Virus Navidad se šíří českým Internetem. Buďte opatrní!
Celou řadu českých firem i domácích uživatelů potkal koncem minulého týdne a zejména pak během pondělí a úterý nový a poměrně nepříjemný virus Navidad. Pojďme se společně podívat na to, jaká hrozí rizika, jak virus poznat, jakým způsobem se mu bránit, případně jak jej odstranit ze systému.
Způsob šíření
Navidad se, jako ostatně velká část současných virů, šíří prostřednictvím elektronické pošty. Díky tomu je rychlost postupu infekce velice vysoká. Liší se ale tím, že ke svému šíření dokáže využívat nejen poštovního klienta MS Outlook, ale též MS Outlook Express, který má společně s Internet Explorerem nainstalovaný většina českých uživatelů.
Z infikovaného počítače virus vybere všechny zprávy, které uživatel ještě nepřečetl, a bez jeho vědomí rozešle tyto zprávy všem, kdož jsou uvedeni jako příjemci. Díky tomu taková zpráva působí důvěryhodným dojmem: jako odesílatel je uveden někdo, koho znáte, předmět zprávy odpovídá předmětu některé zprávy patřící původně odesílateli (tudíž je většinou v češtině, takže působí věrohodnějším dojmem, než viry odesílající vlastní zprávy s anglickým předmětem) a taktéž zpráva samotná obsahuje pouze původní text. Že se jedná o e-mail, který odeslal virus Navidad poznáte podle toho, že má v příloze soubor navidad.exe (velikost tohoto souboru je 32'768 bajtů). V takovém případě doručenou zprávu neprodleně smažte a upozorněte odesílatele na to, že je jeho počítač infikován.
Jak probíhá infikace
Infikovat systém můžete jedině tehdy, jestliže nedodržujete základní pravidla pro práci s elektronickou poštou, tedy například otevíráte-li spustitelné soubory s příponou .exe zaslané bez dalšího vysvětlení v příloze zprávy. Po spuštění navidat.exe (lhostejno, zda jej spustíte přímo z poštovního klienta, nebo jej nejprve uložíte na pevný disk a teprve následně otevřete) provede virus úpravu registrů, čímž dosáhne toho, že operační systém nebude schopný spustit jakýkoli program s příponou .exe. Systém napadený Navidadem poznáte tak, že se při pokusu o spuštění jakéhokoli programu zobrazí chybová hláška informující o tom, že není možné najít soubor winsvrc.exe (obvykle se objeví hned po spuštění systému a není možné jí stornovat). Některé zdroje také mluví o tom, že po prvním spuštění dojde k zobrazení dialogového okna s titulkem Error obsahujícího pouze nápis UI a tlačítko OK a následnému zobrazení modré ikony s okem v system tray na hlavním panelu vedle ukazatele času.
Z technického hlediska je nejprve do složky Windows\System zkopírován soubor winsvrc.vxd a do registrů jsou přidány následující položky:
- HKEY_CURRENT_USER\SOFTWARE\Navidad
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Win32BaseServiceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe
- HKEY_CLASSES_ROOT\exefile\shell\open\command\ (default)=C:\WINDOWS\SYSTEM\winsvrc.exe "%1" %*
- HKEY_LOCAL MACHINE\Software\CLASSES\exefile\shell\open\command\ (default)=C:\WINDOWS\SYSTEM\winsvrc.exe "%1" %*
Všimněte si zejména posledních dvou záznamů, které mění způsob, jak mají Windows zacházet se spustitelnými soubory .exe. Při pokus o spuštění má být vyvolán program winsvrc.exe, ovšem Navidat umístil do systému pouze soubor s příponou .vxd - to je vysvětlením chybové hlášky o nemožnosti nalezení souboru winsvrc.exe. Podle některých zdrojů se jedná o chybu a původně měl Navidat fungovat poněkud jiným způsobem. Takto "pouze" znemožní spuštění jakéhokoli programu, což je sice velice nepříjemné, nicméně nemusíte se obávat ztráty nebo poškození dat.
Jak se viru zbavit?
Jestliže jste spustili infikovaný soubor, existuje několik způsobů, jak systém opět uvést do provozuschopného stavu. Kromě ruční editace registrů (kterou znesnadňuje fakt, že Editor registrů nefunguje, neboť se jedná o program s příponou .exe - lze jej ale zprovoznit přejmenujete-li jej v příkazovém řádku z regedit.exe na regedit.com) můžete použít několik opravných utilit, které pro tyto účely připravily antivirové společnosti. Nejlepší zkušenosti máme s programem rmnavida pocházející z Grisoftu. Po spuštění se v případě, že je systém infikován, zobrazí dotaz, na který odpovíte stiskem klávesy Y. Program pak odstraní všechny zápisy z registrů i soubor winsvrc.vxd. Následně doporučujeme provést restart systému.
Jak se bránit
Bránit se můžete především tím, že nebudete otevírat žádné přílohy e-mailových zpráv, u kterých vám odesílatel patřičně nezdůvodní, proč přílohu posílá (v případě Navidadu to ani zdůvodnit nemůže, neboť zprávy jsou z jeho počítače odesílány automaticky, aniž by o tom uživatel věděl). V současné době je tedy důležité dávat zejména pozor na přílohu navidad.exe, která zcela jednoznačně znamená, že se jedná o virus.
Viry se samozřejmě mohou vyskytovat i ve vědomě zaslaných souborech - například v dokumentech MS Office, programech, atd. Z tohoto důvodu je velmi dobré opatřit si kvalitní antivirový program s co možná nejčastější aktualizací (všechny současné antiviry jsou bez nejnovější virové databáze proti Navidadu zcela neúčinné).
Navidad je díky chybě pouze hodně nepovedenou karikaturou viru, která pouze zablokuje spouštění programů. Obrovský potenciál spočívá především v jeho způsobu šíření elektronickou poštou - zejména ve využívání zpráv, které má uživatel v doručené poště. Tyto zprávy vypadají poměrně důvěryhodně a množství infikovaných počítačů u nás i po celém světě pouze dokazuje, jak jsou uživatelé (slušně řečeno) naivní a důvěřiví. V načatém díle jistě budou pokračovat další programátoři virů, kteří Navidad vylepší o celou řadu nových funkcí (například o mazání dokumentů nebo úplnou devastaci systému). Až někoho z nich napadne pojmenovat rozesílaný soubor místo nic neříkajícího navidad.exe například na sex.exe, nastane nejspíš opravdová virová apokalypsa. |
