Jak ukázal seminář Viry a antivirová problematika, který proběhl v rámci doprovodných programů letošního Invexu, je potřeba ochraně svých dat - samozřejmě také z důvodu nebezpečí jejich zničení nebo zneužití díky činnosti virů, věnovat patřičnou a trvalou pozornost. Proto začínáme s uveřejňováním dalšího pravidelného seriálu Chip CD.

V prvním díle přinášíme bližší informace o virových novinkách, o kterých se hojně psalo na internetu. Jen část z popisovaných virů však „přežije" mezi uživateli... To ale neznamená, že není potřeba být trvale ve střehu.


W97M/Thus (Thursday)

      Makrovirus šířící se v dokumentech Microsoft Wordu 97. Ostatní dokumenty napadá při třech různých událostech (otevření, uložení a založení dokumentu). Jedinou zajímavostí na tomto makroviru je destrukční činnost. Popisovaný makrovirus totiž 13. prosince ničí všechny soubory na disku C...

W97M/Sixtieth (Skeptic, AntiSocial.E)

      Viry, které se šíří prostřednictvím přílohy emailové zprávy, se začali ve větším množství objevovat až tento rok. Makrovirus W97M/Sixtieth rozšiřuje tyto viry (emailové "červi") o další kousek. Při otevření infikovaného dokumentu se makrovirus Sixtieth pokouší odeslat svoji kopii šedesáti lidem, kteří jsou uvedeni v "knize adres" aplikace MS Outlook. Pokud Vám tedy příjde emailová zpráva se subjektem Important Message From + vaše_jméno a s textem Look what I found..., můžete si být jisti, že v příloze se nachází i tento makrovirus. Popisovaný makrovirus navíc vypouští i VBScript, který se snaží po každém restartu počítače napadnout znovu globální šablonu Wordu 97. Tím může mírně komplikovat dezinfekci.

Win32/CTX

      Nerezidentní polymorfní virus, napadající PE EXE soubory (tj. spustitelné soubory Windows 9x/NT). Po spuštění infikovaného souboru dochází k infekci dalších souborů v aktuálním adresáři, adresáři WINDOWS a WINDOWS\SYSTEM. Virus napadá maximálně 5 souborů v jednotlivých adresářích. Metoda, kterou virus převezme kontrolu nad souborem je velmi zajímavá a málo používaná. Samozřejmě se neobešla bez chyb a tak některé soubory může virus poškodit. Virus se začne projevovat při spuštění infikovaného souboru, ale až po půl roce od jeho infekce. Během projevu dochází k inverzi barev na pracovní ploše Windows. Win32/CTX je dílem programátora, který si říká GriYo. GriYo vytvořil zřejmě první polymorfní virus pro Windows 9x (Win32/Marburg, Win32/HPS) a ani nepřekvapuje, že virus Win32/CTX je taktéž polymorfní.

Win32/Cholera

      Další virus šířící se v příloze emailové zprávy (autorem je opět GriYo). Tentokrát je přílohou soubor SETUP.EXE, který samozřejmě obsahuje zmiňovaný virus. Po spuštění souboru SETUP.EXE dochází k infekci systému - červ se uloží do souboru RPCSRV.EXE v adresáři s Windows. Automatické spuštění tohoto souboru si zajistí přidáním instrukce Run= do souboru WIN.INI. Zajímavostí je, že "červ" Cholera nepoužívá žádnou funkci na zjištění adresáře s operačním systémem Windows, ale prohledává disk na výskyt adresářů Windows, Win95, Win98, Win a WinNT. Pokud se tedy na jednom počítači používá několik operačních systémů, může dojít k infekci několika z nich. Červ se snaží šířit i v počítačové síťi. Při rozmnožování prostřednictvím emailové zprávy využívá protokol SMTP. Cílové emailové adresy na které pak soubor SETUP.EXE posílá, hledá na disku v souborech s příponou .HTM, .TXT, .EML, .DBX, .MBX, .NCH, .IDX. Soubor SETUP.EXE je rozeslán naráz maximálně 10 lidem.

Win32/Fix2001

      Další "červ" šířící se v příloze emailové zprávy. Pracuje na podobném principu jako Happy99. Po spuštení souboru FIX2001.EXE (příloha) se virus ohlásí tabulkou Y2K Ready !! Your Internet Connection is already Y2K, you don't need to upgrade it, ale pak se již zavede do systému a převezme důležité funkce, které potřebuje k replikaci. Zpráva s infikovanou přílohou má subjekt Internet problem year 2000 a obsahuje dva delší texty v anglickém a španělském jazyce. Virus Fix2001 hledá další emailové adresy v odeslané a přijaté poště a právě na ně odesílá soubor FIX2001.EXE. Virus Fix2001 obsahuje nepříjemnou destrukční akci: pokud dojde ke změně struktury textové části viru, přepíše soubor C:\COMMAND.COM tak, že při dalším restartu počítače dojde ke smazání všech souborů na pevném disku.

W97M/Suppl

      A máme tu poslední novinku tohoto měsíce - makrovirus pro Word 97, šířící se opět prostřednictvím emailové zprávy. Tentokrát je přílohou soubor SUPPL.DOC. Po spuštění tohoto souboru dochází k infekci systému. Kromě souboru ANTHRAX.INI vytvoří makrovirus i DLL.TMP, který je po restartu počítače přejmenován na WSOCK32.DLL (původní WSOCK32.DLL je přejmenován na WSOCK33.DLL). Soubor SUPPL.DOC je "připevněn" ke každé odesílané emailové zprávě (příloha vznikne ze souboru ANTHRAX.INI). V souboru ANTHRAX.HST si popisovaný makrovirus vytváří seznam lidí, kterým byl již soubor SUPPL.DOC odeslán. Po 163 hodinách od infekce se virus pokouší mazat soubory s příponou DOC, XLS, TXT, RTF, DBF, ZIP, ARJ, RAR při každém odeslání pošty. Virus se šíří pod Windows 9x. Pod Windows NT se nedokáže šířit.

Přehled připravil Igor Hák (Igi)     

      Další informace o problematice počítačových virů naleznete na Igiho stránce o virech - http://best.site.cz/igi