Máme tu další mazací virus, který může navštívit zrovna váš počítač.
Máme tu další virus, který může navštívit zrovna váš počítač. Jak jej chytíte? Jako ostatně většinu virů velmi snadno! Prostě vám jako příloha e-mailové zprávy přijde dokument
SUPPL.DOC obsahující vložený EXE soubor. Tento soubor je klasický červ, který svou funkcí připomíná dobře známého trojského koně z února letošního roku W32.Ska (alias Happy99.exe). Stejně jako W32.Ska i tento virus používá ke svému šíření knihovnu
WSOCK32.DLL, kterou nahradí vlastní (zde je zřejmá odlišnost - W32.Ska tuto knihovnu pouze modifikoval). Upravená knihovna pak zajišťuje, aby byl společně s každým e-mailem odesílán i zavirovaný dokument
SUPPL.DOC.
V případě, že máte ve Wordu zapnutou antivirovou ochranu maker, zobrazí se při otevření dokumentu hláška o přítomnosti maker. Pokud makra povolíte, nebo máte-li antivirovou ochranu vypnutou, provedou se následující kroky:
- je zjištěno umístění adresáře Windows (zpravidla je adresář Windows na disku C v kořenovém adresáři, ale nemusí to být pravidlem!)
- Do tohoto adresáře se zkopírují tři soubory:
-WININIT.INI velký 143 bajtů
-DLL.LZH velký 6712 bajtů
-ANTHRAX.INI velký 38968 bajtů
- Ze souboru DLL.LZH je dekomprimován 16384 bajtů velký DLL.TMP.
- Po restartu nebo novém zapnutí počítače se provedou instrukce uvedené v souboru WININIT.INI (tento soubor používají některé instalační programy například k záměně systémových souborů, pokud není možné tuto záměnu provést při spuštěném systému). Nejprve je soubor WSOCK32.DLL přejmenován na WSOCK33.DLL, následně je WSOCK32.DLL nahrazen souborem DLL.TMP.
- Soubory DLL.LZH a WININIT.INI jsou odstraněny.
- Změněný WSOCK32.DLL potom zajišťuje, aby ke každému odeslanému e-mailu byl jako příloha přidán SUPPL.DOC, čímž si virus zajišťuje další šíření.
Jestliže vám pouhé šíření připadá málo zajímavé, můžete se 163 hodin (6 dnů a 19 hodin) po prvním zavedení modifikovaného
WSOCK32.DLL "těšit" na to, že vám virus prohledá všechny fyzické i mapované disky a zničí soubory
DOC,
XLS,
TXT,
RTF,
DBF,
ZIP,
ARJ a
RAR podobným způsobem, jako to dělal červ ExploreZip (tj. nastaví informaci o jejich velikosti na nulu).
Přítomnost viru Suppl poznáte snadno podle hlášky informující o přítomnosti maker v infikovaných dokumentech a dále podle změny velikosti globální šablony NORMAL.DOT.
Odstranění viru není příliš obtížné - stačí v režimu MS DOS nahradit soubor Windows\System\WSOCK32.DLL původním WSOCK33.DLL, zrestartovat počítač, smazat šablonu NORMAL.DOT a zkontrolovat antivirovou ochranu maker. V případě již zmíněné hlášky o přítomnosti maker nikdy nedovolte jejich spuštění a na infikované dokumenty použijte antivirový program s aktuální virovou databází.
Jestliže právě pláčete nad ztracenými daty, máte snad ještě nějakou šanci na záchranu, použijete-li software pro obnovu smazaných souborů. Nedělejte si ale příliš velké naděje a počítejte s tím, že pokud pravidelně nezálohujete, patrně se můžete s částí ztracených dat navždy rozloučit.