Nebezpečný virus ExploreZip má svého nástupce

Máme tu další mazací virus, který může navštívit zrovna váš počítač.
Máme tu další virus, který může navštívit zrovna váš počítač. Jak jej chytíte? Jako ostatně většinu virů velmi snadno! Prostě vám jako příloha e-mailové zprávy přijde dokument SUPPL.DOC obsahující vložený EXE soubor. Tento soubor je klasický červ, který svou funkcí připomíná dobře známého trojského koně z února letošního roku W32.Ska (alias Happy99.exe). Stejně jako W32.Ska i tento virus používá ke svému šíření knihovnu WSOCK32.DLL, kterou nahradí vlastní (zde je zřejmá odlišnost - W32.Ska tuto knihovnu pouze modifikoval). Upravená knihovna pak zajišťuje, aby byl společně s každým e-mailem odesílán i zavirovaný dokument SUPPL.DOC.

V případě, že máte ve Wordu zapnutou antivirovou ochranu maker, zobrazí se při otevření dokumentu hláška o přítomnosti maker. Pokud makra povolíte, nebo máte-li antivirovou ochranu vypnutou, provedou se následující kroky:

  • je zjištěno umístění adresáře Windows (zpravidla je adresář Windows na disku C v kořenovém adresáři, ale nemusí to být pravidlem!)
  • Do tohoto adresáře se zkopírují tři soubory:

    -WININIT.INI velký 143 bajtů

    -DLL.LZH velký 6712 bajtů

    -ANTHRAX.INI velký 38968 bajtů

  • Ze souboru DLL.LZH je dekomprimován 16384 bajtů velký DLL.TMP.
  • Po restartu nebo novém zapnutí počítače se provedou instrukce uvedené v souboru WININIT.INI (tento soubor používají některé instalační programy například k záměně systémových souborů, pokud není možné tuto záměnu provést při spuštěném systému). Nejprve je soubor WSOCK32.DLL přejmenován na WSOCK33.DLL, následně je WSOCK32.DLL nahrazen souborem DLL.TMP.
  • Soubory DLL.LZH a WININIT.INI jsou odstraněny.
  • Změněný WSOCK32.DLL potom zajišťuje, aby ke každému odeslanému e-mailu byl jako příloha přidán SUPPL.DOC, čímž si virus zajišťuje další šíření.
Jestliže vám pouhé šíření připadá málo zajímavé, můžete se 163 hodin (6 dnů a 19 hodin) po prvním zavedení modifikovaného WSOCK32.DLL "těšit" na to, že vám virus prohledá všechny fyzické i mapované disky a zničí soubory DOC, XLS, TXT, RTF, DBF, ZIP, ARJ a RAR podobným způsobem, jako to dělal červ ExploreZip (tj. nastaví informaci o jejich velikosti na nulu).

Přítomnost viru Suppl poznáte snadno podle hlášky informující o přítomnosti maker v infikovaných dokumentech a dále podle změny velikosti globální šablony NORMAL.DOT.

Odstranění viru není příliš obtížné - stačí v režimu MS DOS nahradit soubor Windows\System\WSOCK32.DLL původním WSOCK33.DLL, zrestartovat počítač, smazat šablonu NORMAL.DOT a zkontrolovat antivirovou ochranu maker. V případě již zmíněné hlášky o přítomnosti maker nikdy nedovolte jejich spuštění a na infikované dokumenty použijte antivirový program s aktuální virovou databází.

Jestliže právě pláčete nad ztracenými daty, máte snad ještě nějakou šanci na záchranu, použijete-li software pro obnovu smazaných souborů. Nedělejte si ale příliš velké naděje a počítejte s tím, že pokud pravidelně nezálohujete, patrně se můžete s částí ztracených dat navždy rozloučit.

Diskuze (2) Další článek: Obohaťte si příkazovou řádku Dosu

Témata článku: Software, Windows, Infikovaný dokument, Nástupce, Nástup, Velký soubor, Velká naděje, RAR, Nebe, Šíření, M/s, Makro, Nebezpečný vir


Určitě si přečtěte

Zranitelnost platebních karet Visa umožňuje zločincům obejít limit při bezkontaktních platbách

Zranitelnost platebních karet Visa umožňuje zločincům obejít limit při bezkontaktních platbách

** Odborníci přišli na to, jak obejít limit bezkontaktních plateb ** Stačí zařízení, ovlivňující komunikaci mezi kartou a terminálem ** Stahují se nad bezkontaktními platbami mračna?

Karel Kilián | 79

Zorin OS 15: Vyzkoušejte další hezký a nenáročný linux pro mamku a taťku

Zorin OS 15: Vyzkoušejte další hezký a nenáročný linux pro mamku a taťku

** Ačkoliv je grafických linuxů plný internet, stále vládnou Windows ** Jeden z nich se jmenuje Zorin OS a nedávno se dočkal aktualizace ** Dělají jej dva kluci z Irska a je fakt hezký

Jakub Čížek | 114

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 6



Aktuální číslo časopisu Computer

Speciál o přechodu na DVB-T2

Velký test herních myší

Super fotky i z levného mobilu

Jak snadno upravit PDF