Prosinec 1999
S blížicím se koncem roku je tu další spousta nových virů, které jsou magickým číslem 2000 dosti přitahovány. Některé z nich mají totiž na rok 2000 naplánované destruktivní akce.V tomto čísle bych se taky rád zmínil o jedné významné novince, která by mohla potěšit především uživatele systému Linuxu či Windows NT. Takže nejprve o ní:
AVP Z.E.S.
Na www.avp.ru lze stáhnout "obraz" (image) bootovací diskety, ze které by měly být přístupné různé typy file-systémů (FAT, FAT32, NTFS, HPFS, EXT2...). Pokud by se pod takovým file-systémem objevil nějaký problémový virus (např. WinNT/Infis), může se stát Z.E.S. disketa jedinou záchranou. Z této bootovací diskety lze totiž spustit antivirový program AVP, který případné viry z pevného disku odstraní.Teď už zpět k novým virům:
W97M/Prilissa.A
Makrovirus W97/Prilissa se šíří v dokumentech Wordu 97, ale také prostřednictvím emailových zpráv. "Infikovaná" emailová zpráva má subjekt "Message From" a obsahuje text "This document is very Important and you've GOT to read this !!!". Kromě toho se samozřejmě v příloze zprávy nachází i dokument infikovaný makrovirem Prilissa. Pokud je tento dokument spuštěn, makrovirus se snaží odeslat svoji kopii na dalších 50 adres, které hledá v "knize adres" aplikace MS Outlook. Prilissa si pohrává s barvou textu v aktuálním dokumentu a 25.prosince přepisuje soubor C:\AUTOEXEC.BAT tak, že při dalším startu počítače dojde k formátování disku C:. Makrovirus Prilissa využívá polymorfní generátor VAMP, jehož autorem se slavný-trestaný (díky makroviru Melissa) autor VicodinES. Makrovirus Prilissa je hlášen jako In-the-Wild (šíří se mezi uživateli).Win32/Mypics
Win32/Mypics je dalším z řady červů (worms), kterých se letos urodilo požehnaně. Jako každý červ (alespoň pokud jde o tento druh červů) se i Mypics šíří prostřednictvím příloh e-mailových zpráv. V tomto případě tvoří přílohu soubor pics4you.exe, který obsahuje zmiňovaného červa. E-mailová zpráva nemá žádný subjekt, tělo zprávy obsahuje text "Here's some pictures for you!". Po spuštění souboru v příloze se červ zavede do systému - modifikací registrů si zajistí spuštění po každém restartu Windows. Pak se snaží odeslat svoji kopii na dalších padesát adres, které najde v "knize adres" aplikace Microsoft Outlook. Kromě toho přenastavuje "homepage" stránku Internet Exploreru - tj. stránku, která se zobrazí po spuštění IE. Pokud zjistí, ze systémové hodiny ukazují rok 2000, naruší CRC paměti CMOS, takže při dalším startu počítače se dočkáme pouze hlášky "CMOS Checksum Invalid" (stačí se přemístit do BIOS-setupu a zvolit SAVE - vše zas bude v pořádku). Po dalším restartu na nás však čeká ještě větší překvapení. Červ Mypics totiž začne formátovat disk...Červ Mypics se objevil v několika variantách - zde jsou rozdíly:
- Subjekty emailových zpráv:
MyPics.B,D: Season's Greetings
MyPics.C: Here's a digital video for you
- Na disku C vytváří soubor:
MyPics.B,D: C:\Icq_Greetings.exe
MyPics.C: C:\Zip01.exe
- MyPics.B modifikuje vlastníka systému a v roce 2000 "posílá" příkaz FORMAT na řadu disků.
Varianta MyPics.C každý sedmnáctý den v měsíci maže řadu souborů převážně na disku C: (v adresáři "...\win\system" apod.).
Varianta MyPics.B provádí tuto činnost kdykoliv v roce 2000.
Win32/Babylonia
Virus Babylonia si rozhodně zaslouží pozornost, posuďte sami:Paměťově rezidentní ("vystupuje" jako VxD driver) virus pro Windows 9x, který se dokáže šířit několika způsoby. Napadá PE EXE soubory na disku (ukládá se do poslední sekce souborů, některé soubory si po infekci zachovají původní délku), připojuje se ve formě souboru k odesílané poště (podobně jako červ Happy99, infikovaný soubor v příloze se však jmenuje X-MAS.EXE) a dokáže napadat HLP soubory (soubory s nápovědou pro Windows) díky tomu, že obsahují jednoduchý jazyk. Virus vypouští soubor C:\BABYLONIA.EXE, svoje tělo pak nakopíruje i do souboru C:\WINDOWS\SYSTEM\KERNEL32.EXE - modifikací registrů se postará o spouštění jmenovaného souboru po každém startu Windows. KERNEL32.EXE čeká do navázání spojení (dial-up) a ze stránky autora viru stáhne "vsuvky" (plug-ins) do popisovaného viru. Tyto plug-iny dokážou měnit chování viru (tj. upgrade viru) !!! Autor viru (Vecna) stačil vytvořit pouze čtyři plug-iny, pak byla jeho stránka webmasterem zrušena. Virus Babylonia je hlášen jako In-the-Wild (šíří se mezi uživateli).
Win32/Caw
Paměťově rezidentní virus (v podobě VxD driveru) pro Windows 9x. Napadá otevírané PE EXE soubory a svoje tělo ukládá do jejich poslední sekce. Kromě chyb obsahuje tento virus i dvě destruktivní akce. Ta první je načasovaná na 7.července, kdy virus přepíše 16 náhodně vybraných sektorů na pevném disku. Pokud minuta=0, virus maže některé soubory s definovanou příponou (BMP, JPG, DOC, WRI, BAS, SAV, PDF, RTF, TXT).Win32/NewApt
Další z řady červů. Infikovaný soubor, který příjde v příloze emailové zprávy může mít několik různých názvů (celkem 26). "Infikovaná" emailová zpráva má subjekt "Just for your eyes" a obsahuje text: "he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT stuff" a "Hypercool Happy Year 2000 funny programs and animations…. We attached our recent animation from this site in our mail ! Check it out!". Po spuštění infikovaného souboru v příloze se červ snaží odeslat svoji kopii na další adresy. Zajímavostí tohoto červa je skutečnost, že červ má omezenou životnost - od předem daného termínu se přestane aktivovat. Všechny velmi podobné varianty jsou hlášeny In-the-Wild (tj. šíří se mezi uživateli).Přehled připravil Igor Hák (Igi)
Další informace o problematice počítačových virů naleznete na Igiho stránce o virech - http://best.site.cz/igi