Uplynulé dny vykazovala virová scéna poměrně velkou aktivitu a kromě modifikací již existujících virů se objevily i novinky. Pojďme se ve zkratce podívat na to, jakých „breberek“ se můžete bát od tohoto týdne.
Jak můžete poznat již z pojmenování viru, jedná se o červa šířícího se skrze komunikační kanály IRC - ohrozit tedy může pouze určitý okruh uživatelů a v současné době není příliš rozšířený.
V případě, že spustíte soubor infikovaný tímto virem, přepíše Zeton.Mirc soubory Windows\Notepad.exe a Windows\Command\Edit.com a dále uloží soubory Windows\Command\Netdrive.exe a Windows\Notez.exe. Poté vytvoří složku Fetish s dávkovým souborem, který v případě spuštění potrápí uživatele tím, že zkopíruje všechny soubory ze systémové složky na pracovní plochu, vymaže všechny zástupce a všem programům s příponou exe změní příponu na pun, čímž pochopitelně znemožní jejich spuštění.
Na závěr zajistí své další šíření zápisem do inicializačních souborů mIRC.
Další variace na "téma" Loveletter dokazující, že skriptové viry stále slaví úspěch. Podobně jako všechny ostatní mutace používá ke svému šíření elektronickou poštu, přičemž využívá adresáře kontaktů poštovního klienta MS Outlook.
V případě spuštění viru dojde nejprve ke zkopírování kódu do složky \Windows\System, kam se uloží jako soubory Msword.vbs, Thwin.vbs a také pod původním názvem, jaký jste dostali v příloze infikovaného e-mailu. Následně se Loveletter postará o své další rozšíření a pošle na všechny adresy z adresáře zprávu s předmětem, který je stejný jako předmět zprávy z něhož byla infekce zavlečena, pouze je kratší o posledních sedm znaků, a textem začínajícím jménem příjemce a větou Eres algo especial...escríbeme. V příloze samozřejmě nechybí soubor obsahující virus.
Po této akci si virus modifikací registrů zajistí spuštění při každém startu operačního systému a nakonec zobrazí chybovou hlášku Error de lectura. No se puede abrir el archivo.
Nebezpečí tohoto viru tkví v tom, že náhodně vybere některou z následujících přípon: .xls, .doc, .wav, .dwg, .mp3, .bak, .wav, .bmp, .htm, .hlp, .chm, .jpg, .gif, .scr, .ttf, .mid, .cdr, .mdb, .dbf, nebo .ico a začne vyhledávat tyto soubory na pevném disku, přičemž prvních pět nalezených nekompromisně smaže.
Malou perličkou je pokus o šíření skrze diskety, který ale v době Internetu není ani zdaleka tak efektivní, nicméně jistě se najdou i uživatelé, kteří infikují svůj počítač právě touto cestou.
Programy z kategorie "backdoorů" sice nejsou samy o sobě nebezpečné a jejich nebezpečí tkví v tom, že zpřístupňují počítač pro hackerské aktivity. Po spuštění se uloží do složky
Windows\Litmus\Msgsrv16.exe a dovolí hackerům provádět následující:
- nahrávat soubory na počítač
- provádět většinu diskových operací
- spouštět programy
- zjišťovat hesla
- dálkově spravovat instalaci backdooru
Tento virus byl napsán v programovacím jazyce Visual Basic a ke svému šíření používá MS Outlook. Kromě zmíněného názvu bývá také označován jako W32.Ucon@MM.
Infikované e-mailové zprávy obsahují přílohu Common.exe, Rede.exe, Si.exe, UserConf.exe nebo Disk.exe. Její spuštění je samozřejmě "odměněno" zavirováním počítače. V tomto konkrétním případě se virus zkopíruje do kořenového adresáře disku C jako soubory s výše uvedenými názvy a nastaví těmto souborům atribut "skrytý". Následně rozešle na všechny adresy z adresáře zprávu, která má některý z těchto předmětů:
- Kev Gives great orgasms to ladeez!! -- Kev
- hell is coming for u, u will be sucked into a bottomless pit!!! -- Gaz
- Scientists have found traces of the HIV virus in cow`s milk...here is the proof -- Will
- Yay. I caught a fish -- Si
- I don`t want to write anything but Si is bullying me. -- Jim
- I want to live in a wooden house -- Arwel
- Michelle still owes me 10 ... shit ! -- Si
- Why have I only got cheese and onion crisps ? I hate them !! -- Si
- A new type of Lager / Weed variant...... sorted !
- My dad not caring about my exam results -- by Michelle
Tělo zprávy obsahuje text
heh. I tell ya this is nuts ! You gotta check it out !. Závěr svého působení Redesi zakončí chybovou hláškou
C:\Rede.exe is not a valid Win32 application a ukončí svou činnost.
A na závěr tu máme novinku ze světa trojských koňů, tedy programů, které se vydávají za něco jiného, než čím ve skutečnosti jsou. Tento se vydává za žádost o dary pro americký červený kříž, což vzhledem k událostem z první poloviny září dává jistou naději na úspěch.
Způsob, kterým tento program funguje, lze označit za parazitování na cizím neštěstí, leč i takové věci se prostě dějí. Po spuštění souboru se otevře okno vypadající jako formulář. V jeho záhlaví je text vyzývající k podpoře červeného kříže, přičemž jednou z položek, kterou by měl uživatel vyplnit, je (světe div se) číslo kreditní karty. V případě, že se pokusíte okno uzavřít, zobrazí se hláška Please enter information. Co se stane v případě, že formulář vyplníte a odešlete? Asi již správně tušíte, že data rozhodně nepoputují k červenému kříži, ale budou uložena a odeslána na zcela jiný webový server. Jistě nemusíme vysvětlovat, k čemu asi autor tohoto trojského koně získané informace hodlá využít.
