Počítačové viry

Na této stránce se vždy pokusím rychle posbírat důležité informace o konkrétním viru, pokud dojde k nějaké virové epidemii. Informace mohou mít v takovém případě cenu jen tehdy, když budou připraveny dost rychle. To znamená, že texty budou vznikat on-line, takže pokud chcete mít nejaktuálnější verzi informací, je nutné vracet se na tuto stránku opakovaně.

OBSAH.
Na této stránce najdete:


 

Win32/Klez.H
Od 17.4.2002 se rychle šíří nový virus Win32/Klez.H !!


Pokusil jsem se narychlo poshánět z internetu nejzákladnější informace o tomto neuvěřitelně záludném viru. Je to připraveno hodně narychlo, takže chybičky nechť jsou mi odpuštěny.

Pozor, nová varianta viru Klez, který pochází z Asie, dokáže deaktivovat některé (na tento vir neaktualizované) antivirové programy. Klez se šíří prostřednictvím elektronické pošty, přesněji využívá díru v Internet Exploreru. Díky této díře se dokáže virus v neošetřeném MS Outlooku (záplata je zde!) aktivovat již při náhledu na zavirovanou zprávu. Po "vysvícení" zavirované zprávy (a tím automatickém zobrazení náhledu) se Klez usadí v systémovém adresáři Windows a zapíše se do registru Windows (kniha návštěv). Pak si Klez prohlédne knihu adres Windows (WAB), prohlédne i databázi kontaktů ICQ a přes vlastní SMTP server na nalezené e-mailové adresy rozešle svoji kopii. Bohužel, zaviruje také namapované disky, pokud na ně má povolen zápis.

Zavirovaný soubor v e-mailové zprávě má dvojitou příponu a jelikož operační systém Windows nechce uživatele zatěžovat, zobrazí mu obvykle pouze tu první neškodnou příponu. Ta druhá, důležitější zůstane skryta. Text v poli "Předmět: " zprávy je proměnlivý a většinou obsahuje tato slovní spojení:

Undeliverable mail--"[náhodné_slovo]"
Returned mail--"[náhodné_slovo]"
a [náhodné_slovo] [náhodné_slovo] game
a [náhodné_slovo] [náhodné_slovo] tool
a [náhodné_slovo] [náhodné_slovo] website
a [náhodné_slovo] [náhodné_slovo] patch
[náhodné_slovo] removal tools
how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures

Virus Win32/Klez.H napadá spustitelné soubory, konkrétně přepíše jejich obsah. Naštěstí předtím, než tak učiní, provede zálohu původního obsahu, sice v zakódované formě, ale lepší než žádnou. Původní obsah uloží do souboru se stejným jménem, avšak s jinou, náhodně vygenerovanou příponou. Worm se dokáže vkládat do archívu typu .RAR a šířit se po lokální síti pomocí otevřených sdílení disků.

Virus Win32/Klez.H je zároveň nosičem (dropper). Nosí totiž s sebou virus Win32/ElKern.3326 a vypouští ho během své poutě po jednotlivých stanicích. Virus Win32/ElKern.3326 infikuje PE EXE soubory a to metodou "cavity", díky které je infikovaný soubor stejně dlouhý jako předtím. Aby nebyl tak neškodný, aktivuje 13.března a 13.září rutinu, která zlikviduje všechny soubory na lokálních i mapovaných síťových discích. Aktivace této rutiny po zbytek roku je málo pravděpodobná.

Odvirování

Odstraňování viru je nejlépe provádět ze systémové bootovací diskety, popřípadě z nouzového režimu Windows (po startu počítače, před začátkem zavádění Windows mačkejte klávesu F8). Jako dobrou variantu k odvirování můžeme přímo v prostředí Windows spustit jednoúčelový antivirus KLEZTOOL.COM a odstranit virus Win32/Klez.H pomocí něj. Infikované PE EXE soubory virem Win32/ElKern.3326 lze také "vyléčit" antivirovým programem, soubory Wqk.exe, Wqk.dll, Wink{náhodné_znaky}.exe (v adresáři Windows\System nebo Windows\System32) je nutné smazat. Odborníci mohou v registrech Windows odmazat všechny položky, které na uvedené soubory ukazují. Jde především o obsah klíčů:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

Pokud jde o počítačovou síť LAN, je nutné všechny počítače fyzicky odpojit od sítě a provést jejich dezinfekci. Jakmile je PC odvirované, pak ho teprve můžeme vrátit zpět do LAN. Nezapomeňte, že virus vytváří na pevném disku .RAR archivy. Obvykle je nutné mazat tyto soubory ručně, proto je dobré poznamenat si jejich umístění. Řada antivirů totiž nedokáže s obsahem archivů manipulovat.

 

Stránka aktualizována: 24. 04. 2002, 10:05
Tuto stránku zpracoval: Petr Schauer, Petr@ISIBrno.Cz


  Copyright © Petr Schauer, Petr@ISIBrno.Cz
Kopírování nebo dokonce publikování obsahu této prezentace bez souhlasu webmastera není dovoleno.
Dodávejte, prosím, podklady podle POKYNŮ PRO AUTORY PŘÍSPĚVKŮ.