I falešný
virový poplach vám může poškodit počítač
zdroj:
http://www.zive.cz/h/PocitaceaInternet/AR.asp?ARI=100401
Falešné virové poplachy
zvyšují inteligenci. Nový hoax, který se šíří v anglicky mluvících zemích, ale je jen otázkou,
kdy ho někdo přeloží do češtiny, vás vybízí k mazání souboru na vašem
disku. Kupodivu úspěšně.
Tento hoax s označením SULFNBK
totiž upozorňuje uživatele na nový virus,
který je umístěn v souboru SULFNBK.EXE. Tento virus údajně může smazat
všechny soubory na pevném disku a žádný antivir ho nezjistí (jak fádní).
Vtip je ale v tom, že SULFNBK.EXE na vašem počítači skutečně existuje,
pokud tam máte Windows. Je to totiž
systémová utilitka
využitelná pro
zálohování dlouhých názvů souborů. Název je hodně nelogický a stejně tak
se tento nástroj příliš nepoužívá, takže může vzbudit dojem, že je v
počítači navíc a jedná se o virus.
Lidé, co si přečtou e-mail, tak ke své hrůze zjistí, že již tento virus na
počítači mají, rychle jej smažou a upozorní své okolí.
Tento hoax ale má logický základ, existuje totiž virus
W32/Magistr-A, který
opravdu dokáže poškodit BIOS
počítače a šíří se právě přes infikování souboru
SULFNBK.EXE, který rozesílá poštou. Tento virus ale
pochází z letošního března a dnešní aktualizace antivirů jej v pohodě
detekují.
Pokud vám tedy dojde toto varování, nic nemažte, mohli byste si leda
uškodit. Podobné hoaxy se ale mohou rozšířit více, systémových souborů s
nesmyslnými názvy je rozhodně ještě celá řada.
Tři nové přírůstky z
virového světa
zdroj:
http://www.zive.cz/h/PocitaceaInternet/AR.asp?ARI=100397
HTML.Bother.3180, VBS.Noped.A@mm
a W97M.Wrath -
tradičně kryptická označení nových virů znamenají
jediné, být stále ve střehu.
HTML.Bother.3180
Jedná se o skript využívající k provádění
svých akcí prvky ActiveX, který je umístěn do
HTML stránky. Při otevření
takové stránky se zobrazí hlášení, že k prohlížení je nutné akceptování
ActiveX komponent. V případě, že to povolíte, nebo pokud máte zabezpečení
nastaveno na nejnižší úroveň, dojde k aktivaci viru; v opačném případě se
skript pochopitelně nespustí.
Jednou z funkcí je změna výchozí stránky
Internet Exploreru a připojování
kódu ke všem souborům s příponami
.htm a .html ve složkách
Windows\Web
a Dokumenty.
Kromě toho, pokud číslo dne odpovídá náhodně vygenerovanému číslu, změní
implicitní ikonu pro
HTML soubory.
Přesný popis funkce:
Vytvoří na ploše soubor
Hello.txt. Jedná se o
soubor obsahující pouze dva řádky textu s informacemi o původním
skriptu.
Následně ve složce
Windows\System vytvoří soubor
PetiK.htm
a nastaví ho
jako výchozí stránku
Internet Exploreru. Výchozí stránka se pak skládá z
rámů, přičemž jednu část okna tvoří původní domovská stránka, pod kterou
je umístěna další stránka s textem:
Hi, you have my Worm. It`s not
dangerous. Contact Symantec Corporation (www.symantec.com/avcenter) to
disinfect your computer.
Virus vyhledá všechny soubory s příponou .htm a .html
ve složkách
Dokumenty a
Windows\Web a přidá na jejich konec svůj kód.
Nakonec vygeneruje náhodné číslo, a pokud se toto číslo shoduje s číslem
dne, změní ikonu pro
HTML soubory.
Tento virus není ve své podstatě příliš nebezpečný a patrně jedinou
nepříjemnou vlastností je již zmíněná změna ikon a výchozí stránky.
VBS.Noped.A@mm
Jedná se o červa
šířícího se elektronickou poštou, který zobrazuje textový soubor v
poznámkovém bloku, přenastaví domovskou stránku Internet Exploreru a
vyhledává na všech pevných i sí?ových discích soubory
.jpg a .jpeg se
specifickými názvy. V případě, že takové soubory nalezne, odešle zprávu
náhodnému příjemci ze seznamu vládních agentů.
E-mail obsahující tento virus má předmět FWD:
Help us ALL to END ILLEGAL
child porn
NOW (Pomozte
nám skoncovat s nelegální dětskou
pornografií), v
příloze je uložen soubor END ILLEGAL
child porn NOW.TXT............vbe a
tělo zprávy obsahuje text Hi, just a quick e-mail. Please
read the
attached document as soon as you can. Thanks. Po otevření přiloženého
souboru dojde ke spuštění kódu viru. V první řadě se virus rozešle
e-mailem na všechny adresy z adresáře kontaktů. Následně zobrazí v
poznámkovém bloku soubor s textem pojednávajícím o dětské pornografii a
boji proti ní. Poté upraví registry tak, aby se spouštěl současně s
operačním systémem, a změní výchozí stránku prohlížeče na stránku autora
viru. Nakonec prohledá disky a na nich se podle názvu pokusí nalézt
obrázky s pedofilní tematikou; v případě, že nalezne odpovídající soubory,
odešle e-mail náhodně vybranému vládnímu agentovi . Tento
e-mail má
předmět RE: Child Pornography, text Hi, this is Antipedo2001. I have found
a PC with known Child
Pornography files on the hard drive. I have included
a file listing below and included a sample for your convenience a v
příloze je přehled nalezených souborů. Na závěr vypne nastavení některých
zvuků pro systémové události Windows.
Virus neprovádí žádné destruktivní akce, není jinak nebezpečný, nicméně má
poměrně velkou tendenci šířit se.
W95.Buggy.Worm@mm
Základní funkce spočívá v rozesílání elektronickou poštou v e-mailu s
předmětem
The last patch for Internet Explorer
a přílohou ie042601.exe.
Po
spuštění se program zaregistruje
jako služba, a není tudíž vidět v seznamu
spuštěných úloh (pod Windows NT a 2000 to nefunguje). Následně se
zkopíruje do složky
Windows\Systém
a upraví konfigurační soubor
win.ini
tak, aby došlo k automatickému
spuštění viru
současně s operačním systémem. Poté vytvoří následující soubory:
C:\Script.ini
\Windows\Email.vbs (obsahuje kód viru VBS.Newlove.A).
C:\Win.drv
\Windows\Wsock32.bat
Souborem
Script.ini
pak nahradí soubory
C:\Mirc\Script.ini,
C:\Mirc32\Script.ini.
Tyto soubory jsou přítomné pouze v případě, že uživatel má nainstalován
komunikační program
mIRC. Po spuštění této aplikace dojde k automatickému
odeslání souboru
ie042601.exe všem uživatelům, kteří jsou v daném okamžiku
na stejném kanále. Další způsob šíření je takřka tradiční –
elektronickou
poštou
ve zprávě, kterou jsme si popsali výše, a samozřejmě na všechny
adresy z adresáře kontaktů. Kromě toho se autor pokusil naprogramovat, aby
jeho virus zaměnil tapetu pracovní plochy za obrázek
Petik.bmp, který si
měl stáhnout z
Internetu, nicméně v této části zajiš?zapiované souborem
Win.drv
je chyba, takže tato funkce nefunguje.
W97M.Wrath
Makrovirus
šířící se v dokumentech MS Word.
Po otevření takto infikovaného dokumentu a povolení spuštění maker vytvoří
virus nejprve soubory C:\Mswin.dll a
C:\Mswin2.dll obsahující zdrojový kód
viru. Z těchto souborů následně infikuje globální šablonu Normal.dot a
aktuální otevřený dokument. Poté, co je tato akce provedena, jsou soubory
C:\Mswin.dll a
C:\Mswin2.dll smazány.
Pokud je systémové datum mezi 4. a 8.
červencem, dojde k vymazání všech souborů ve
složkách Dokumenty a Windows a zobrazení zprávy Happy July 4th!. V případě, že je systémové
datum 3. července, změní barvu pozadí MS Wordu na modrou a otevře v
poznámkovém bloku soubor s textem FEEL MY WRATH........
Tento virus lze
díky mazání souborů považovat za poměrně nebezpečný, pokud však nepovolíte
spouštění maker, nemusíte se ho obávat. V opačném případě si můžete
připravit instalační disk operačního systému a vzpomínat na to, kam jste
uložili poslední zálohu svých dokumentů.
Internet-červ Stator
Kaspersky laboratoř -
virové zprávy, Pondělí, Duben 23, 2001
***********************************************
Pozor
na Internet-červa "Stator"
Byl objeven Internetový
červ, který se rozesílá přes populární e-mail klient
"The Bat!".
Technické detaily:
Tento Internet-červ využívá
elektronickou poštu klienta "The Bat!", za účelem rozšíření. Získá přístup
k databázi adresáře elektronické pošty a posílá svoje kopie ve tvaru
připojeného souboru k elektronické poště.
Červova kopie obsahuje jméno
"photo1.jpg.pif" a obsahuje
fotografii neznámé dívky, sedící vedle restaurace
MacDonald. Tělo
zprávy je rusky psaný text v cyrilici.
Přeložený text zní
přibližně:
Zdravím !!
Vaši adresu jsem dostala od
našeho přítele.
Připojila jsem se poprvé k Internetu a dostala tuto poštovní zásilku!
Nyní píši svoji první elektronickou poštu!!!
Řekl mi, že kdybych měla jakékoliv otázky, mohu se Vás zeptat...
Jsem pěkná, rozkošná a družná.
(podívejte se na fotografii)
Čekám na Vaši odpověď!!!
Napište mi něco o sobě a co byste rád věděl o mě.
Na shledanou! Na shledanou!
:)))))))))
Sveta Kovaleva
Červ také instaluje sám sebe
do systému a nakazí několik systémových souborů. Navíc vysílá hesla a
další důvěrné informace z počítače.Pro skrytí jeho aktivity červ zobrazuje
JPEG děvčete.
Více technických detailů na
Kaspersky vir encyklopedie
http://www.viruslist.com/eng/viruslist.asp?id=4188&key=00001000130000100072
Český virus pro Linux i Windows
dohromady
zdroj:
http://www.zive.cz/r-art.asp/ID=30932
Další bič na líné
linuxové administrátory - červ Lion
zdroj:
http://www.zive.cz/r-art.asp/app=0x6902124/id=30678
W32.Naked.A : Nenechejte se
zlákat nahou ženou!
zdroj:
http://www.zive.cz/r-art.asp/app=0x5987818/id=29228
VBS/MyBa: Další klon
LoveLetteru je tady
zdroj:
http://www.zive.cz/r-art.asp/app=0x942959/id=28959
Virový poplach: Anna Kourniková
zaplavuje planetu
zdroj:
http://www.zive.cz/r-art.asp/app=0x448147/id=27360
Nový virus z kategorie červů zaplavuje
Evropu a Spojené státy. Ohroženi jsou především fanoušci známé tenistky a
ti, co si nedávají pozor, co spouštějí. Pošli článek
Virus se šíří jako e-mailová zpráva s předmětem
Here you have, ;o), tělo
obsahuje
Hi: Check This!
a v příloze najdete soubor
AnnaKournikova.jpg.vbs.
použitý je tedy stejný trik se zdvojenými příponami, jako v případě
viru ILOVEYOU. Virus nedělá naštěstí nic destruktivního, jen se šíří na všechny
adresy z adresáře a zapisuje si údaje do registrů
HKEY_USERS\.DEFAULT\Software\OnTheFly\mailed=1,
pokud se rozešle.
26. ledna se také pokusí připojit na server
http://www.dynabyte.nl.
Virus
pochází nejspíše
z Evropy, odkud se již rozšířil do
Spojených států
a podle posledních informací se šíří velmi podobnou rychlostí jako již
zmíněný
ILOVEYOU. Záplaty na něj již nabízejí hlavní dodavatelé antivirů,
nicméně se jedná o tradiční
VBscriptový virus, není to tedy nic
neobvyklého, naopak Symantec uvádí, že tento virus byl vytvořen pomocí
virového kitu, jeho autor tedy jen vymyslel vhodný předmět a název
přílohy, který chytil za srdce. Virus má různá označení:
VBS/SST, OnTheFly,
VBS/VBSWG.J a další.
Exkluzivní
rozhovor s programátorem virů -
GriYo/29A
- na Živě ze
23.5. 2000
E-mailový červ Hermes
zdroj:
http://www.zive.cz/r-art.asp/app=0x6830713/id=26758
E-mailový červ Hermes
zcela jistě pochází
z
České republiky; svědčí o tom nejen jména přikládaných souborů, ale i
připojování na server Seznam.cz.
Červ využívá tradiční a oblíbenou metodu
podstrkování různých souborů s lákavými názvy vybízejícími ke spuštění. I
když jsme již dostatečně vyburcováni k
ignorování anglicky znějících
souborků,
Hermes útočí ryze lokálně na zájmy českých uživatelů.
Poté, co uživatel spustí v
Outlooku přílohu
v došlém
e-mailu, se
červ rozešle na
všechny adresy v adresáři ve zprávě s předmětem RE:, text zprávy tvoří
jméno odesílatele. V příloze je
červ schovaný do
jednoho z následujících souborů o
velikosti okolo 20 kB:
Seti@home 3.x to 4.0 upd.exe
Seti@home_twk.exe
Seti_patch.exe
Lunetic!.exe
CIH.exe
Energy.exe
ftip.exe
Navidat.exe
Click_ME!.exe
Cenik.exe
Lunetic.scr
fucking.scr
micro$haft.scr
matrix.scr
reboot.scr
Pamela.scr
techno.scr
funny!.scr
Hermes.scr
School_in_da_flame.scr
Jak vidíte, fanoušci Luneticu mají smůlu, to, o čem si myslí, že by mohl
být pěkný spořič
obrazovky, je červ.
Je zajímavé, že červ
používá i „profláknuté“ názvy, jako je Navidat nebo
CIH. Nebezpečně lákavé mohou být
aktualizace Seti@home nebo
cenik.exe.
Červ také zobrazuje dialogová okna s textem:
_ i-Worm.Hermes _
Code by: gl
This program requires more conventional memory
Unload drivers or memory-resident programs that use conventional memory,
or increase the value for Minimum Conventional Memory in the program's
Memory properities sheet.
Červ
se dále pokouší o zápis do
registrů, ale
podle informací na
Viruslist,
ze kterých jsem čerpal, se mu to díky chybě nepodaří.
Jako perličku na závěr kontaktuje červík server
www.seznam.cz, nicméně nic
tam
nestahuje. Zřejmě ho má natolik rád, že mu chce přihodit
pageview
zdarma.
Od autora viru gl_storm :
Tak a deme na věc!
Skoro hned, jak sem dokončil wm97.Ftip, sem se vrhnul na novy projekt,
nazval sem ho Hermes (...Hermes je jméno
Egyptskeho boha mesice a
moudrosti...), melo to byt něco mnohem lepšího
než byl Ftip(/i0nst0rm) a protože se docela
hodně zabývám programováním ve Visual Basicu (6), tak
sem se rozhodl tohoto jazyka pro tento ucel zneužít :) Prvně sem měl vobrovské plány co by "to" melo dělat, ale z nedostatku času i zkušenosti
sem to lehce zkrátil. Nakonec se s toho vyklubal jen i-worm + Seti trojan,
ale o tom až dále...
O co se jedna?
Jedna se o i-worm napsaný ve
VB6 a tudíž k
jeho běhu je bezpodmínečně nutný operační systém
W95+. Dále je potřeba
knihovna msvbvm60.dll, která je standart-ní součástí
Win Me/2k :) Bez teto
knihovny se červ
ani nespustí :( Pro šíření je potřeba MS
Outlook 98/2K a dále ještě WSH(Windofs script
host), který umožnuje zápis do registru,
atd.. Je standart-ní součásti Win98/ME/2K...
...a co nám červ děla?
Pokud červ dorazí, prostřednictvím
elektronické pošty jako příloha, a dojde k jeho spuštěni, za splněni
podmínek výše, se začnou odehrávat instrukce v něm obsazené a to jsou:
Prvně si červ ověří existenci klice
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Hermes,
"...by gl",
pokud existuje okamžitě přeskočí až na konec programu, tj zobrazí jen
msgbox a ukonči své působeni. Pokud ne tak zjisti existenci
"%program_files%\ \seti@home\user_info.sah",
pokud existuje, tak ho přepise a Vaše bodíky se budou připočítávat mě;) -
(Jedna se o inf soubor k projektu
"Seti@home", nějaké hledaní ufounu)
Pokud neexistuje, tak neděla nic a pokračuje...
Ověří si připojeni PC k internetu a to tak že se přes
IE
připojí k serveru
www.seznam.cz, pokud uspěje tak si zjisti svou aktuální polohu na disku,
nakopíruje se do
%windir% jako jedna z následujících variant:
Seti@home 3.x to 4.0 upd.exe
Seti@home_twk.exe
Seti_patch.exe
Lunetic!.exe
CIH.exe
Energy.exe [...Beeennnnnyyyyy!!!! :)]
ftip.exe
Navidat.exe [...ghhh! to neni chyba :)]
Click_ME!.exe
Cenik.exe
Lunetic.scr
fucking.scr
micro$haft.scr
matrix.scr
reboot.scr
Pamela.scr
techno.scr
funny!.scr
Hermes.scr
School_in_da_flame.scr
Pod stejným názvem se pokusí odeslat jako
příloha na prvních 100 adres v adresáři
outlooku. Jako tělo zprávy
obsahuje pouze "[%user_name%]", přílohu znáte...
Pokud uspěje, tak si to označí do registru jako :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Hermes,
"...by gl",
zobrazí již zminovaný msgbox a skonči, fnuk
;)
Jestli-ze PC není v okamžiku spuštěni červa připojené k internetu, tak se
pouze zobrazí:
/This program requires more conventional memory
/Unload drivers or memory-resident programs that
/use conventional memory, or increase the value
/for Minimum Conventional Memory in the program's
/Memory properities sheet.
/
/ [OK]
...a do registru je ulozi "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\REM"
s hodnotou "1", tato hodnota se po každém neúspěšném připojeni k
www.seznam.cz zvetsi o "1".
Jakmile hodnota dosahne velikosti "3", tak se
čerf odešle i gdys neni PC
pripojeno k internetu!, respektive se zapíše do složky "Posta k odesláni" v
outlooku.
...a nakonec par perlicek ;)
AVP: The worm also tries to write registry keys but fails to do so because
of a bug.
[Hmmmm?]
McAfee: Origin: Czechoslovakia
[???]
McAfee: This worm will send to users in the address book via MS Outlook if
that application is running. If Outlook is not running, the worm does not
spread.
[...a ze o tom nevim? :)]
McAfee: This worm will attempt to copy itself to the root of all available
drives from C: to Z:
[hehe! zase blbost!!!]
Trend: The Trojan program contains the following text: "I-Worm.Hermes"
[...hledal sem, nenasel sem.... :)]
Trend: It then uses Messaging API to send two
identical emails to all addresses in the infected user's MS Outlook
Express and/or Microsoft Outlook address books.
[...bez komentare :(]
gl_storm@seznam.cz
IRC: #virus #mions #virus.cz
http://omega.hyperlink.cz/VX_diary.html
Ze by virus made in CR dal
zabrat antivirovym firmam?
http://www.zdnet.co.uk/news/2000/35/ns-17718.html
Dva údajně čeští viráci s pseudonymy
Benny/29A
a Ratter měli vyvinout postup, kterak zapsat virus do tzv.
ADS (Alternate
Data Streams) systému
NTFS
Windows NT/2000. V
NTFS se běžná data zapisuji
tak, jak je vidíte na disku, ale současně s nimi se zapisuji např.
bezpečnostní údaje via ADS - tato data neuvidite, pokud nemate prislusnou
utilitu (MS z jasných důvodu žádnou nenabízí). Kdo ale systém prohledne,
muže vytvářet další, nestandart_ní ADS. Nový virus by měl být schopen zápisu
via ADS a odtud napadat počítač. Pokud by se prokázala existence
viru s takovou schopnosti,
nastaly by
antivirovým firmám problémy. Ty
totiž u NTFS
nezkoumají ADS. Pročež by se muselo
předělat jádro
antivirových programu. Manažer
Symantecu tvrdí, že jde o
planý poplach.
Jeden antivirovy rusky expert zase
tvrdí, že možné to je. V takových
chvílích je nejlepší dočkat času jako husa ADeeSu.
Zdroj:
http://news.cnet.com/
Cnet News a BAJT
Zajimava finta - e-mailovy
virus se skrytou priponou pro Windows
http://news.cnet.com/news/0-1005-200-2108936.html
Novy, slušné destruktivni cervi virus se
vesele síti Internetem a
zlobí uživatele Windows a správce zahlcených mail
serveru. Pozoruhodně na něm je, ze se jeví byt jen textem (souborem s příponou .txt). Ve skutečnosti jde o soubor s příponou
shs
- napr. nazev.txt.shs.
Po odkliknutí souboru (v příloze zprávy) se
spustí skript,
který vykoná shell Windows (shs znamena shell script). Problém je v dost hloupém
nastaveni v registrech Windows.
HKEY_CLASSES_ROOT\ShellScrap je nastaveno
na "NeverShowExt"="0" (tedy NIKDY neukazuj
pripony .shs). Staci prepsat na "AlwaysShowExt" (uz jsem ucinil).
Virus
pase neplechy leckde, kde se ve
Windows klika na přišlé soubory - napr. v
ICQ, IRC apod., jak
navelí skript viru.
Jak plyne z popisu činnosti
viru na stránkách
Network Associates
http://vil.nai.com/villib/dispvirus.asp?virus_k=98668
IRC/Stages.worm, ma
virus nejednu zakernost. Napr.
přesune soubor
Regedit.exe do
koše
a odkazuje se na nej. Změní v něm
registry (napr. kvuli uplatneni v ICQ),
zaplnuje disky
náhodně
generovanymi soubory... čím dal popis čtu, tím seznam pasek narůstá.
Brrr...
Na konci popisu jsou rady, jak virus odstranit. Virus je pochopitelně
napsán ve
Visual Basicu. Vůbec nechápu,
proč je přípona .shs ve
Windows implicitne zamlčována.
Jenže já nejsem Bill:)
Zdroj:
http://news.cnet.com/
Cnet News a BAJT
Novy virus 911 siri Inetem
http://www.zdnet.com/zdnn/stories/news/0,4586,2504397,00.html?chkpt=zdnnstop
FBI se pustila do vyšetřování causy
viru 911, který se začal
šířit po počitačích hlavně v texaskem Houstonu.
Což neznamená, ze by nemohl jinam do světa. Jde o zvláště
nechutný virus. Využívá
bezpečnostní díry ve Windows 95/98. Pokud
má uživatel nastavené sdíleni tiskárny nebo souboru,
virus se mu propracuje na hard disk. Napřed
začne sám hledat další počítače s uvedeným sdílením a překopíruje se na
ne. Pak vymaže hard disk a
via modem
začne volat tísnové čislo 911. Zvrácenost autora tohoto viru je příšerná.
Virus se usazuje ve skrytých
adresářích s názvy chode,
foreskin nebo
dickhair. Nejjednoduššíobranou
proti viru je vypnout všechno sdíleni. Zda MS pří_de se záplatou, se
neuvádí.
Zdroj:
http://www.zdnet.com/
ZDNet a BAJT
Prvni virus pro
mobilni telefony - a zase VBS
http://news.cnet.com/news/0-1005-200-2026192.html?tag=st.ne.1002.bgif.ni
Nejde o nic moc. Virus typu Melissa vyhledává
adresy SMS a posila na ne text,
který posílá španělskému telecomu.
Mobily
jsou ještě příliš stupidní na to, aby se s nimi daly provádět nějaké horší
kousky. Co mě na cele věci překvapilo, je jazyk, v němž je virus připraven
- Visual Basic (virus startuje z
počitaču). To znamená, ze spousta lidi je
absolutně nepoučitelná. V jedné konferenci systémových
administratoru a
ISP běžely srandičko_vé
příspěvky z krajiny scifi. Jeden z učast_níků tam
napsal, že ve svých systémech aplikoval
odpuzovač idiotu, které
nasměrovává ke konkurenci, a magnet na dobré uživatele, které přitahuje od
konkurence k sobe...takový scifi ventil, ale pochopitelný:)
Zdroj:
http://news.cnet.com/
Cnet News a BAJT
Rezidentní virus
Viry, které jsou rezidentní v paměti, se
aktivují buď při zavedení systému, nebo při spuštění infikovaného
programu. V obou případech je vhodné zajistit čisté prostředí pro práci
antivirového programu. K tomuto účelu byste měli mít připravenou čistou
systémovou disketu, z níž zavedete systém. Někdy stačí pouze znovu nahrát
systémové soubory (k tomu slouží příkaz sys c:), jestliže je ale virus
zapsán v boot sektoru pevného disku, nebo je obsažen v nějakém programu,
který se spouští při startu systému (což je velmi častý případ), bude
nutné provést odvirování počítače z této diskety. Proto je vhodné používat
antivir, který má i verzi pro DOS.
Bootvirus
Většinu bootvirů
přemůžete jedině antivirem.
Pokusíte-li se je odstranit ručně, můžete si znepřístupnit celý disk.
Například velmi častý
One Half lze odstranit obnovou
MBR, ale tím ho
neodstraníte z infikovaných souborů (odkud může být opětovně zavlečen) a
navíc přijdete o data.
One Half totiž postupně šifruje data na pevném
disku a současně slouží jako dešifrátor, takže pokud ho odstraníte,
přijdete tím vlastně o dešifrovací klíč a své soubory získáte zpět jen
velmi obtížně.
Souborový virus
Pokud jste měli hodně velkou smůlu a váš
počítač byl
napaden virem,
který poškozuje infikované soubory, budete muset vyhlásit pátrání po
záložních disketách, CD-ROMech nebo jiných médiích, protože bez nich
nemáte šanci uvést programy do původního stavu. Stejně tak lze doporučit
obnovu ze zálohy i v případě, že antivir označí napadené programy jako
vyléčitelné. V některých případech se sice podaří virus odstranit, ale
program může být nefunkční, nebo se bude chovat nestabilně. Jestliže
zálohu nemáte, nechejte antivir příslušný program vyléčit, ale vždy
důkladně otestujte, zda všechny funkce tohoto programu fungují tak, jak
mají.
Makrovirus
Makroviry lze dobrým antivirovým programem
léčit celkem bez problémů. Pokud si ale chcete vyzkoušet "ruční" vyléčení makroviru pro
MS Word (to je nejčastější platforma současných
makrovirů),
můžete použít následující návod, s jehož pomocí lze odstranit většinu
makrovirů pro tuto aplikaci
o Zkontrolujte, zda se virus
neaktivuje ještě před spuštěním infikovaného programu (není to příliš
častý případ, ale ani nic výjimečného). Zpravidla je z registrů volán
nějaký "rezidentní" program, který hlídá a maří vaše pokusy o vyléčení.
Tyto programy bývají umístěny ve větvi HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Před jakoukoliv modifikací registrů vždy zazálohujte
soubory
C:\Windows\system.dat
a C:\Windows\user.dat, abyste se mohli vrátit k původnímu stavu v případě,
že byste odstranili nějakou životně důležitou položku. Po každé úpravě
musíte počítač restartovat, aby se mohly projevit provedené změny
o
Makroviry napsané pro MS Word se
zpravidla šíří přes tzv. globální šablonu, což je – zjednodušeně řečeno –
prázdný dokument, který se vám otevře při spuštění tohoto programu. Kromě
toho, že se do tohoto "dokumentu" ukládají některá nastavení, mohou v něm
být uložena i makra a tím pádem i makroviry. Přes globální šablonu se pak
virus kopíruje do všech dokumentů, které otevřete, modifikujete, uložíte
nebo vytvoříte. Bude tedy nutné smazat infikovanou šablonu –
soubor normal.dot,
kterou při obvyklé instalaci najdete ve složce
Program Files\Microsoft
Office\Sablony. Nemusíte se bát následků, protože Word si při dalším
spuštění tuto šablonu sám znovu vytvoří
Teď spusťte
MS Word a podívejte se do menu
Nástroje-Možnosti na kartu Obecné. V dolní části je políčko Antivirová
ochrana maker, které určitě nebude zaškrtnuté, protože většina
makrovirů
antivirovou ochranu celkem logicky vypíná. Zaškrtnutím tuto volbu obnovte
Ukončete Word, čímž se automaticky vytvoří nová globální šablona.
Abyste měli jistotu, že není znovu napadená virem, restartujte počítač,
spusťte znovu Word a zkontrolujte, zda je antivirová ochrana maker stále
zapnutá. V případě, že ano, máme čisté prostředí
MS Word
Teď sice máme Word, který již neinfikuje všechny vytvořené a
modifikované dokumenty, ale na disku je určitě spousta souborů, které
obsahují v tu chvíli neaktivní virus. Bez obav je postupně jeden po druhém
otevřete. Pokud se otevřou bez jakékoliv hlášky, máte jistotu, že ten
který dokument je čistý, a můžete ho zase v klidu zavřít. Zobrazí-li se
hláška, že dokument obsahuje makra a zda je chcete spustit, zvolte v
každém případě Zakázat makra, čímž si dokument otevřete jen ke čtení.
Potom ho uložte jako RTF (Soubor-Uložit jako-Typ souboru: Formát RTF).
Zobrazí se hláška o tom, že uložením do RTF přijdete o všechna makra, což
je účel, protože právě makra jsou kód viru. Nakonec dokument zavřete a
otevřete jeho kopii ve formátu RTF, kterou uložte zpět do formátu DOC,
čímž přepíšete původní (zavirovaný) soubor. Postup opakujte na každý
dokument. Během léčení průběžně kontrolujte, zda se nevypnula antivirová
ochrana maker, protože pokud je tato ochrana
vypnutá, hláška o přítomnosti maker se nezobrazí a během zlomku vteřiny pracujete opět v infikovanémprogramu.Některé makroviry používají kromě úprav
registrů a
globální šablony ještě další způsoby šíření. Nejčastěji jsou do složky
C:\Program Files\Microsoft Office\Office\Spusteni umístěny soubory, které
se otevřou při spuštění některé z aplikací MS
Office. Podobně
makroviry pro
Excel umísťují často své soubory do
C:\Program Files\Microsoft
Office\Office\XLStart. V normálním případě
jsou obě tyto složky prázdné, a pokud jste do nich sami něco neumístili,
je jakýkoliv soubor v nich obsažený
podezřelý. |