Konec roku 1999 přinesl mnoho nových virů

Konec roku přinesl řadu virů, červů a trojských koňů. Protože novinek bylo opravdu mnoho, podíváme se dnes alespoň stručně na část novinek.
Konec roku přinesl řadu virů, červů a trojských koňů. Protože novinek bylo opravdu mnoho, podíváme se dnes alespoň stručně na část novinek.

W97M.Armagid.A
Jde o jednoduchý makrovirus pro MS Word 97. Není příliš škodlivý, pouze se šíří a 8. května umístí do složky C:\WINDOWS\CURSORS soubor HELP.CUR, obsahující kurzor ve tvaru červeného kříže, a zamění kurzor šipky za tento symbol. Během tisku pak provádí záměnu některých znaků.

WM97.BackHand.A
Další relativně neškodný makrovirus pro MS Word 97. Jeho přítomnost v počítači poznáte podle toho, že v pátek třináctého zahesluje všechny otevřené dokumenty heslem Trim(Two) a zobrazí dialogové okno s textem Have A Nice Day! It's Friday 13th! This is my lucky day, I hope it's yours too. V případě, že systémové hodiny ukazují rok 2000, nastaví datum na 1. ledna 1980. Kromě toho každý pátek zobrazuje hlášku, která má v uživateli vyvolat dojem, že dokument, s nímž chce pracovat, je poškozen. Hláška obsahuje tento text:

Your document has been corrupted because of a bug in Word! Call Microsoft Customer Support, they can help you. When you call them, tell them this Bug-ID Code (don't forget it!): 1948321369.

W95.Esmeralda.807
Pro změnu paměťově rezidentní souborový virus, který napadá spustitelné PE (tj. portable executable) soubory EXE tak, že se zapisuje na jejich konec. Virus využívá podobné techniky jako W95.CIH (alias Černobyl), čímž znesnadňuje svou identifikaci. Infikované soubory si Esmeralda "značkuje", takže každý soubor napadne pouze jednou. V těle viru je viditelný text ESMERALDA para Esmeralda Vera Vera Bucaramanga, Colombia, 1999. K odstranění viru je nutné zavést systém z čisté diskety a spustit antivirový program schopný provozu v režimu příkazové řádky.

W32.ExploreZip.C
Další mutace v poslední době často kopírvaného červa ExploreZip. Tentokrát se šíří e-mailem s textem v portugalštině

Oi jméno příjemce, Eu recebi essa merda da uma olhada ai falou t++++ CYA!!.

V příloze je pak soubor DINHERO.EXE. Stejně jako u původního ExploreZipu se po spuštění zobrazí chybová hláška, avšak na pozadí dojde k infiltraci červa do systému. Infikovaný soubor nese název SYSTEM!.EXE a je spouštěn při každém startu operačního systému. Virus se pak odešle pomocí elektronické pošty na všechny adresy, které máte v adresáři kontaktů, a dále se pokusí infikovat všechny dostupné počítače v síti zkopírováním souboru ERROR!.EXE a úpravou registrů, která zajistí, aby byl tento soubor spuštěn při následujícím restartu. To se pochopitelně podaří pouze tehdy, když máte k okolním počítačů příslušná přístupová práva.

Poslední škodolibou činností tohoto červa je nastavení nulové délky souborů s příponami H, C, ARJ, DOC, XLS, RTF a DBF, čímž se tyto soubory nenávratně poškodí.

The_Fly
The_Fly, označovaný v některých zdrojích jako CommonSence.Worm, je červ šířící se prostřednictvím aplikací MS Outlook, mIRC a Pirch. Pochází z dílny stejného autora jako VBS.BubbleBoy (jistě si na tento virus vzpomenete - byl to historicky první virus, který se aktivuje pouhým "přečtením" e-mailové zprávy).

Fly je šířen v souboru THE_FLY.CHM, což je zkompilovaný soubor nápovědy pro Windows ve formátu HTML obsahující vložený JavaScript. Po otevření se zobrazí varovná hláška - v případe potvrzení dojde ke spuštění skriptu. Červ zkopíruje soubor THE_FLY.CHM do složky Windows pod původním názvem a stejný soubor zkopíruje i do systémové složky, tentokrát pod názvem DXGFXB3D.DLL. Následně umístí do stejné složky nový soubor MSJSVM.JS a přidá do registrů klíč HKEY_LOCAL_MACHINE\Software \Microsoft\Windows \CurrentVersion\Run\Javascript VM.

V případě, že máte nainstalovaný MS Outlook, odešle The_Fly na všechny adresy v adresáři zprávu s předmětem Funny thing a textem If you ride a motorcycle, close your mouth :). Nakonec samozřejmě nezapomene připojit svou další kopii.

Při dalším spuštění nebo restartu Windows se spustí již zmíněný soubor MSJSVM.JS. Ten nejprve zjistí, je-li nainstalován program mIRC nebo Pirch, a v případě, že některý z těchto programů nalezne, zajistí po připojení své odeslání všem uživatelům, kteří jsou na stejném kanále jako vy.

Virus odstraníte smazáním souborů THE_FLY.CHM, MSJSVM.JS a DXGFXB3D.DLL a odstraněním klíče HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Javascript VM z registrů. Máte-li nainstalovaný mIRC nebo Pirch, měli byste též smazat soubory SCRIPT.INI a EVENTS.INI a obnovit je ze zálohy.

WM97.Chantal.B
Chantal.B je makrovirus pro MS Word, který 31. dne v měsíci zobrazí pomocníka MS Office s hláškou MK Words V.2 Y2K is Coming Soon.... Pokud systémové hodiny ukazují rok 2000, smaže virus všechny soubory v aktuální složce a v kořenovém adresáři disku C. Svou zlomyslnou činnost ukončí hláškou Welcome To Y2K.

Virus navíc vypouští do systému program napsaný ve Visual Basic skriptu, který provede několik změn v nastavení systému, například nastaví jméno registrovaného uživatele na Mae Koo V-Groups a verzi na MKV-99. V těle viru je obsažen text:

MK-Words 2 From the MKVG - The Lion City MKVG had present MK Words Version 2 (C) May 1999

Kromě možnosti smazání souborů tedy není WM97.Chantal.B nijak nebezpečný.

Kill98.Trojan
Pro změnu trojský kůň, který je šířen v nelegálních kopiích MS Windows 98 jako 5 682 bajtů velký soubor INSTALAR.EXE. Po spuštění se virus zkopíruje do kořenového adresáře disku C jako KEYB.EXE a zkopíruje soubor C:\Windows\Command\KEYB.COM do souboru SORT.COM. Při příštím startu Windows se virus zkopíruje do složky C:\Windows\Command\ jako KEYB.COM a nastaví španělské rozložení kláves.

Pokud systémový čas ukazuje rok 2000, vymaže virus všechny soubory na disku C.

Odstranění viru je jednoduché: stačí přejmenovat soubor C:\Windows\Command\SORT.COM na C:\Windows\Command\KEYB.COM.

W95.Lovesong.998
Po delší době tu máme virus, jehož cílem není likvidace dat. Jedná se o paměťově rezidentní virus napadající spustitelné soubory, který byl objeven koncem roku v Koreji. Jediným projevem je, že každý první den v měsíci počínaje březnem 2000 přehraje přes PC speaker hudební melodii (údajně se jedná o oblíbený korejský song, takže našinec si asi nezanotuje...). Lovesong funguje pouze pod operačními systémy Windows 9x, uživatelé Windows NT budou tedy "hrajícího" viru ušetřeni.

VBS.Tune
K tomu, aby se mohl tento červ aktivovat právě ve vašem počítači, potřebujete mít nainstalovaný Windows Scripting Host, který je standardní součástí Windows 98, Windows 2000 a Windows NT s nainstalovaným Internet Explorerem 5.0x. Dodatečně si toto rozšíření mohou nainstalovat i majitelé starších Windows 95.

Virus se po spuštění nejprve nakopíruje do složek C:\Windows a C:\Windows\System jako tune.vbs a do složky C:\Windows jako temp.vbs. Následně provede úpravu regsitrů tak, aby byl spouštěn při každém startu Windows.

Po spuštění se pak VBS.Tune zkopíruje do kořenového adresáře všech disků, včetně síťových.

V případě, že máte MS Outlook 98 nebo 2000, odešle virus na všechny adresy v adresáři zprávu s předmětem Please Read a textem Hey, you really need to check out this attached file I sent you...please check it out as soon as possible. Přiložený soubor TUNE.VBS pochopitelně obsahuje další kopii viru. Následně upraví registry, čímž zajistí, aby tuto činnost neprováděl opakovaně. Ke svému šíření dokáže využít i aplikace mIRC a Pirch.

Win95.Spaces.1633
Tentokrát jde o nebezpečný VxD virus, který se instaluje jako ovladač do systémů Windows 9x a používá techniky podobné legendárnímu CIHu. Z paměti pak napadá všechny spouštěné programy. 1. června potom poškodí boot sektor pevného disku, takže při dalším spuštění nelze zavést operační systém. Naštěstí je možné provést opravu ze záchranné diskety.

Win32.Crypto
Tento 21 280 bajtů velký virus funguje jak pod Windows 95 a 98, tak i pod Windows NT a 2000. Podle některých informací ale není schopen činnosti pod některými verzemi Windows 95. Charakteristika viru vypadá nebezpečně: šifrovaný, polymorfní, rezidentní virus používající ke svému zamaskování stealth techniky. Autor si ale zřejmě nedal záležet, neboť virus obsahuje řadu chyb, které znemožňují provádění některých neprogramovaných funkcí.

Po spuštění infikovaného souboru vytvoří virus v adresáři Windows soubor kernel32.dll a upraví WININIT.INI tak, aby při příštím startu systému tímto souborem nahradil C:\WINDOWS\SYSTEM\KERNEL32.DLL.

Při každém spuštění Windows pak virus infikuje dvacet spustitelných souborů. Win32.Crypto šifruje dynamické knihovny a sám slouží jako dešifrátor, takže pokud virus odstraníte, nebudou tyto dynamické knihovny fungovat (zde se nabízí podobnost s One Halfem, který šifroval pevný disk a sám sloužil jako klíč - v případě odstranění bez dekódování disku jste se mohli rozloučit se svými daty).

VBS.Lucky.2000
Další VBS virus, jehož se musí obávat pouze uživatelé, kteří mají nainstalovaný Visual Basic Scripting Host. 866 bajtů velký virus pocházející z Německa napadá všechny soubory v adresáři tak, že jejich kód přepisuje vlastním, čímž je nevratně poškodí. S pravděpodobností 1 ku 2 zobrazí Lucky.2000 hlášku This is ou end... a vytvoří v oblíbených položkách zástupce Lucky2000.url odkazujícího na webový server v Rusku. VBS.Lucky.2000 naštěstí neobsahuje žádné replikační techniky, takže nelze předpokládat, že by došlo k výraznějšímu rozšíření.

Zelu.Trojan
Další trojský kůň, který se "tváří" jako utilita na opravu problémů souvisejících s rokem 2000. Je šířen jako soubor Y2K.EXE, který po spuštění zobrazí textovou obrazovku s nadpisem ChipTec Y2K - Freeware Version a položkami Timer, Device Drivers, File System a BIOS. V dolní části obrazovky je pak text Y2K Copyright (C) 1999 - 2002 ChipTec All Rights Reserved. Zelu.Trojan pak postupně přepisuje všechny soubory na disku textem This file is sick! It was contaminated by the radiation liberated... by the explosion of the atomic bomb..., čímž je poškodí a zcela znemožní jejich opravu.

Co říci závěrem? Buďte opatrní a nedůvěřiví, nikdy nespouštějte programy a neotvírejte dokumenty, které vám přijdou elektronickou poštou. Opatřete si kvalitní antivirový program a pravidelně aktualizujte jeho virovou databázi. Přijít o data spuštěním jednoho hloupého programu můžete velice rychle a snadno!

Diskuze (1) Další článek: Hudební drby

Témata článku: Software, Microsoft, Windows, Ride, Soubor, Visual Basic, Song, Systémový disk, Command, Trim, Nový rok, Stejné tělo, Systémový program, Spustitelný soubor, Lion, Konec roku, Coming Soon, Atomic, Nice, Čin toho, Hope, Konec, Please, Stejný soubor, Problém souvisejících


Určitě si přečtěte

9 tipů, jak vyšlechtit nabídku Start ve Windows 10, aby lépe sloužila

9 tipů, jak vyšlechtit nabídku Start ve Windows 10, aby lépe sloužila

** Nabídka Start už existuje bezmála čtvrt století ** Ve Windows 10 postupně dostala celou řadu funkcí ** Start si můžete ve velkém rozsahu přizpůsobit

Karel Kilián | 46

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale i tak převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 98

Zorin OS 15: Vyzkoušejte další hezký a nenáročný linux pro mamku a taťku

Zorin OS 15: Vyzkoušejte další hezký a nenáročný linux pro mamku a taťku

** Ačkoliv je grafických linuxů plný internet, stále vládnou Windows ** Jeden z nich se jmenuje Zorin OS a nedávno se dočkal aktualizace ** Dělají jej dva kluci z Irska a je fakt hezký

Jakub Čížek | 115

3D tisk pro naprosté zelenáče: Co vyrobíte na laciném stroji za pár tisíc korun

3D tisk pro naprosté zelenáče: Co vyrobíte na laciném stroji za pár tisíc korun

** Domácí 3D tisk je dnes už finančně dostupný prakticky všem ** Lacinou tiskárnu pořídíte za pár tisíc korun ** Jak vlastně tisk probíhá a jak navrhnout, co vytisknout

Jakub Čížek | 67

Jak doma vylepšit signál Wi-Fi: Pomůže repeater, více routerů, ale nejlépe systémy mesh

Jak doma vylepšit signál Wi-Fi: Pomůže repeater, více routerů, ale nejlépe systémy mesh

** Máte špatný signál Wi-Fi? Mesh systémy to vyřeší ** Už vás nezruinují, meziročně ceny příjemně spadly ** Jak systém funguje a čím je výjimečný?

Jiří Kuruc | 106

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

** Strojové učení ještě nepřitáhlo takový zájem jako na začátku prázdnin ** Ne, umělá inteligence nenašla lék na rakovinu ** Naučila se svlékat ženy nejen z plavek

Jakub Čížek | 35


Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky