko Exit, zobrazí se ještě několik dialogových oken s portugalským textem a program se ukončí. Při příštím spuštění již ale počítač nebude schopen nastartovat ani do nouzového režimu a jediným způsobem obnovy je nabootování z čisté systémové diskety, obnovení registrů a nahrání smazaných souborů ze zálohy.
Wscript.KakWorm
Wscript.KakWorm je červ, který ke svému šíření používá MS Outlook Express, jež má na svém počítači nainstalovaný většina uživatelů Internetu. Připojuje se ke všem odesílaným zprávám jako podpis. Využívá známé bezpečnostní díry v tomto programu, která umožňuje, že svůj počítač můžete infikovat bez nutnosti otevírání nějaké přílohy - stačí si pouze zobrazit zprávu infikovanou tímto virem a během okamžiku již Wscript.KakWorm řádí ve vašem počítači.
Po zobrazení zprávy se automaticky spustí kód viru, který umístí do složky Po spuštění soubor KAK.HTA. Při příštím restartu provede úpravu registrů tak, aby ke každému odcházejícímu e-mailu byla připojena kopie tohoto viru.
Prvního dne v měsíci v pět hodin odpoledne pak zobrazí hlášku Kagou-Anti-Kro"oft says not today!. Potěšující je alespoň informace, že Wscript.KakWorm se pouze šíří, ovšem neničí data na pevném disku.
W97M.Surround.A
Další z mnoha virů pro patrně nejpopulárnější platformu MS Word 97, který je schopen replikace i v případě, že máte nainstalovaný první Service Pack MS Office. Kód viru je uložen v jediném modulu Surround , odkud také pochází jeho název. Po spuštění (tj. po povolení maker při otevírání infikovaného dokumentu) vytvoří virus v kořenovém adresáři disku C textový soubor Surround.key s atributy "skrytý" a"systémový" a vypne antivirovou ochranu maker MS Wordu.
Je-li systémové datum 21. prosince, přehraje virus výchozí zvuk Windows (při standardním nastavení je to Ding.wav).
O osm dnů později, tedy 29. prosince, vymaže Surround soubor win.com a zobrazí hlášku Virus information You are now Surrounded!!. Při dalším spuštění počítače již nebude možné nastartovat operační systém. Tato zkáza se vyhne uživatelům, kteří nemají Windows instalovaná na disku C ve složce začínající písmeny WIN.
Obnovit systém do původního stavu naštěstí není až tak obtížné, protože všechny ostatní důležité systémové soubory nechává tento virus nedotčené.
|
