Tři nové přírůstky z virového světa

HTML.Bother.3180, VBS.Noped.A@mm a W97M.Wrath - tradičně kryptická označení nových virů znamenají jediné, být stále ve střehu.
HTML.Bother.3180

Jedná se o skript využívající k provádění svých akcí prvky ActiveX, který je umístěn do HTML stránky. Při otevření takové stránky se zobrazí hlášení, že k prohlížení je nutné akceptování ActiveX komponent. V případě, že to povolíte, nebo pokud máte zabezpečení nastaveno na nejnižší úroveň, dojde k aktivaci viru; v opačném případě se skript pochopitelně nespustí.

Jednou z funkcí je změna výchozí stránky Internet Exploreru a připojování kódu ke všem souborům s příponami .htm a .html ve složkách Windows\Web a Dokumenty. Kromě toho, pokud číslo dne odpovídá náhodně vygenerovanému číslu, změní implicitní ikonu pro HTML soubory.

Přesný popis funkce:

  • Vytvoří na ploše soubor Hello.txt. Jedná se o soubor obsahující pouze dva řádky textu s informacemi o původním skriptu.
  • Následně ve složce Windows\System vytvoří soubor PetiK.htm a nastaví ho jako výchozí stránku Internet Exploreru. Výchozí stránka se pak skládá z rámů, přičemž jednu část okna tvoří původní domovská stránka, pod kterou je umístěna další stránka s textem: Hi, you have my Worm. It`s not dangerous. Contact Symantec Corporation (www.symantec.com/avcenter) to disinfect your computer.
  • Virus vyhledá všechny soubory s příponou .htm a .html ve složkách Dokumenty a Windows\Web a přidá na jejich konec svůj kód.
  • Nakonec vygeneruje náhodné číslo, a pokud se toto číslo shoduje s číslem dne, změní ikonu pro HTML soubory.

Tento virus není ve své podstatě příliš nebezpečný a patrně jedinou nepříjemnou vlastností je již zmíněná změna ikon a výchozí stránky.

VBS.Noped.A@mm

Jedná se o červa šířícího se elektronickou poštou, který zobrazuje textový soubor v poznámkovém bloku, přenastaví domovskou stránku Internet Exploreru a vyhledává na všech pevných i síových discích soubory .jpg a .jpeg se specifickými názvy. V případě, že takové soubory nalezne, odešle zprávu náhodnému příjemci ze seznamu vládních agentů.

E-mail obsahující tento virus má předmět FWD: Help us ALL to END ILLEGAL child porn NOW (Pomozte nám skoncovat s nelegální dětskou pornografií), v příloze je uložen soubor END ILLEGAL child porn NOW.TXT............vbe a tělo zprávy obsahuje text Hi, just a quick e-mail. Please read the attached document as soon as you can. Thanks. Po otevření přiloženého souboru dojde ke spuštění kódu viru. V první řadě se virus rozešle e-mailem na všechny adresy z adresáře kontaktů. Následně zobrazí v poznámkovém bloku soubor s textem pojednávajícím o dětské pornografii a boji proti ní. Poté upraví registry tak, aby se spouštěl současně s operačním systémem, a změní výchozí stránku prohlížeče na stránku autora viru. Nakonec prohledá disky a na nich se podle názvu pokusí nalézt obrázky s pedofilní tematikou; v případě, že nalezne odpovídající soubory, odešle e-mail náhodně vybranému vládnímu agentovi . Tento e-mail má předmět RE: Child Pornography, text Hi, this is Antipedo2001. I have found a PC with known Child Pornography files on the hard drive. I have included a file listing below and included a sample for your convenience a v příloze je přehled nalezených souborů. Na závěr vypne nastavení některých zvuků pro systémové události Windows.

Virus neprovádí žádné destruktivní akce, není jinak nebezpečný, nicméně má poměrně velkou tendenci šířit se.

W95.Buggy.Worm@mm Základní funkce spočívá v rozesílání elektronickou poštou v e-mailu s předmětem The last patch for Internet Explorer a přílohou ie042601.exe. Po spuštění se program zaregistruje jako služba, a není tudíž vidět v seznamu spuštěných úloh (pod Windows NT a 2000 to nefunguje). Následně se zkopíruje do složky Windows\System a upraví konfigurační soubor win.ini tak, aby došlo k automatickému spuštění viru současně s operačním systémem. Poté vytvoří následující soubory:

  • C:\Script.ini
  • \Windows\Email.vbs (obsahuje kód viru VBS.Newlove.A).
  • C:\Win.drv
  • \Windows\Wsock32.bat
Souborem Script.ini pak nahradí soubory C:\Mirc\Script.ini, C:\Mirc32\Script.ini. Tyto soubory jsou přítomné pouze v případě, že uživatel má nainstalován komunikační program mIRC. Po spuštění této aplikace dojde k automatickému odeslání souboru ie042601.exe všem uživatelům, kteří jsou v daném okamžiku na stejném kanále. Další způsob šíření je takřka tradiční – elektronickou poštou ve zprávě, kterou jsme si popsali výše, a samozřejmě na všechny adresy z adresáře kontaktů. Kromě toho se autor pokusil naprogramovat, aby jeho virus zaměnil tapetu pracovní plochy za obrázek Petik.bmp, který si měl stáhnout z Internetu, nicméně v této části zajišované souborem Win.drv je chyba, takže tato funkce nefunguje.

W97M.Wrath

Makrovirus šířící se v dokumentech MS Word. Po otevření takto infikovaného dokumentu a povolení spuštění maker vytvoří virus nejprve soubory C:\Mswin.dll a C:\Mswin2.dll obsahující zdrojový kód viru. Z těchto souborů následně infikuje globální šablonu Normal.dot a aktuální otevřený dokument. Poté, co je tato akce provedena, jsou soubory C:\Mswin.dll a C:\Mswin2.dll smazány. Pokud je systémové datum mezi 4. a 8. červencem, dojde k vymazání všech souborů ve složkách Dokumenty a Windows a zobrazení zprávy Happy July 4th!. V případě, že je systémové datum 3. července, změní barvu pozadí MS Wordu na modrou a otevře v poznámkovém bloku soubor s textem FEEL MY WRATH........

Tento virus lze díky mazání souborů považovat za poměrně nebezpečný, pokud však nepovolíte spouštění maker, nemusíte se ho obávat. V opačném případě si můžete připravit instalační disk operačního systému a vzpomínat na to, kam jste uložili poslední zálohu svých dokumentů.

Váš názor Další článek: Rudy Kozak odchází z čela českého Compaqu

Témata článku: Windows, Internet, Nebezpečná událost, Svět, Původní funkce, Please, Automatické odeslání, July, Makrovirus, Child, TRI, Původní číslo, Opačný případ, Nebezpečná příloha, Happy, Virus, Soubor, Have


Určitě si přečtěte

Wi-Fi 6 konečně začíná dostávat smysl. Poradíme, jak ji využít

Wi-Fi 6 konečně začíná dostávat smysl. Poradíme, jak ji využít

** Na trh míří první levné Wi-Fi 6 routery ** Nabídka zařízení, zejména notebooků, každý den roste ** Poradíme, jak nejlépe přejít s domácností na Wi-Fi 6

Tomáš Holčík | 31

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 7



Aktuální číslo časopisu Computer

Test 9 bezdrátových reproduktorů

Jak ovládnout Instagram

Test levných 27" herních monitorů

Jak se zbavit nepotřebných věcí na internetu