Letní zabiják z Číny

Na počátku července se objevila v médiích zpráva o novém počítačovém viru s poněkud hrůzostrašným názvem July ...


Na počátku července se objevila v médiích zpráva o novém počítačovém viru s
poněkud hrůzostrašným názvem July Killer (Červencový zabiják). Jak už to bývá,
ne vše bylo zcela přesné a ne vše bylo zcela pravdivé.
Virus W97M/JulyKiller.A (v tisku se objevilo pojmenování W97M_AUTOEXEC, které
ale není správné) je klasickým makrovirem pro Word 97. Vznikl někde v Asii,
jeho programátor je nejspíše čínského původu (viz níže). O autorovi nevíme
zhola nic, kromě toho, že byl lenoch na rozdíl od jiných makrovirů totiž July
Killer nelikviduje pouze vybrané soubory, ale rovnou formátuje celý disk C:.
W97M/JulyKiller.A se skládá z jednoho modulu VBA5 pojmenovaného stručně "a",
který v sobě nese celkem čtyři subrutiny: AutoOpen, AutoClose, AutoNew a
AutoExec. Z toho vyplývá, že virus se "probouzí k životu" ve chvíli, kdy je ve
Wordu 97 jakýkoliv dokument otevíraný, zavíraný, vytvářený či kdykoliv je tento
program zapínaný.
Jakmile virus přebere kontrolu, vyhledá všechny plug-in soubory přístupné přes
Nástroje/Dočasné v menu Word 97 a kromě souboru jménem Autoexec.dot je bez
milosti odstraní. Dalším krokem viru je změna startovací cesty celého programu
Word 97 (Nástroje/Možnosti/Umístění souborů) na C: . A ještě si dá práci s
vypnutím ochrany proti makrovirům.
Jakmile virus zaregistruje v kterémkoliv jméně otevřeného souboru slovíčko
"Autoexec", podívá se, zdali jsou všechny právě otevřené soubory již infikované
(prostě hledá modul jménem "a"). Zjistí-li, že tomu tak není, zjednává nápravu:
Otevře si soubor C: autoexec.dot (a to takovým způsobem, že se neobjeví v
seznamu naposledy použitých dokumentů) a nakopíruje se do všech právě
otevřených souborů. Ještě předtím si virus samozřejmě ověří, zdali je v
kořenovém adresáři disku C: přítomen soubor Autoexec.dot. A pokud ne, vytvoří
si jej.
Dále July Killer přesměruje několik "horkých" kláves. Kombinace Alt-F8
(Nástroje/Makro/Makra) a Alt-F11 (Nástroje/Makro/Editor jazyka Visual Basic)
jsou přesměrovány na volbu Soubor/Uložit jako. Obě funkce jsou přitom nahrazeny
jinou kombinací kláves, a to Alt-F1 a Alt-F2 (pravděpodobně proto, aby je autor
viru mohl dále využívat).
Vir navíc přidá k některým volbám v menu Nástroje volbu vykonání své subrutiny
AutoClose. Chybička se ale vloudila July Killer je nastavený pouze na čínštinu
(odtud výše zmiňované podezření, že autor viru pochází z nejlidnatější země
světa), takže v jiné jazykové mutaci (rozuměj Wordu 97, nikoliv viru) tuto
funkci neprovede.
A aby to všechno nebylo málo, virus se podívá do kalendáře. Může-li
konstatovat: Ejhle, červenec! (a nikoliv pouze 1. červenec, jak se především v
denním tisku objevilo), vyskočí dialogové okno v čínštině. Prý tam je něco ve
smyslu "Volání po probuzení příští generace", ale nejsem si jistý čínština
nikdy nebyla mojí silnou stránkou. Dáte-li (čínsky) "OK", virus konečně začne
komunikovat v trochu lidštější lámané angličtině: "You are wise, please choose
this later again, critically!" a ukončí se. Pokud ale uživatel stiskne "Cancel"
(hádejte, v jakém jazyce), virus položí stejnou otázku ještě dvakrát. Pak se
uráčí s uživatelem (v tuto chvíli vlastně s obětí) rozhovořit anglicky: "Stop
it! You have so incurable to lose three chaces! Now, god will punish you." Do
souboru C:autoexec.bat vloží řádku "deltree/y c: ". Jinými slovy: Při
restartování počítače se zformátuje celý disk C: .
Vzhledem k tomu, že virus je čínského původu a má někdy potíže s nečínskými
mutacemi Wordu 97, není nutné se jeho rozšíření v našich zeměpisných šířkách
příliš obávat. Navíc dokáže napadat pouze původní vydání Microsoft Office 97,
máte-li alespoň SR-1 (Service Release 1), můžete klidně spát, virus si s jeho
ochranou nedokáže poradit. Přesto si ale dávejte pozor: Čert (a virus) nikdy
nespí!
9 2247 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.