Dir II

Virus DIR II se liÜφ od vÜech ostatnφch druh∙ vir∙. Je dlouh² 1024 byt∙ a je zvlßÜtnφ v tom, ₧e sice napadß programy typu COM a EXE, ale soubory, ve kter²ch jsou tyto programy ulo₧eny, v∙bec nemodifikuje. Na infikovanΘm disku se vyskytuje pouze jedenkrßt. Pochßzφ z Bulharska. Po svΘm spuÜt∞nφ se virus instaluje do pam∞ti a pak prochßzφ z°et∞zenΘ ovlßdaΦe za°φzenφ (device drivers) a p°ipojφ se k nim tak, ₧e je p°i ka₧dΘm volßnφ diskov²ch operacφ aktivovßn. Pou₧φvß funkce Strategy a Interrupt. Po instalaci spustφ hostitelsk² program a normßlnφm zp∙sobem se ukonΦφ. Pam∞tov∞ rezidentnφ virus pak monitoruje p°φstup na disk a jednak hlφdß funkce Build BPB (kv∙li sprßvnΘ funkci programu typu CHKDSK) a jednak napadß disky a adresß°e.
InfekΦnφ rutinu viru je mo₧no rozd∞lit do dvou Φßstφ. Prvnφ souvisφ s napadenφm celΘho disku. Virus zjisti poslednφ cluster na disku, zapφÜe do n∞ho sebe sama a v tabulce FAT jej zvlßÜtnφm zp∙sobem oznaΦφ jako obsazen². Pokud tento cluster nßle₧el n∞jakΘmu souboru, je tento soubor virem p°epsßn a znφΦen. Je to vÜak jedinß Ükoda, kterou virus m∙₧e trvale zp∙sobit. Druhß Φßst infekΦnφ rutiny souvisφ s modifikacφ adresß°∙. Virus toti₧ manipuluje s polo₧kou v adresß°i, ve kterΘm je ulo₧eno mφsto na disku, na kterΘm soubor zaΦφnß (First Cluster Pointer, FCP). Virus zm∞nφ tento parametr u vÜech soubor∙ typu EXE a COM tak, ₧e vÜechny programy zaΦφnajφ k≤dem viru. Originßlnφ hodnota je zak≤dovßna a ulo₧ena na volnΘ (rezervovanΘ) mφsto v polo₧ce adresß°e. Virus tφmto zp∙sobem najednou napadß vÜechny soubory v danΘm adresß°i a proto se velmi rychle Üφ°φ. Virus kontroluje pouze rozÜφ°enφ a ne jmΘno souboru, a proto napadß i smazanΘ soubory (!!!). Virus neustßle p°i prßci s adresß°em p°epφnß polo₧ky FCP mezi p∙vodnφmi a modifikovan²mi hodnotami, aby mohl operaΦnφ systΘm v∙bec pracovat. Jako vedlejÜφ efekt z toho vypl²vajφ i urΦitΘ vlastnosti typu stealth (skr²vßnφ).
Pokud je virus aktivnφ v pam∞ti, chovß se poΦφtaΦ celkem normßln∞. Kdy₧ je vÜak zaveden systΘm z ΦφstΘ diskety, jsou vÜechny napadenΘ soubory pouze 1024 byt∙ dlouhΘ a program CHKDSK hlßsφ spousty chyb (vÜechny programy zaΦφnajφ na stejnΘm mφst∞ - k°φ₧enφ soubor∙). Stejn²m zp∙sobem se chovß infikovanß disketa v nezavirovanΘm poΦφtaΦi.
Po zjiÜt∞nφ viru v poΦφtaΦi lze jen t∞₧ko napadenΘ soubory zßlohovat. Pokud je virus v pam∞ti, jsou na zßlo₧nφ mΘdia p°eneseny infikovanΘ programy, pokud nenφ virus aktivnφ, je na disku pouze velk² zmatek.
Existuje velmi jednoduch² zp∙sob, jak m∙₧ete bez zvlßÜtnφch prost°edk∙ virus z disku odstranit. StaΦφ toti₧ v okam₧iku, kdy je virus aktivnφ, p°ejmenovat ve vÜech adresß°φch vÜechny soubory typu COM (nap°φklad na *.CO_) a EXE (nap°φklad na *.EX_). Virus sßm uvede p°φsluÜnΘ polo₧ky adresß°e do p∙vodnφho stavu. Pokud chcete zachrßnit i programy na disketßch, je nutno provΘst stejn² ·kon i na nich.
PotΘ je nutno zavΘst systΘm z originßlnφ diskety a vÜechny soubory p°ejmenovat zp∞t. Programem CHKDSK je mo₧no odstranit cluster obsazen² virem. Program, kter² i po tomto kroku virus obsahuje, je pravd∞podobn∞ zdrojem celΘ nßkazy.

Zdroj: Alwil software - v²robce antiviru AVAST

Jedno·Φelov² antivirus:

Jedno·Φelov² antivirus nebyl bohu₧el nalezen, zkuste se obrßtit na e-mail igi@viry.cz.

N∞kolik dobr²ch rad:

P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.