NovΘ viry na prßzdniny...

ZaΦßtek m∞sφce je velmi bohat², objevili se toti₧ viry:
  • W97M/Story & mIRC/Story Makrovirus pro Word 97. Pokud existuje soubor c:\mirc\mirc32.exe, sma₧e soubor script.ini (z c:\mirc). Pak vytvo°φ nov² soubor script.ini, do kterΘho vlo₧φ skript mIRC - mIRC/Story. Aktivnφ (a infikovan²) dokument Wordu je ulo₧en do souboru c:\windows\story.doc, kter² se pak mIRC/Story sna₧φ odesφlat do aktivnφho kanßlu IRC.
  • VBS/FreeLinks K≤dovan² VB Script virus Üφ°φcφ se emailem, p°es sφ¥ovΘ disky a IRC. V emailovΘ zprßv∞ s nßzvem "Check this" se Üφ°φ jako p°φloha. Po spuÜt∞nφ VBS skriptu se zobrazφ zprßva: "This will add a shortcut to free XXX links on your desktop. Do you want to continue ?". Pokud souhlasφte, virus vytvo°φ .URL soubor obsahujφcφ adresu "http://www.sublimedirectory.com/". Virus taky vytvo°φ soubor c:\windows\system\rundll.vbs a modifikuje registry (\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \ Windows\CurrentVersion\RUN\Rundll) tak, aby se VBS skript spouÜt∞l p°i ka₧dΘm startu Windows. Dφky tomu pak m∙₧e kontrolovat, zda jsou instalovßni klienti mIRC nebo PIRCH IRC a odesφlat svoji kopii ostatnφm u₧ivatel∙m stejnΘho IRC kanßlu. Pokud je poΦφtaΦ instalovßn v sφ¥i, sna₧φ se virus rozmno₧it po sφ¥ov²ch discφch. Prost°ednictvφm emailu se Üφ°φ podobn∞ jako makrovirus W97M/Melissa - svoji kopii odesφlß ve form∞ souboru, kter² je umφst∞n v p°φloze. Odesφlß ji vÜem lidem, kte°φ jsou zapsßni v adresß°i OutLooku.
  • W97M/Autoexec (alias W97M/JulyKiller) Dokß₧e se Üφ°it pouze pod Wordem, kter² pou₧φvß vφce bajtovΘ znaky (Japonskß verze...). M∙₧eme b²t tedy v klidu... P°i troÜe Üt∞stφ m∙₧e do soubor AUTOEXEC.BAT umφstit sekvenci "deltree/y c:\", kterß se postarß o smazßnφ vÜech soubor∙ na disku C:. No a kdy₧ u₧ jsem se tak rozjel, mohl bych se zmφnit o zajφmavΘm makroviru W97M/Heathen, kter² se objevil asi p°ed 20 dny:
  • W97M/Heathen Makrovirus pro Word 97, kter² vyu₧φvß DLL knihovnu k zachovßnφ "rezidentnosti" v operaΦnφ pam∞ti. P°i otev°enφ infikovanΘho dokumentu virus vypustφ DLL soubor, kter² se jmenuje HEATHEN.VDL. Pak upravφ soubor EXPLORER.EXE tak, aby se DLL soubor aktivoval p°i ka₧dΘm startu Windows. P°i dalÜφm startu Windows zaΦne DLL soubor hledat vhodnΘ dokumenty pro infekci... Bli₧Üφ informace najdete nap°φklad na strßnkßch www.datafellows.com Φi www.sophos.com.