Ani únorová virová scéna nevypadá v tuto chvíli příliš klidně. Kromě řádky modifikovaných makrovirů pro MS Word (objevila se další Melissa, Thursday a Marker) a dalších více či méně škodlivých potvůrek se začíná objevovat nový typ červů.
Ani únorová virová scéna nevypadá v tuto chvíli příliš klidně. Kromě řádky modifikovaných makrovirů pro MS Word (objevila se další Melissa, Thursday a Marker) a dalších více či méně škodlivých potvůrek se začíná objevovat nový typ červů. Patrně po inspiraci nedávnými DoS útoky na velké světové servery se autoři virů vrhli na programy, které váš počítač zapojí do DoS útoku, aniž byste cokoli tušili. Bude-li některý z těchto virů hodně úspěšný a rozšíří se mezi uživateli, čekají internetový server, na který bude tento virus zaměřen, útoky z celého světa. V blízké době můžeme očekávat velké množství těchto programů a nezbývá než doufat, že antivirové firmy budou reagovat s dostatečnou rychlostí, protože v opačném případě nemá světový Internet zrovna růžové vyhlídky.
Pojďme se ale podívat na některé zajímavé viry, které se objevily v posledních dnech.
Win32.Haiku
Nová rodina červů, kteří používají zajímavý způsob sběru e-mailových adres, na než se pak automaticky rozešlou. Jejich cílem tedy není likvidace dat, ale mohou způsobit zbytečné přetěžování sítě. Win32.Haiku můžete dostat elektronickou poštou od někoho, koho znáte, proto buďte v každém případě velmi ostražití, dostanete-li zprávu s předmětem
Fw: Compose your own haikus! a přílohou
haiku.exe.
Pokud přiložený soubor spustíte, umístí virus svou kopii do složky Windows a upraví soubor WIN.INI tak, aby byl spouštěn současně s operačním systémem. Poté Haiku zobrazuje básničky složené z vlastního seznamu slov. Při dalším restartu se červ usídlí v paměti tak, že jej nelze najít v seznamu spuštěných úloh. V okamžiku, kdy se připojíte k Internetu, prohledá soubory s příponami .doc, .eml, .htm, .rtf a .txt, vytáhne si z nich všechny e-mailové adresy a následně se na ně rozešle prostřednictvím serveru umožňujícího anonymní odesílání mailů.
Virus se dále připojuje k internetovému serveru, z něhož si stáhne soubor Haiku.wav, ten uloží do kořenového adresáře, přehraje jej a následně tento soubor smaže.
Autorem viru je údajně člověk známý pod přezdívkou Mr. Sandman z virové skupiny 29A (z této skupiny také pochází autor viru Win2K.Inta, což je nedávno objevený první virus pro Windows 2000).
W97M.Myna.c
Jednoduchý makrovirus pro patrně nejčastější platformu MS Word 97, který je schopen šířit se i pod Wordem s nainstalovanými service packy, naštěstí však funguje pouze pod anglickou mutací MS Word a nemá destruktivní účinky.
Při otevření infikovaného dokumentu Mina.c, jak je obvyklé u tohoto druhu virů, vypne antivirovou ochranu maker. Pak kontroluje, zda je ve zdrojovém kódu každého otevíraného nebo nově vytvářeného dokumentu obsažen řetězec MYNAMEISVIRUS (podobný způsob zjištění, zda je soubor již infikován či nikoli, používá známý W97M.Marker), a v případě, že tento řetězec nenalezne, zkopíruje do souboru svůj kód. Vzhledem k tomu, že se virus neumí šířit jinak než přes dokumenty (nepoužívá například automatické rozesílání elektronickou poštou), nelze jej považovat za příliš nebezpečný.
W32.RunFtp.worm.script
Další červ napsaný v JavaScriptu, který využívá bezpečnostní díry v MS Internet Exploreru 5.0. Pokud navštívíte stránku obsahující tento skript, uloží se do složky Windows soubor Explorer.hta. Tento soubor obsahuje kód, který se pokusí ze zadaných FTP serverů stáhnout soubor
MSIE.EXE.
MSIE.EXE je samorozbalovací archiv ve formátu ZIP obsahující ActiveX komponentu
MSWINSCK.OCX a spustitelný program
EXPLORER.EXE. Tyto soubory jsou rozbaleny do nově vytvořené složky
Windows\System\System. Následně virus upraví
WIN.INI tak, aby se při startu systému spouštěl
EXPLORER.EXE. Tento program lze najít v seznamu spuštěných úloh, ovšem nelze jej rozeznat od Exploreru, který zajišťuje grafické rozhraní Windows (pokud se pokusíte ukončit nesprávný Explorer.exe, dojde k ukončení Windows). Tento soubor pak podle některých zpráv má za úkol provádět DoS (Denial Of Service) útoky na vybrané servery. Váš počítač se tak snadno může bez vašeho vědomí zapojit do přetěžování internetových serverů, což může mít za následek zablokování přístupu z vaší IP adresy na tyto servery.
Zda je váš počítač infikován červem RunFtp, poznáte snadno - stačí se podívat do složky C:\Windows\Systém, a pokud zde najdete další složku System obsahující soubory Microsoft Internet Explorer.hta, MSIE.HTA a MSIE.EXE, je téměř stoprocentní, že máte tohoto červa v systému.
W32.WinExt
Paměťově rezidentní červ, kterého můžete dostat e-mailem jako přílohu
TRYIT.EXE. Samotná zpráva může obsahovat některý z následujících textů:
- Hi, See you soon
- Salut. A+.
- A bientot
- J'ai bien retu ton message, je m'en occupe rapidement. En attendant, regardes le fichier joint.
Po spuštění přiloženého souboru se W32.WinExt usadí v paměti a každou hodinu kontroluje nepřečtené e-mailové zprávy, na které automaticky odpovídá výše zmíněným e-mailem.
Tolik tedy pro tento týden z virové scény. Buďte opatrní a nezapomeňte pravidelně kontrolovat svůj počítač kvalitním antivirovým programem. Ušetříte si tak mnohá nepříjemná překvapení.