Šťastné a veselé!

Doufáme, že si vzpomínáte na řádění počítačového viru CIH (novináři jej ovšem překřtili poněkud bombastičt


Doufáme, že si vzpomínáte na řádění počítačového viru CIH (novináři jej ovšem
překřtili poněkud bombastičtějším názvem Černobyl). A pokud si nevzpomínáte,
tak si rychle vzpomeňte anebo nalistujte CW 31/99. Neb, jak praví klasik, "ten,
kdo si nepamatuje vlastní minulost, je nucen ji znovu prožít."
Na obzoru je totiž nový počítačový virus, který nese oficiální označení
W32/Kriz (dále jen Kriz). Zajímavá na něm je přitom velká podobnost právě s
výše zmíněným virem CIH: Je známý s velkým předstihem, ale dlouho neškodný,
takže jej uživatelé "nechávají být". Ovšem ke stanovenému datu udeří po celém
světě s mohutnou silou. Neznámým autorem určený "Den D" tentokrát připadá na
25. prosince, takže virus Kriz by mohl uživatelům celkem znepříjemnit svátky
vánoční. Zároveň to ale znamená, že povětšinou nebudou zasaženy podniky a
firmy, neboť lid pracující si v této době bude užívat zaslouženého odpočinku.
Na druhou stranu ale mohou být velice tvrdě a krutě zasaženi domácí uživatelé.
Kriz je rezidentní a polymorfní virus, který se šíří ve 32bitovém prostředí
Windows a infikuje PE (Portable Executable) soubory s koncovkami exe a scr.
Tedy i spořiče obrazovky, což jsou ve skutečnosti soubory formátu exe, pouze s
jinou koncovkou. Tady je dobré zjistit si, zdali antivirus, který máte
nainstalovaný v počítači, umožňuje kontrolu souborů s příponou scr. Některé
antivirové programy totiž mají standardně nadefinovány typy kontrolovaných
souborů a pokud mezi nimi chybí koncovka scr, může být zle. Jiné antiviry zase
umožňují tyto soubory nastavit. Ale značka "ideál" nastává v případě, že
antivirus probírá soubor po souboru, nenechává se zmást koncovkou a "nahlíží"
do hlavičky každého souboru, přičemž na základě této informace určí, zdali jej
bude kontrolovat.
Napadení
Virus Kriz napadá také knihovnu kernel32.dll, což mu umožňuje setrvat v paměti
v průběhu celého běhu systému Windows. V infikovaném kernel32.dll se "navěšuje"
na 16 funkcí přístupu k souborům (kopírování, přesun, vytváření, otevírání
apod.) a napadá volané soubory, kdykoliv je některá z funkcí využívána.
Virus je ovšem také velmi opatrný a snaží se, aby nevzbudil pozornost
antivirových programů instalovaných v počítači. Proto se kontroluje a nenapadá
soubory nejrozšířenějších antivirových programů.
Jak již bylo uvedeno výše, virus má velmi nebezpečné "poslání", které "předává"
nic netušícím uživatelům 25. prosince. Tento den při infikování souboru (tedy
je-li volána některá ze 16 zmiňovaných funkcí kernel32.dll) virus "zabíjí" CMOS
paměť, přepisuje data ve všech souborech na dostupných pevných discích a jako
prémii navrch ničí Flash BIOS. Přitom používá stejnou rutinu, jakou obsahoval
virus CIH. Inu, autoři virů si na copyright příliš nepotrpí.
Pokud byste se chtěli chránit před útokem tohoto viru nastavením atributů
souboru kernel32.dll na "read-only" (pouze ke čtení), ani to nepomůže. Virus
totiž používá další starý trik. Zkopíruje si kernel32.dll do dočasných souborů
(což funkce "pouze ke čtení" samozřejmě umožňuje) jako krized.tt6. Tento
dočasný soubor pak infikuje a přepíše instrukcí "přejmenovat" do wininit.ini
souboru. Tato klička nutí Windows při příštím spuštění nahradit původní
kernel32.dll infikovanou kopií.
9 3382 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.