Emperor

Velice nebezbeΦn² pam∞¥ov∞ rezidentnφ polymorfnφ a multipartitnφ virus. Je dlouh² 5826 byt∙. Infikuje COM a EXE soubory pro DOS, p°iΦem₧ se zapisuje na jejich konce. Krom∞ toho infikuje MBR pevnΘho disku a boot sektor disket. Virus vyu₧φvß stealth funkce a dokß₧e obejφt antivirovou ochranu BIOSu.

Virus mß chyby a v n∞kter²ch p°φpadech m∙₧ou b²t soubory p°i infekci naruÜeny. P°i spuÜt∞nφ pak zablokujφ poΦφtaΦ.

B∞hem infekce MBR virus vyu₧φvß n∞kolik trik∙, kter²mi dokß₧e obejφt antivirovou ochranu BIOSu. Pokud zjistφ, ₧e je zapnuta (z CMOS), posφlß p°ed napadenφm MBR do bufferu klßvesnice znak "Y", kter²m se sna₧φ potvrdit zprßvu o povolenφ infekce MBR.

Virus uklßdß p∙vodnφ MBR a boot sektor na vyhrazenΘ sektory na disku, ale zak≤duje je a naruÜφ. Tyto data pak pracujφ korektn∞ pouze v p°φpad∞, ₧e virus je aktivnφ v operaΦnφ pam∞ti (virus toti₧ po svΘm zavedenφ do pam∞ti p°edßvß zp∞t °φzenφ p∙vodnφmu MBR Φi boot sektoru). Virus taky pozm∞nφ Partition tabulku tak, ₧e nenφ mo₧nΘ systΘm nahrßt z ΦistΘ systΘmovΘ diskety (disk je nep°φstupn² ?).

B∞hem infekce MBR nebo boot sektoru (v p°φpad∞ diskety) v nich virus hledß n∞jakΘ specifickΘ sekvence, a pokud je najde, vyma₧e CMOS pam∞¥ a tφm zablokuje poΦφtaΦ (ten hlßsφ "Error in CMOS").

Virus vÜak provßdφ i daleko horÜφ operaci. Podobn∞ jako virus CIH (╚ernobyl) p°episuje Flash BIOS p°iΦem₧ ma₧e i data z pevnΘho disku. Ve stejn² Φas zobrazuje zprßvu:
  EMPEROR
        I will grind my hatred upon the loved ones.
 Despair will be brought upon the hoping childs of happiness.
 Wherever there is joy the hordes of the eclipse will pollute
       sadness and hate under the reign of fear.
         In the name of the almighty Emperor....

Tato operace se provede, pokud virus v pam∞ti najde aktivnφ debugger, nebo pokud je systΘm restartovßn mezi 5 a 10 hodinou dopoledne. Dφky chyb∞ ve viru se vÜak tato operace m∙₧e provΘst skoro kdykoliv.

Virus taky obsahuje text:
he EMPEROR virus
written by Lucrezia Borgia
In Colombia, 1999

Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG

Jedno·Φelov² antivirus:

Jedno·Φelov² antivirus nebyl bohu₧el nalezen, zkuste se obrßtit na e-mail igi@viry.cz.

N∞kolik dobr²ch rad:

P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.