Před týdnem jsem vás na tomto místě informoval o viru Toadie a co čert nechtěl - máme tu další novinku.
Před týdnem jsem vás na tomto místě informoval o viru Toadie a co čert nechtěl - máme tu další novinku. Jmenuje se W97M.Thus.A, ale některé antiviry jej označují jako W97.Thursday nebo W97M.Automat.K. Jeho přítomnost v počítači poznáte 13. prosince, kdy se pokusí smazat všechny soubory na disku C.
Jinak jde v podstatě o jednoduchý makrovirus pro MS Word, kterých po celém světě najdete stovky, ne-li tisíce. Virus se skládá z jediného modulu ThisDocument. Princip infikace je jednoduchý - nejprve napadne globální šablonu normal.dot (tím si zajistí aby byl aktivován při každém spuštění Wordu), vypne antivirovou ochranu maker, a kontroluje všechny otevírané dokumenty, na svou přítomnost. Tu pozná podle prvního řádku zdrojového kódu, v němž je poznámka Thus_001. Pokud tuto poznámku nenajde, zkopíruje do dokumentu svůj kód, který umožňuje další šíření.
Potěšující je alespoň informace o tom, že virus se nedokáže "samovolně" šířit prostřednictvím elektronické pošty (jako například Melissa), nebo jiných komunikačních prostředků typu ICQ či IRC (příkladem budiž zmíněný Toadie). Zavirovat svůj počítač můžete tedy jedině v případě, že otevřete infikovaný dokument a povolíte spouštění maker (máte-li vypnutou antivirovou ochranu maker, stačí zavirovaný dokument pouze otevřít).
Prevence
Nejdůležitější součástí prevence před tímto a podobnými viry je pravidlo neotvírat dokumenty nejasného původu, které vám například přijdou jako nevyžádaná pošta. Dále je vhodné mít ve Wordu zapnutou antivirovou ochranu maker (stačí navštívit menu
Nástroje-Možnosti a zkontrolovat, zda je na kartě
Obecné zaškrtnutá volba
Antivirová ochrana maker), která vás informuje v případě, že otvíraný dokument obsahuje makra. Pokud takový dokument obdržíte od osoby, jež má jen základní znalosti o ovládání MS Wordu, je velmi nepravděpodobné, že by přítomné makro mohlo být něčím jiným, než virem. V naprosté většině dokumentů totiž nemají makra naprosto žádné opodstatnění a hláška o jejich přítomnosti je tedy alarmující.
Odstranění
Virus můžete odstranit aktualizovaným antivirovým programem, nebo také "ručně". Pokud nemáte žádný antivir (což je zásadní chyba), postupujte následovně:
- Najděte a smazejte soubor normal.dot, čímž si zajistíte čisté prostředí v MS Wordu (tento soubor najdete zpravidla v Program Files\Microsoft Office\Sablony).
- Spusťte Word a zapněte antivirovou ochranu maker (postup viz. výše)
- Otevřete zavirovaný dokument a na dotaz, zda si přejete spustit makra stiskněte tlačítko Zakázat makra.
- Uložte dokument do formátu RTF (menu Soubor-Uložit jako typ souboru formát RTF). Tím jste z dokumentu odstranili všechna makra, neboť RTF makra (naštěstí) nepodporuje.
- Uzavřete zavirovaný dokument a otevřete jej z formátu RTF.
- Uložte dokument do původního formátu DOC, čímž přepíšete původní soubor (menu Soubor-Uložit jako typ souboru dokument Word).
- Proveďte postup uvedený v bodech 3 až 6 na všech zavirovaných dokumentech (ty poznáte podle toho, že se při jejich otevírání zobrazí hláška o přítomnosti maker).
