Windows, ₧ivnß p∙da pro viry.

 

JeÜt∞ p°ed n∞kolika lety °ada lidφ tvrdila, ₧e s nßstupem jmenovanΘho operaΦnφho systΘmu Microsoft Windows 95 skonΦφ Θra poΦφtaΦov²ch vir∙. Dnes je z°ejmΘ, ₧e nem∞li v∙bec pravduà Windows je toti₧ ₧ivnß p∙da pro viry !

 

Trocha z historieà

 

Z°ejm∞ prvnφ virus pro Windows 95 dostal jmΘno Win95/Boza. Vφce ne₧ jmenovan² virus se Üφ°ily zprßvy v novinßch a Φasopisech, kterΘ na tento virus upozor≥ovaly. Z toho vypl²vß, ₧e Win95/Boza byl znaΦn∞ mentßln∞ posti₧en.

 

V²znamn∞jÜφ skuteΦnou hrozbou se stal a₧ populßrnφ virus Win95/CIH, kter² si vyslou₧il novinß°skΘ jmΘno ╚ernobyl. Ten se mimo jinΘ dodnes celkem dob°e Üφ°φ a 26. dubna zp∙sobuje nemalΘ Ükody (mazßnφ dat na pevnΘm disku, pokus o poÜkozenφ Flash-BIOSu na zßkladnφ desce).

 

Slovo äΦervô (worm) bylo po dlouh²ch letech oprßÜeno hlavn∞ dφky p°φchodu Φerva Happy99. To byl jeden z prvnφch, masov∞ se Üφ°φcφch Φerv∙. Bli₧Üφ informace o tomto typu infiltrace uvedu pozd∞ji.

 

Nem∞l bych zapomenout ani na makroviry. Prvnφ vzniknul v roce 1996 a Üφ°il se dokumenty tehdejÜφho textovΘho editoru Microsoft Word 6.0. Dφky d∙kladnΘ lokalizaci celΘho programu Microsoft Word do ΦeÜtiny (p°ekladu snad unikl pouze nßzev celΘ aplikace :) panoval v ╚R jeÜt∞ n∞kolik m∞sφc∙ klid. MenÜφ nepokoje zp∙sobil WM/CAP, kter² byl schopen provozu pod Φeskou i anglickou mutacφ Wordu. Daleko citeln∞jÜφ nepokoje zp∙sobil a₧ vznik kancelß°skΘho balφku Microsoft Office 97. Tam u₧ prakticky ₧ßdnΘ jazykovΘ bariΘry neplatφ, a tak se m∙₧e dotyΦnß hav∞¥ vesele Üφ°it po celΘm sv∞t∞.

 

W97M/Melissa.A@mm je dokonalou ukßzkou spojenφ makroviru a Φerva. Podobn∞ jako Happy99 zp∙sobil nßle₧it² rozruch.

 

Co k nßm p°ichßzφ ?

 

Na to mohou odpov∞d∞t nßsledujφcφ v∞ci:

 

• Seznam PC Viruses In The Wild.

obsahuje takzvanΘ In-the-Wild viry. Pojem In-the-Wild, co₧ v ΦeÜtin∞ znamenß "v divoΦin∞" oznaΦuje viry, kterΘ jsou v praxi nejvφce rozÜφ°enΘ. Tento seznam je vlastn∞ souhrnem hlßÜenφ z celΘho sv∞ta. ╚eskou republiku zastupuje Pavel BaudiÜ (Alwil) a pokud se v seznamu vyskytuje i virus, u jeho₧ nßzvu jsou uvedeny pφsmena "Pb", je z°ejmΘ, ₧e se tento virus vyskytuje i na ·zemφ ╚R. Seznam In-the-Wild vychßzφ ka₧d² m∞sφc a Φasto se stßvß zßkladem pro srovnßvacφ testy antivir∙, kterΘ provßdφ nap°φklad Φasopis Virus Bulletin. Lze ho najφt na adrese www.wildlist.org. Nßsleduje ukßzka nejrozÜφ°en∞jÜφch (p°esn∞ji nejhlßÜen∞jÜφch vir∙ za m∞sφc duben/2001.

 

á Freqá Nameáááááááááááááááááááááá Typeááááá Aliases

á============================================================================

á 38á | W32/MTX-m............... | Fileááá | Matrix, Apology

á 37á | VBS/LoveLetter.A-mm..... | Scriptá | ILoveYou, LoveBug

á 32á | W32/Hybris.B-mm......... | Fileááá | Hybris.23040-mm

á 30á | VBS/Stages.A-mm......... | Scriptá | VBS/ShellScrap-mm

á 30á | VBS/VBSWG.J-mm.......... | Scriptá | Anna K, SST, Kalamar.A,

áááááááááááááááááááááááááááááááááááááááááááá I-Worm.Lee.o

á 30á | W32/Ska.A-m............. | Fileááá | HAPPY99

á 29á | W32/Navidad.A-m......... | Fileááá | W32/Navidad-m

á 28á | JS/Kak.A-m.............. | Scriptá |

á 26á | W95/CIH.1003............ | Fileááá | Spacefiller

á 25á | W32/PrettyPark.37376-mm. | Fileááá |

á 25á | W97M/Ethan.A............ | Macroáá |

á 24á | W97M/Marker.C........... | Macroáá | W97M/Spooky.C

á 23á | W97M/Melissa.A-mm....... | Macroáá | Maillissa

á 23á | W97M/Thus.A............. | Macroáá | W97M/Thursday.A

á 22á | O97M/Tristate.C......... | Macroáá | O97/Crown.B

á 21á | W32/Qaz................. | Fileááá |

á 19á | VBS/Freelink-mm......... | Scriptá |

á 17á | VBS/LoveLetter.AS-mm.... | Scriptá | VBS/Plan.A-mm

á 17á | W32/Prolin.A-mm......... | Fileááá | Creative.A-mm

á 17á | WM/CAP.A................ | Macroáá |

á 15á | W32/BleBla.B-mm......... | Fileááá | W32/Verona.B-mm

á 15á | W32/Funlove.4099........ | Fileááá |

á 15á | W32/Navidad.B-m......... | Fileááá | W32/Emanuel-m

á============================================================================

 

• P°ehled VirusEye.

Organizace, kterß na n∞kolika mφstech ve sv∞t∞ kontroluje obsah elektronickΘ poÜty. Denn∞ jejich systΘm zkontroluje n∞kolik mili≤nu zprßv a o p°φpadnΘm v²skytu Φerva vede zßznamy, kterΘ jsou pak ve zjednoduÜenΘ form∞ k vid∞nφ na adrese www.messagelabs.com/viruseye. ┌daje jsou v₧dy naprosto aktußlnφ. Je z°ejmΘ, ₧e kontrolou elektronickΘ poÜty lze evidovat p°edevÜφm Φervy, kterΘ vyu₧φvajφ elektronickou poÜtu ke svΘmu Üφ°enφ.

 

VirusEye - poslednφ m∞sφc (ävyfocenoô 21.dubna 2001).

 

P°i pohledu na seznam PC Viruses In The Wild je z°ejmΘ, ₧e b∞₧nΘho u₧ivatele Φekß peklo. Nejvφce se m∙₧e t∞Üit na Φervy, Win32 souborovΘ viry a makroviry.

 

Kudy p°ichßzejφ ?

 

O tom, kudy k nßm bude hav∞¥ p°ichßzet, m∙₧e napov∞d∞t op∞t seznam PC Viruses In The Wild. Zatφmco Üφ°enφ vir∙ p°es diskety se stßvß minulostφ, v Φele jasn∞ dominuje Üφ°enφ prost°ednictvφm elektronickΘ poÜty.

 

Infiltraci, kterß se Üφ°φ elektronickou poÜtou naz²vßme Φervem (worm). V praxi se lze Φasto setkat s oznaΦenφm virus, kter² vÜak pou₧φvß pon∞kud odliÜn² zp∙sob replikace a proto by nem∞lo p°φliÜ dochßzet k zßm∞n∞ pojm∙ Φerv & virus.

 

╚ervi

 

N∞kterΘ speciality:

 

• P°φloha e-mailu tvo°ena souborem s ädvojitou p°φponouô. N∞kte°φ Φervi se k e-mailu p°ipojφ v souboru, jeho₧ cel² nßzev vypadß nßsledovn∞: {nßzev}.{1.p°φpona}.{2.p°φpona}. P°i nesprßvnΘm nastavenφ Windows m∙₧e u₧ivatel vid∞t jen {nßzev}.{1.p°φpona}. V praxi se tak m∙₧e soubor PamelaAnderson.jpg.exe jevit jako PamelaAnderson.jpg, co₧ znφ dosti lßkav∞ (JPG je formßt obrßzku). Nßprava je jednoduchß, staΦφ pouze z vhodn²ch klφΦ∙ ve v∞tvi HKEY_CLASSES_ROOT (mluvφm o registrech) odstranit polo₧ky s nßzvem NeverShowExt.
• ╚erv je p°φmo souΦßstφ zprßvy û nenφ pot°eba ₧ßdnΘho souboru v p°φloze. Nutnou podmφnkou pro ·sp∞ÜnΘ Üφ°enφ t∞chto Φerv∙ je existence poÜtovnφch klient∙, kterΘ dokß₧ou poÜtu p°ijφmat v HTML formßtu. S p°φchodem HTML do poÜtovnφch klient∙ jsou sice zprßvy mnohdy hezΦφ (obrßzky na pozadφ, barevnΘ pφsmenaà), ale otev°elo to i dve°e Φerv∙m. P°φkladem m∙₧e b²t JS/Kakworm, kter² vklßdß svoje ät∞loô p°φmo do HTML k≤du zprßvy ve form∞ JavaScriptu. ╚erv se aktivuje pouh²m otev°enφm infikovanΘ zprßvy !!! (k otev°enφ dochßzφ v MS Outlooku i v p°φpad∞, ₧e si chceme zprßvu p°eΦφst).
• Upgrade Φerva prost°ednictvφm Internetu. JeÜt∞ p°ed nedßvnem se obvykle aktualizovaly pouze antivirovΘ programy. To u₧ vÜak neplatφ, jeliko₧ tu mßme kup°φkladu Φerva I-Worm/Hybris, kter² sßm sebe aktualizuje prost°ednictvφm Internetu ! B∞hem svΘho Üφ°enφ tak m∙₧e b²t neustßle vylepÜovßn samotn²m autorem tΘto bestie. Pro jistotu jsou tyto äplug-inyô û ävsuvkyô pro Φerva podepsßny elektronick²m podpisem, dφky Φemu₧ Hybris äse₧ereô pouze to, co mu ud∞lß dob°e :)

 

Jeden zp∙sob d∞lenφ Φerv∙:

 

• ╚ervi nezßvislΘ na pou₧itΘm poÜtovnφm klientu.
• ╚ervi zßvislΘ na pou₧itΘm poÜtovnφm klientu.

Prvnφ skupinu zastupuje nap°φklad Φerv I-Worm/Haiku, kter² krom∞ sklßdßnφ verÜ∙ hledß emailovΘ adresy dalÜφch ob∞tφ v n∞kter²ch souborech po celΘm disku. Na zφskanΘ emailovΘ adresy pak hromadn∞, za podpory SMTP serveru n∞kde ve sv∞t∞, odesφlß svoje kopie (tj. soubor haiku.exe, kter² tvo°φ attachment - p°φlohu emailovΘ zprßvy). ╚erv I-Worm/Happy99 (alias Ska) pro zm∞nu modifikuje soubor WSOCK32.DLL tak, aby se p°i volßnφ slu₧eb Connect a Send aktivoval k≤d Φerva, kter² p°ipojφ svoje t∞lo k odesφlanΘmu emailu.

Na rozhranφ mezi ob∞ skupiny pat°φ kup°φkladu mlad² Win32/Magistr, kter² je kombinacφ Φerva a viru. E-mailovΘ adresy äbereô od n∞kter²ch poÜtovnφch klient∙, zatφmco k odesφlßnφ infikovan²ch zprßv je v∙bec nepot°ebuje.

Do druhΘ skupiny pak pat°φ p°edevÜφm vÜechny typy makrovir∙, kterΘ jsou zalo₧eny na principech makroviru W97M/Melissa. N∞kterΘ antiviry p°idßvajφ na konec takov²ch makrovir∙ oznaΦenφ @mm. Pat°φ sem i VBS/LoveLetter, VBS/AnnaKurnikova apod. Tyto lidskΘ v²plody jsou zßvislΘ p°edevÜφm na klientu MS Outlook, kter² je souΦßstφ kancelß°skΘho balφku MS Office 97, 2000.

╚ervi ve Windows

╚ervi se nachßzejφ v souboru samostatn∞ a nepot°ebujφ ₧ßdnΘho hostitele (a₧ na vyjφmky). AntivirovΘ programy tak ve v∞tÜin∞ p°φpad∙ ma₧ou vÜechny soubory, kterΘ si Φerv pro sv∙j chod v systΘmu vytvo°il. Nevracejφ vÜak do p∙vodnφho stavu registry Windows, pop°φpad∞ soubory, kterΘ Φerv zmodifikoval tak, aby si zajistil vΦasnou aktivaci po ka₧dΘm startu operaΦnφho systΘmu Windows.

V∞tÜina Φerv∙ si zajistφ automatickΘ spuÜt∞nφ nejΦast∞ji:

╖         pomoci modifikace registr∙.

• pomoci modifikace souboru WIN.INI nebo SYSTEM.INI (v adresß°i s instalacφ Windows).

K chaosu, kterΘmu se °φkß "registry", lze p°istoupit nap°φklad pomoci p°φkazu regedit. ╚ervi majφ v oblib∞ p°edevÜφm klφΦ:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

V n∞m vytvß°ejφ novΘ polo₧ky s ·daji obsahujφcφ cestu k souboru, kter² se pak p°i ka₧dΘm startu Windows aktivuje. Mezi dalÜφ vyu₧φvanΘ klφΦe pat°φ p°edevÜφm:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

V souboru WIN.INI je obΦas pod ·tokem Φerva °ßdek RUN= v sekci [WINDOWS].
Podobn∞ je na tom m∙₧e b²t i sekce [BOOT] s °ßdkem SHELL= v souboru SYSTEM.INI. Za sekvencφ znak∙ RUN= se zpravidla nic nenachßzφ. Pokud ano, m∙₧e to b²t znßmka toho, ₧e na poΦφtaΦi je / byl Φerv. Nemusφ se vÜak v₧dy jednat o Φerva, obΦas tyto mo₧nosti vyu₧φvajφ i n∞kterΘ u₧iteΦnΘ programy. Za °ßdkem SHELL= se pak b∞₧n∞ vyskytuje pouze p°φkaz EXPLORER.EXE.

Nakonec bych se mohl zmφnit i o klφΦi HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open

Jeho modifikacφ si n∞kte°φ Φervi zajistφ to, ₧e se aktivujφ p°esn∞ v okam₧iku, kdy u₧ivatel spustφ n∞jak² ten EXE soubor. P°i lΘΦenφ je nutnΘ nejprve vrßtit jmenovan² klφΦ do p∙vodnφho stavu "%1" %* a a₧ potom odstranit soubory pat°φcφ Φervu. V opaΦnΘm p°φpad∞ nebude mo₧nΘ spustit ₧ßdn² EXE soubor (Windows se budou odkazovat na neexistujφcφ soubor Φerva). ProblΘm je v tom, ₧e i program na ·pravu registr∙ je s p°φponou EXE (regedit.exe). Nenφ tedy nic jednoduÜÜφho, ne₧ jeho p°φponu zm∞nit na COM a Φerva tak oklamat :-) P°φkladem z praxe m∙₧e b²t Φerv I-Worm/PrettyPark, kter² p∙vodnφ hodnotu "%1" %* jmenovanΘho klφΦe upravφ na FILES32.VXD "%1" %*

Odstra≥ovßnφ Φerv∙

JeÜt∞ p°ed tφm, ne₧ se antivirem odma₧ou infikovanΘ soubory, doporuΦuji odstranit Ükody v registrech, pop°φpad∞ ve WIN.INI Φi SYSTEM.INI. Tento postup je n∞kdy nutnΘ dodr₧et. V p°φpad∞ Φerva PrettyPark se toti₧ m∙₧e stßt, ₧e dφky ÜpatnΘmu postupu, nebude spuÜt∞nφ programu regedit, kter² je v²chodiskem ze situace, mo₧nΘ. Taky je nutnΘ zjistit, co ₧e to mßme z registr∙ v∙bec odstranit. Poslou₧it m∙₧ou n∞kterΘ "VirovΘ encyklopedie", kter²ch je ve sv∞t∞ Internetu hned n∞kolik desφtek ( www.viruslist.com, www.sarc.com ). Detailnφ popisy, i kdy₧ ne v takovΘm mno₧stvφ lze najφt i v ΦeÜtin∞ - www.viry.cz, www.asw.cz, www.grisoft.cz.
DalÜφm krokem je zßloha stßvajφcφch registr∙. Je dobrΘ zßlohovat soubory C:\WINDOWS\SYSTEM.DAT a C:\WINDOWS\USER.DAT, kterΘ se pak budou hodit v p°φpad∞ nezdaru.

Nynφ jeden äuΦebnicov²ô p°φpad (VBS/LoveLetter.A):

• spustit utilitu regedit (menu Start/Spustit).
• dostat se v levΘ Φßsti okna a₧ do v∞tve / klφΦe: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run (v °ad∞ p°φpad∙ staΦφ pouze 6x sprßvn∞ poklepat levΘ tlaΦφtko myÜi).
• v pravΘ Φßsti okna oznaΦit kliknutφm myÜi °ßdek MSKernel32, kde sloupec "·daj" ukazuje na soubor MSKernel32.VBS.
• tlaΦφtkem DEL tento vybran² °ßdek odstranit.

 

Podobn² postup je nutnΘ zopakovat i v klφΦi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

Zde je nutnΘ odstranit °ßdek s nßzvem Win32DLL, kter² ukazuje (sloupec "·daj") na soubor Win32DLL.VBS.

Po modifikaci registr∙, pop°. soubor∙ WIN.INI, SYSTEM.INI (platφ i pro drtivou v∞tÜinu Φerv∙) je vhodnΘ cel² systΘm Windows restartovat a pak ji₧ antivirem odstranit vÜechny soubory, kterΘ si s sebou Φerv p°inesl.

Makroviry

 

Od poslednφ konference Security 2000 se toho p°φliÜ nezm∞nilo, tak₧e:

V∞tÜina produkt∙ kancelß°skΘho balφku Microsoft Office obsahujφ takzvanou "antivirovou ochranu maker" (verze 97), Φi "zabezpeΦenφ" (verze 2000). I kdy₧ se nßzvy odliÜujφ, v obou p°φpadech jde o stejnou v∞c. Tato vymo₧enost umo₧≥uje zablokovat aktivaci p°φpadn²ch maker v otevφranΘm dokumentu a zabrßnit tak i p°φpadnΘ aktivaci makroviru (makrovirus je jak znßmo slo₧en prßv∞ z takov²ch maker).

V MS Office 97 mß ochrana pouze dv∞ polohy:

• Vypnuto - u₧ivatel nenφ o existenci maker v∙bec informovßn - jsou automaticky spuÜt∞na.
• Zapnuto - u₧ivatel musφ v₧dy rozhodnout, zda p°φpadnß makra zakß₧e, Φi je provede.

V MS Office 2000 mß zabezpeΦenφ t°i stupn∞:

• VysokΘ - automaticky je zakßzßno spouÜt∞nφ vÜech maker. U₧ivatel se nem∙₧e ani nijak jinak rozhodnout.
• St°ednφ - ekvivalentnφ k poloze Zapnuto v MS Office 97.
• Nφzkß - ekvivalentnφ k poloze Vypnuto v MS Office 97.

V MS Office 97 i 2000 je ochrana standardn∞ nastavena na maximum a tak nenφ makrovirus prakticky v∙bec schopen se v tomto prost°edφ Üφ°it. A₧ po zßsahu u₧ivatele do nastavenφ, mß makrovirus v∞tÜφ Üance. Pokud je ochrana MS Office 2000 nastavena v poloze St°ednφ, staΦφ ji₧ jedno zavßhßnφ u₧ivatele a makrovirus se v systΘmu pohodln∞ "usadφ". V∞tÜina makrovir∙ navφc tuto ochranu vypφnß, nap°. vhodnou modifikacφ registr∙ Windows, Φi p°φmo zßsahem do nastavenφ programu.

á

Makroviry pro Word 97 toho m∙₧ou nap°φklad dosßhnout nßsledujφcφmi p°φkazy:

• Options.VirusProtection = False
• System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Word\Options", "EnableMacroVirusProtection") = "0"

Krom∞ toho se makrovirus v∞tÜinou po aktivaci sna₧φ trvale usφdlit v systΘmu. K tomu mu poslou₧φ globßlnφ Üablona NORMAL.DOT, kterß se automaticky spouÜtφ po startu Wordu. V p°φpad∞ Excelu staΦφ infikovan² list ulo₧it do adresß°e XLStart, kter² se nejΦast∞ji vyskytuje v C:\Program Files\Microsoft Office\Office\.

P°φznaky napadenφ makrovirem

JakΘ jsou p°φznaky napadenφ makrovirem ? T°eba prßv∞ vypnutß ochrana maker (pokud ji nevypnul u₧ivatel zßm∞rn∞). Pokud tomu tak je, doporuΦuji:

• Antivirovou ochranu maker op∞t zapnout, Φi nastavit na nejvyÜÜφ ·rove≥.
• Vypnout a op∞t aktivovat posti₧enou aplikaci (Word, Excel).
• Znovu se podφvat na nastavenφ ochrany maker.
• Pokud je op∞t vypnutß, za vÜφm stojφ s nejv∞tÜφ pravd∞podobnostφ makrovirus a je dobrΘ pokraΦovat nßsledovn∞:
• Smazat globßlnφ Üablonu NORMAL.DOT v p°φpad∞ Wordu, Φi vyprßzdnit adresß° XLStart v p°φpad∞ Excelu.
• Spustit Word, Excel - podle situace.
• Antivirovou ochranu maker op∞t aktivovat.
• V p°φpad∞, ₧e se u libovolnΘho otevφranΘho dokumentu zobrazφ dialog informujφcφ o existenci maker, zvolit "zakßzat makra" a dokument ulo₧it ve formßtu RTF (tj. menu Soubor/Ulo₧it jakoà/ - typ souboru: RTF).
  
  P°evodem do formßtu RTF jsou odstran∞na veÜkerß makra z dokumentu, tedy i p°φpadnß makra viru.

 

V∞tÜina dneÜnφch makrovir∙ vyu₧φvß techniku "Class", dφky nφ₧ uklßdajφ svoje t∞lo do modulu ThisDocument (Word 97/2000) Φi ThisWorkBook (Excel 97/2000). To mß za nßsledek, ₧e makra viru nejsou vid∞t v menu Nßstroje/Makro. T∞lo takovΘho makroviru lze snadno odhalit p°es menu Nßstroje/Makro/Editor jazyka Visual Basic, kde staΦφ "poklepat" myÜφ na objekt ThisDocument pop°φpad∞ ThisWorkBook.

 

Ukßzka jednoho z makrovir∙ °ady Class - O97M/Triplicate v objektu ThisDocument.

 

SouborovΘ a dalÜφ viry

Viry pro DOS pod Windows

V²skyt vir∙, kterΘ jsou napsßny pro operaΦnφ systΘm MS DOS ji₧ nenφ v tΘto dob∞ p°φliÜ b∞₧n². Prsty v tom mß p°edevÜφm operaΦnφ systΘm MS Windows 9x/NT/2000. Viry, kterΘ jsou napsßny pro operaΦnφ systΘm MS-DOS, se mohou pod MS Windows 9x/NT/2000 chovat nßsledovn∞:

• fungujφ korektn∞, Windows jim nevadφ.
• fungujφ jen "na p∙l". N∞co, co by m∞li d∞lat, ned∞lajφ.
• nefungujφ v∙bec.

 

K prvnφ jmenovanΘ skupin∞ nenφ prakticky co dodßvat. VÜechny DOS rezidentnφ viry pod Windows samoz°ejm∞ majφ svß omezenφ. Dokß₧φ se Üφ°it jen v "DOSovskΘm okn∞", ve kterΘm b∞₧φ n∞jakß aplikace pro DOS. Typick²m p°φkladem m∙₧e b²t souborov² mana₧er M602. SpoleΦn∞ s uzav°enφm okna konΦφ i ₧ivot viru. D∙le₧itΘ je poznamenat, ₧e souborov² virus pro MS DOS se Üφ°φ pouze v rßmci jednoho DOS okna, ve kterΘm byl aktivovßn. Pokud je souborov² virus spuÜt∞n p°es n∞jakou aplikaci typu "Pr∙zkumnφk" (Explorer), nemß Üanci. O n∞co v∞tÜφ Üance mß souborov² virus, kter² se staΦφ zavΘst d°φve, ne₧ samotn² operaΦnφ systΘm Windows. To si m∙₧e zajistit nap°φklad napadenφm souboru WIN.COM. Pokud se tak stane, dokß₧e se takov² virus Üφ°it v jakΘmkoliv "DOSovskΘm okn∞". Mß to vÜak i jednu nev²hodu. Monstrum, jak²m je Windows, toti₧ kv∙li tomuto "drobeΦku" - viru, musφ nab∞hnout v daleko pomalejÜφm re₧imu, kter² vyhovuje viru. Windows 95 na tento fakt dokonce v∙bec neupozornφ. Windows 98 u₧ ano:

Po stisknutφ tlaΦφtka ANO se zobrazφ troÜku detailn∞jÜφ informace:

K zmi≥ovanΘmu problΘmu samoz°ejm∞ dochßzφ pouze v p°φpad∞, ₧e se jednß o pam∞¥ov∞ rezidentnφ souborov² virus pro DOS, Φi boot virus, kter² je v₧dy pam∞¥ov∞ rezidentnφ.

DalÜφ skupinou jsou viry, kterΘ pracujφ "na p∙l". Do tΘto skupiny pat°φ nap°φklad klasick² virus OneHalf.3544, kter² pod operaΦnφm systΘmem MS DOS napadß soubory pouze na disketßch. Na pevnΘm disku se zajφmß pouze o jeho zavßd∞cφ sektor. V p°φpad∞, ₧e je nedostupn², napadß soubory i na disku. To je i p°φpad Windows. OneHalf tedy pod Windows napadß pouze soubory - zavßd∞cφ sektor pevnΘho disku je nep°φstupn².

Poslednφ jmenovanß skupina vir∙ to °eÜφ s Windows rychle a rßzn∞. Po spuÜt∞nφ takovΘho viru obdr₧φme ihned zprßvu o chyb∞ v chodu programu.

DOS viry doporuΦuji odstra≥ovat pomocφ "bootovacφ" diskety, kterß by m∞la krom∞ zßkladnφch nßstroj∙ (FORMAT, FDISK atd.) obsahovat i antivirov² program.

Win32 viry aneb viry p°φmo pro Windows

Prvnφ Win32 viry se zaΦaly objevovat a₧ s p°φchodem Windows 95. Za t∞ch n∞kolik let posbφraly °adu v∞cφ od sv²ch starÜφch "brat°φΦk∙" pro operaΦnφ systΘm MS DOS. Dodnes vÜak platφ, ₧e drtivou v∞tÜinu Win32 vir∙ lze odstra≥ovat v re₧imu MS-DOS (menu Start/Vypnout/Restartovat v re₧imu MS-DOS). NejlepÜφ je samoz°ejm∞ pou₧φt "bootovacφ" disketu, Φi dokonce "bootovacφ" cΘdΘΦko.

Velkou kapitolu tvo°φ souborov² systΘm NTFS (Windows 2000/NT) a viry. Na pevn² disk, opat°en² souborov²m systΘmem NTFS se nelze z bootovacφ diskety b∞₧n∞ dostat (maximßln∞ tak do zavßd∞cφho sektoru). Je tedy nutnΘ vyu₧φt n∞jak² ten ovladaΦ, kter² nßm NTFS z diskety zp°φstupnφ. Takovou vymo₧enost lze zφskat t°eba na adrese http://www.sysinternals.com, voln∞ Üi°itelnß verze ovÜem dokß₧e pouze z NTFS Φφst, nikoliv na NTFS zapisovat (co₧ je nutnΘ pro p°φpadnΘ odstra≥ovßnφ viru). Posti₧en² pevn² disk lze samoz°ejm∞ p°enΘst na jin² poΦφtaΦ s Windows NT/2000, pop°φpad∞ na n∞j p°istoupit s Linuxu. Tyto metody jsou vÜak mΘn∞ pohodlnΘ.

 

 

äIgiho strßnka o virechô û www.viry.cz

 

Tak znφ nßzev InternetovΘ strßnky Igora Hßka, kterß tu je ji₧ 3 roky a informuje o vÜem, co na virovΘ / antivirovΘ scΘn∞ d∞je.