Win32/Maldal.C

Win32:Maldal-C je dalÜφm masov∞ se posφlajφcφm wormem, napsan²m v programu Visual Basic. P°ichßzφ elektronickou poÜtou ve zprßv∞ s p°φlohou nazvanou christmas.exe.  Pro zjiÜ¥ovßnφ adres dalÜφch p°φpadn²ch ob∞tφ vyu₧φvß adresß° programu MS-Outlook. Zprßva s virem mß nßsledujφcφ vlastnosti:
Subject: Hii
Body:
     I can't describe my feelings
     But all i can say is
     Happy New Year :)
     bye
Attachment: Christmas.exe

Krom∞ Üφ°enφ nastavuje poΦßteΦnφ strßnku programu Internet Explorer na HTML strßnku autora viru. Tato strßnka pak obsahuje skript vytvo°en² v programu Javascript, kter² pro zm∞nu vypouÜtφ skriptov² virus napsan² ve VBS skriptu a instaluje skript pro program mIRC. VypuÜt∞n² VBS script se pokouÜφ smazat n∞kterΘ nainstalovanΘ antivirovΘ a bezpeΦnostnφ programy.

Po spuÜt∞nφ se worm zkopφruje do adresß°e Windows a modifikuje systΘmovΘ registry:
HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\ZaCker = %windows%\CHRISTMAS.EXE

HKLM\System\CurrentControlSet\Control\ComputerName\ ComputerName\ComputerName = ZaCker

HKCU\Software\Microsoft\Internet Explorer\Main\Start page = http://geocites.com/<...>/ZaCker.htm

Tyto zm∞ny znamenajφ, ₧e worm je spuÜt∞n p°i restartu, ₧e jmΘno poΦφtaΦe je zm∞n∞no na Zacker a ·vodnφ strßnka programu Internet Explorerje nastavena na v²Üe uvedenou strßnku autora. Worm takΘ vykonßvß dalÜφ destrukΦnφ Φinnost - v systΘmovΘm adresß°i Windows sma₧e vÜechny soubory s nßsledujφcφmi p°iponami: DLL, DRV, VXD a TSP.

Zdroj: Alwil software - v²robce antiviru AVAST

Jedno·Φelov² antivirus:

Jedno·Φelov² antivirus nebyl bohu₧el nalezen, zkuste se obrßtit na e-mail igi@viry.cz.

N∞kolik dobr²ch rad:

P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.