Programátoři virů se snaží – máme další tři novinky!

Koncem loňského a začátkem letošního roku se objevuje velké množství virů, které používají stále rafinovanější techniky šíření a často obsahují destruktivní instrukce.
Koncem loňského a začátkem letošního roku se objevuje velké množství virů, které používají stále rafinovanější techniky šíření a často obsahují destruktivní instrukce, jejichž cílem je poškodit operační systém nebo zničit veškerá data. Tři novinky si dnes stručně představíme.

W97M.Vale – celkem neškodný makrovirus
W97M.Vale je další z nekonečné řady makrovirů pro MS Word 97 a 2000. Kód viru je umístěn v modulu nazvaném Money. Po infikování počítače znepřístupní nabídku Nástroje-Makro, čímž uživateli znemožní prohlížení zdrojových kódů maker a tedy i samotného viru. V případě, že se o to pokusíte, zobrazí se hláška "Lamento voce nao possue nivel para esta operacao. Por Favor leia o Manual de instrucoes para maiores detalhes", což znamená "Nelze provést tuto operaci. Prosím, přečtěte si manuál pro další instrukce". Použijete-li klávesovou zkratku Alt+F11, zobrazí se jiná hláška s textem "Este programa executou uma instrucao ilegal por favor feche o Windows e reinicie", která tvrdí, že program provedl neplatnou instrukci, a dožaduje se ukončení Windows a následného restartu počítače. Kromě toho virus vkládá do složky Windows soubory MONEY.DOC a DINHEIRO.DOC a odesílá je prostřednictvím IRC (původním záměrem autora bylo, aby se W97M.Vale uměl šířit i elektronickou poštou, podle dostupných informací však tato funkce nefunguje). Používáte-li Word 2000, může virus provést úpravu registrů, ve kterých nastaví nižší stupeň zabezpečení této aplikace.

V určité dny, konkrétně 1. ledna, 19. května, 20. září a 25. července zobrazí virus série různých hlášek v portugalštině.

W32.Mix.2048 – nakazit se můžete z webové stránky
Virus je napsán v JavaScriptu a jako takový může být zakomponován do dokumentů HTML, tedy například do webových stránek s příponou HTM, HTML, HTT a ASP. Při otvírání takto infikované stránky se při středním zabezpečení MS Internet Exploreru zobrazí hláška informující o tom, že stránka obsahuje potenciálně nebezpečné objekty ActiveX, a nabízí povolení inicializace těchto objektů. Pochopitelně v případě, že se vám podobná hláška zobrazí, odpovězte vždy stiskem tlačítka Ne.

V případě, že byste vybrali Ano, spustí se samotný kód viru, který vyhledá na disku HTML soubory, jež by mohl infikovat. Složky jsou prohledávány v následujícím pořadí:

C:\WindowsC:\My DocumentsC:\Windows\DesktopC:\Windows\WebC:\Mis DocumentosC:\Windows\HelpC:\Windows\EscritorioC:\Win2000\WebC:\Win2000\HelpC:\Program Files\Internet Explorer\Connection WizardC:\Program Files\Microsoft Office\Office\HeadersC:\Inetpub\wwwrootZ názvů prohledávaných složek vyplývá, že autor chtěl, aby jeho virus fungoval jak pod anglickou, tak pod portugalskou verzí Windows (není ale příliš těžké upravit virus tak, aby fungoval i pod českými Windows).

Poté W32.Mix uloží do kořenového adresáře soubory [H4[H04.DLL, README.BAT a SEXYNOW!.BAT a do složky Windows\Favorites soubor FreeSex.Hypererotika.URL. Poslední jmenovaný soubor funguje jako odkaz na webovou stránku autora viru. [H4[H04.DLL.DLL není, jak by se podle přípony mohlo zdát, dynamická knihovna, nýbrž skript, který je následně zkompilován nízkoúrovňovým debuggerem DEBUG.EXE na spustitelný program. To obstarávají soubory README.BAT a SEXYNOW!.BAT, které po spuštění ze souboru [H4[H04.DLL.DLL vytvoří 4096 bajtů velký program IMPORT.EXE nebo SUPERSEX.EXE obsahující klasický šifrovaný souborový virus napadající spustitelné soubory EXE a SCR ve složkách Windows a Windows\System. K tomu ještě navíc maže datové soubory některých antivirů.

Virus pak prostřednictvím registrů nastaví úroveň zabezpečení Internet Exploreru na nejnižší hodnotu, čímž umožní spouštění veškerých skriptů bez nutnosti potvrzení uživatelem.

Podle některých informací obsahuje zdrojový kód několik chyb, takže nehrozí rychlé rozšíření, ovšem poté, co autor chyby opraví, by mohlo jít o celkem nebezpečný druh infekce. Jistě se najdou tací, kteří virus, ať už úmyslně nebo neúmyslně, zakomponují do svých stránek. Zkontrolujte si tedy, zda máte zabezpečení MS Internet Exploreru nastaveno minimálně na střední úroveň, a v žádném případě nepovolujte spouštění objektů ActiveX.

Poznámka: pro tento virus je v tuto chvíli mnoho aliasů – můžete se například setkat s označením Win32.H4.1852, VBS.Mix, W32.HTM.H[H04.2048, W32.Mix nebo W32.Mix.dll.dr.

WinSKC – špatně napsaný trojský kůň
WinSKC je trojský kůň, který je šířen hackerem jako 29'401 bajtů velký soubor SETUP.EXE prostřednictvím elektronické pošty. E-mail má jako odesílatele uvedenu falešnou adresu webmaster@hypermart.net, předmět Y2K an FTP Clients Update of Hypermart Administration a text:

In cause Y2K yours FTP clients can work incorrect with our server .In the letter we are give you update for your system. You need to start file setup.exe,that include in the letter.Pokud příjemce spustí přiložený soubor, zobrazí se chybová hláška s textem Sorry. Please download and install new version of OLE32.dll from http://www.microsoft.com. Po stisku tlačítka OK je do složky c:\WINDOWS\TEMP\ umístěn soubor Ole.exe a do složky C:\Windows soubor windown.exe. Virus pak provede úpravu souboru SYSTEM.INI tak, aby se při startu systému spouštěl soubor windown.exe, a upraví registry tak, aby se tento program spouštěl i v případě požadavku na spuštění ICQ. Podle odborníků má patrně tento trojský kůň vykrádat hesla, nebo zaznamenávat stisknuté klávesy. Přesný účel se však nepodařilo zjistit, neboť při testech pod operačním systémem Windows 98 docházelo k chybovým hláškám a program nefungoval tak, jak patrně jeho autor chtěl.

Váš názor Další článek: Jak je možné, že se nic nestalo?

Témata článku: Windows, Internet, TRI, Množství virů, Virus, Please, Sorry, Trojský kůň, Spustitelný soubor, Střední úroveň, Makrovirus, Manual, Program Files, Nejnižší úroveň


Určitě si přečtěte

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

** K odposlechu mozků používáme EEG ** To má ale žalostné informační rozlišení ** Rusům pomohla počítačová neuronová síť

Jakub Čížek | 29

Google dosáhl revolučního milníku v kvantové nadvládě. IBM ale nesouhlasí

Google dosáhl revolučního milníku v kvantové nadvládě. IBM ale nesouhlasí

** Google představil nový kvantový čip s 53 qubity ** Oznámil, že díky němu lidstvo poprvé dosáhlo kvantové nadvlády ** IBM toto tvrzení zlehčuje

Karel Javůrek | 16

10 mýtů a polopravd o bateriích, kterým možná ještě věříte

10 mýtů a polopravd o bateriích, kterým možná ještě věříte

** Kolem baterií a akumulátorů koluje řada mýtů, nepravd a polopravd ** Dnes vám devět z nich zkusíme vyvrátit na základě faktů ** Většina z nich totiž neplatí pro moderní lithiové baterie

Karel Kilián, David Polesný | 102

Dnes nastal konec Windows 7. Ale nepropadejte panice, počítač vám nastartuje i zítra

Dnes nastal konec Windows 7. Ale nepropadejte panice, počítač vám nastartuje i zítra

** Dnes končí podpora Windows 7 a systém formálně umírá ** Co to ale znamená v praxi a bude mi PC fungovat i zítra? ** A mohu i v lednu 2020 zdarma přejít na Windows 10?

Jakub Čížek | 118



Aktuální číslo časopisu Computer

Test 9 bezdrátových reproduktorů

Jak ovládnout Instagram

Test levných 27" herních monitorů

Jak se zbavit nepotřebných věcí na internetu