Aktuální zprávy ze světa virů
HTML.Bother.3180
Jedná se o skript využívající k provádění svých akcí prvky ActiveX, který je umístěn do HTML stránky. Při otevření takové stránky se zobrazí hlášení, že k prohlížení je nutné akceptování ActiveX komponent. V případě, že toto povolíte nebo pokud máte zabezpečení nastavené na nejnižší úroveň, dojde k aktivaci viru; v opačném případě se skript pochopitelně nespustí.
Jednou z funkcí je změna výchozí stránky Internet Exploreru a připojování kódu ke všem souborům s příponami .htm a .html ve složkách Windows\Web a Dokumenty. Kromě toho, pokud číslo dne odpovídá náhodně vygenerovanému číslu, změní implicitní ikonu pro HTML soubory.
Přesný popis funkce:
- Vytvoří na ploše soubor Hello.txt. Jedná se o soubor obsahující pouze dva řádky textu s informace o původním skriptu.
- Následně ve složce Windows\System vytvoří soubor PetiK.htm a nastaví ho jako výchozí stránku Internet Exploreru. Výchozí stránka se pak skládá z rámů, přičemž jednu část okna tvoří původní domovská stránka, pod kterou je umístěna další stránka s textem:
Hi, you have my Worm.
It's not dangerous.
Contact Symantec Corporation (www.symantec.com/avcenter) to disinfect your computer.
- Virus vyhledá všechny soubory s příponou .htm a .html ve složkách Dokumenty a Windows\Web a přidá na jejich konec svůj kód.
- Nakonec vygeneruje náhodné číslo a pokud se toto číslo shoduje s číslem dne, změní ikonu pro HTML soubory.
Tento virus není ve své podstatě příliš nebezpečný a patrně jedinou nepříjemnou vlastností je již zmíněná změna ikon a výchozí stránky.
VBS.Noped.A@mm
Jedná se o červa šířícího se elektronickou poštou, který zobrazuje textový soubor v poznámkovém bloku, přenastaví domovskou stránku Internet Exploreru a vyhledává na všech pevných i síťových discích soubory .jpg a .jpeg se specifickými názvy. V případě, že takové soubory nalezne, odešle zprávu náhodnému příjemci ze seznamu vládních agentů.
E-mail obsahující tento virus má předmět FWD: Help us ALL to END ILLEGAL child porn NOW (Pomožte nám skoncovat s nelegální dětskou pornografií), v příloze je uložen soubor END ILLEGAL child porn NOW.TXT............vbe a tělo zprávy obsahuje text Hi, just a quick e-mail. Please read the attached document as soon as you can. Thanks. Po otevření přiloženého souboru dojde ke spuštění kódu viru. V první řadě se virus rozešle e-mailem na všechny adresy z adresáře kontaktů. Následně zobrazí v poznámkovém bloku soubor s textem pojednávajícím o dětské pornografii a boji proti ní. Poté upraví registry tak, aby se spouštěl současně s operačním systémem a změní výchozí stránku prohlížeče na stránku autora viru. Nakonec prohledá disky, na kterých se podle názvu pokusí nalézt obrázky s pedofilní tematikou a v případě, že nalezne odpovídající soubory, odešle e-mail náhodně vybranému vládnímu agentovi . Tento e-mail má předmět RE: Child Pornography, text Hi, this is Antipedo2001. I have found a PC with known Child Pornography files on the hard drive. I have included a file listing below and included a sample for your convenience a v příloze je přehled nalezených souborů. Na závěr vypne nastavení některých zvuků pro systémové události Windows.
Virus neprovádí žádné destruktivní akce, není jinak nebezpečný, nicméně má poměrně velkou tendenci šířit se.
W95.Buggy.Worm@mm
Základní funkce spočívá v rozesílání elektronickou poštou v e-mailu s předmětem The last patch for Internet Explorer a přílohou ie042601.exe. Po spuštění se program zaregistruje jako služba a není tudíž vidět v seznamu spuštěných úloh (pod Windows NT a 2000 toto nefunguje). Následně se zkopíruje do složky Windows\System a upraví konfigurační soubor win.ini tak, aby došlo k automatickému spuštění viru současně s operačním systémem. Poté vytvoří následující soubory:
- C:\Script.ini
- \Windows\Email.vbs (obsahuje kód viru VBS.Newlove.A).
- C:\Win.drv
- \Windows\Wsock32.bat
Souborem Script.ini pak nahradí soubory C:\Mirc\Script.ini, C:\Mirc32\Script.ini. Tyto soubory jsou přítomné pouze v případě, že má uživatel nainstalovaný komunikační program mIRC. Po spuštění této aplikace dojde k automatickému odeslání souboru ie042601.exe všem uživatelům, kteří jsou v daném okamžiku na stejném kanále. Další způsob šíření je takřka tradiční - elektronickou poštou ve zprávě, kterou jsme si popsali výše, a samozřejmě na všechny adresy z adresáře kontaktů. Kromě toho se autor pokusil, aby jeho virus změnil tapetu pracovní plochy za obrázek Petik.bmp, který si měl stáhnout z Internetu, nicméně v této části zajišťované souborem Win.drv, je chyba a tudíž tato funkce nefunguje.
W97M.Wrath
Makrovirus šířící se v dokumentech MS Word. Po otevření takto infikovaného dokumentu a povolení spuštění maker vytvoří virus nejprve soubory C:\Mswin.dll a C:\Mswin2.dll obsahující zdrojový kód viru. Z těchto souborů následně infikuje globální šablonu Normal.dot a aktuální otevřený dokument. Poté, co je tato akce provedena, jsou soubory C:\Mswin.dll a C:\Mswin2.dll smazány. Pokud je systémové datum mezi 4. a 8. červencem, dojde k vymazání všech souborů ve složkách Dokumenty a Windows a zobrazení zprávy Happy July 4th!. V případě, že je systémové datum 3. července, změní barvu pozadí MS Wordu na modrou a otevře v poznámkovém bloku soubor s textem FEEL MY WRATH........
Tento virus lze díky mazání souborů považovat za poměrně nebezpečný, nicméně pokud nepovolíte spouštění maker, nemusíte se ho obávat. V opačném případě si můžete připravit instalační disk operačního systému a vzpomínat na to, kam jste uložili poslední zálohu svých dokumentů. |
