Šest nových virů za jediný týden

23. listopadu 1999
Computer 22/99 SDÍLET NA FACEBOOKU TWEETNOUT
Jako houby po dešti se rojí nové viry, některé z nich jsou ovšem podobně zákeřné jako jedovaté houby.
Jedná se o virus napadající dokumenty Word 97, který je schopen se šířit i v případě, že máte nainstalovaný první Service Pack MS Office. Jako obvykle i Jany.A vypíná antivirovou ochranu maker, čímž si usnadňuje šíření a zároveň otvírá bránu pro průnik dalších virů. Samotný kód viru je uložen v modulu nazvaném Jany_2000 (proto také některé zdroje používají označení Jany2000). Virus je nebezpečný především tím, že odesílá napadené dokumenty skrze mIRC a Pirch, čehož dosahuje modifikací skriptů. Kromě toho zobrazuje v určené datum různé hlášky. Ke svému šíření používá soubor JANY2000.DLL, obsahující zdrojový kód, který je uložen v kořenovém adresáři disku C. Z něj je pak infikována globální šablona a dokumenty.

Virus používá známé "maskovací techniky" skrytí zdrojového kódu, takže pokud se pokusíte spustit Editor jazyka Visual Basic, dostanete jako odpověď hlášku No code to see!

Kód viru obsahuje následující text, který se nikdy nezobrazí:

'V_Name = [JANY2000]
'Author = [Del_Armg0]
'Date = [14nov99]
'Type = [W97MacroVirus/Mirc_Pirch_Worm/NoDestructor!/AndAlwaysForAGirl;)]
'GreetZ = [Jany, Secret aka Stram ! ;), Phage, all_on_#vxtrader&vx-vtc, Fa, Elsa, Soph&Franck, &marie42_]
'Disclaim=[JE L'AIME TOUTE ENTIERE... SIMPLEMENT]
Po infikování jsou globální šablona, otevřený a aktivní dokument uloženy do složky Windows do souborů Jany_is_cute.doc, Jany_is_Sweet.doc, Jany2000.doc a PASSWORDS.doc.

Dále jsou zapsány skriptovací soubory c:\mirc\script.ini, c:\pirch32\events.ini a c:\pirch98\events.ini.

Pokud se pak přihlásíte do nějakého kanálu mIRC, je všem uživatelům odeslána zpráva Jany2000 HI!!! Une Jany Virtuelle, c deja ca!!! ;) a soubory Jany_is_cute.doc a Jany_is_Sweet.doc.

Používáte-li Pirch, odešle se všem uživatelům na stejném kanále zpráva A Del_Armg0 Ripped! Script 4 Jany se soubory Jany2000.doc a PASSWORDS.DOC.

Jestliže bude příjemce naivní, zvědavý a ještě navíc povolí spouštění maker, stane se další obětí viru Jany.A.

Kromě šíření a odesílání dokumentů, k čemuž Jany.A využívá nepříliš používané programy (alespoň ve srovnání s MS Outlook Expressem, který je platformou pro šíření virů založených na Melisse), není tento virus příliš nebezpečný.

W97M.Mck.E a W97M.Mck.F – podobní bráškové
Další makroviry pro MS Word 97, které (tentokrát) nejsou schopné šíření v případě, že máte nainstalovaný první Service Pack MS Office 97. Kód viru je uložen v modulu Halimaw (varianta E) nebo Bungo (varianta F). Virus je vytvořen generátorem a je polymorfní.

W97M.Mck nahrazuje události autoopen, autonew, filesave, filesaveas a fileclose vlastním kódem, který se spustí při požadavku na otevření, zavření, uložení nebo vytvoření nového dokumentu.

Virus při otevření dokumentu v případě, že číslo minuty je mezi 1 a 30, používá funkci Vybrat vše–Vyjmout, čímž na první pohled vymaže text dokumentu. Naštěstí je ale možné celý dokument obnovit, protože je stále uložen ve schránce (to provedete buď klávesovou zkratkou Ctrl+V nebo přes menu Úpravy–Vložit).

Obě varianty W97M.Mck mění informace o dokumentu, kdy nastaví jméno autora na Lucky Warrior, klíčová slova na W97M/Halimaw (varianta E) nebo W97M/Bungo (varianta F) a do komentáře doplní Anti Government Corrupt Officials (E) resp. More to come... (F).

Varianta F navíc mění údaje o uživateli Wordu, jehož jméno nastaví na Lucky Warrior, iniciály na LW a adresu na Bgy. Tiguib, O.E.S..

W97M.Mck.E je podstatně nebezpečnější, protože se každého dvacátého dne v měsíci pokusí smazat všechny soubory a složky DOSovým příkazem deltree.

W97M.Melissa.O – pouze rozesílá maily...
Málo nebezpečná pokračovatelka rodu Meliss, která je schopná replikace i pod Wordem s nainstalovaným Service Packem. Aktivuje se v okamžiku uzavření infikovaného dokumentu, kdy napadne globální šablonu. Jediným cílem této mutace je rozesílání e-mailové zprávy s předmětem Duhalde Presidente jméno uživatele a textem Programa de gobierno 1999 – 2004 na prvních sto adres z adresáře MS Outlooku. Jako příloha je samozřejmě odeslán dokument obsahující další kopii Melissy.O.

W97M.Melissa.W – nebezpečná sestřička
A ještě jedna Melissa, která se stejně jako ta předcházející dokáže šířit pod Wordem SR-1. Některé zdroje označují tuto mutaci jako W97M.Prilissa.A.

Virus po své aktivaci nejprve zjistí, existuje-li v registrech v klíči HKEY_CURRENT_USER\Software\Microsoft\Office položka CyberNET s hodnotou (C)1999 – Indonesia by AnomOke!. V případě, že tuto položku nenajde, rozešle přes Outlook zprávu na prvních padesát adres z adresáře. Tato zpráva má předmět Message From jméno uživatele a obsahuje text This document is very Important and you've GOT to read this !!! s přílohou obsahující Melissu.W. Nakonec virus provede úpravu registrů tak, aby při příští aktivaci nedošlo k opětovnému rozesílání zpráv.

Nebezpečí přichází 25. prosince, kdy Melissa.W zobrazí hlášku ©1999 – CyberNET Vine…Vide…Vice…Moslem Power Never End…You Dare Rise Against Me… The Human Era is Over, The CyberNET Era Has Come !!! a přepíše autoexec.bat vlastním, obsahujícím následující instrukce:

@echo off
@echo Vine...Vide...Vice...Moslem Power Never End...
@echo Your Computer Have Just Been Terminated By
-= CyberNET =- Virus !!!
ctty nul
format c: /autotest /q /u
Ti, kdo umí pracovat v prostředí MS DOS, jistě vědí, že po restartu počítače dojde k zobrazení textové hlášky a zformátování pevného disku (nehrozí majitelům Windows NT, protože tento systém soubor autoexec.bat při svém startu nepoužívá).

Wyx – starý dobrý bootvirus
V záplavě makrovirů se takřka ztrácí viry "staré generace". Tuto díru alespoň částečně vyplňuje Wyx, což je paměťově rezidentní bootvirus používající k zamaskování své přítomnosti stealth techniky.

Jediný způsob, jak můžete infikovat svůj počítač, je zavedení systému z diskety, která má Wyx v boot sektoru. Virus se pak zapíše do MBR a boot sektoru pevného disku, čímž si zajistí aktivaci při každém spuštění počítače. Z paměti se pak pokusí infikovat každou disketu, s níž budete pracovat, takže taková disketa pak slouží k jeho dalšímu šíření.

Diskuze (4) Další článek: Computer 22/99

Témata článku: Windows, Duha, Varianta, Virus, První jméno, První pokus, Gobi, Lucky, Týden, Jediný týden, Rise, Variant, Boot, CTT, Secret, Nový, Jedi, Nebezpečná příloha, Era, Warrior, Starý uživatel, Šíření, Melissa, Jed, Echo



40 ženských erotických symbolů osmdesátých let

40 ženských erotických symbolů osmdesátých let

Vyzývavá krása, rafinovanost, nevinnost i perverzní voyeurské fantazie. Filmaři už se sexu ve filmu nebáli, a tak dala 80. léta vzniknout řadě kultovních ženských erotických symbolů.

Marek Čech
Filmy a seriály
Nová volitelná aktualizace systému Windows 10 opravuje 38 problémů
Karel Kilián
Windows UpdateAktualizaceWindows 10
Jak promítnout displej telefonu na počítač s Windows 10

Jak promítnout displej telefonu na počítač s Windows 10

Chcete jednoduše ukázat známým fotky z dovolené a displej vašeho telefonu vám přijde malý? Promítněte si jej na obrazovku počítače, bez nutnosti kopírování nebo připojení přes kabel.

Jan Spěšný
SmartphoneWindows 10Android