Virus skrytý za ohňostrojem

Možná vám právě přišel e-mail. Vzápětí po něm přišla od stejné osoby další zpráva, která obsahovala pouze sp...


Možná vám právě přišel e-mail. Vzápětí po něm přišla od stejné osoby další
zpráva, která obsahovala pouze spustitelný soubor happy99.exe. Pokud jste
neodolali a kliknuli na něj, objevil se poměrně nudný ohňostroj. Je
pravděpodobné, že jste tento e-mail ihned smazali. V té době ale už byl počítač
napaden virem HAPPY99!
Máte-li virus HAPPY99 v počítači, ještě nemusíte hledat konopné lano a
nejbližší vhodnou větev. Není totiž nikterak nebezpečný a naštěstí vůbec
nenapadá data. "Pouze" se šíří. Navíc mívá problémy s lokalizovanou verzí
Windows, takže někdy sice napadne systém, ale nefunguje.
HAPPY99 napadá počítač tak, že po svém spuštění do adresáře Windows nakopíruje
soubory ska.exe a ska.dll. Zároveň si zavede vlastní knihovnu wsock32.dll a
původní přejmenuje na wsock32.ska. Z toho vyplývá, že se aktivuje až po
restartu počítače.
Jakmile se uživatel poctěný návštěvou viru HAPPY99 napojí na Internet, virus se
"zahákuje" na dvě události: Spojení a posílání dat. Monitoruje e-mailovou poštu
(25 a 119 SMTP a NNTP), a jakmile detekuje volání některého z těchto portů,
nahraje knihovnu ska.dll do dvou exportů: "mail" a "news". Poté vytvoří nový
e-mail a odešle jej.
Při posílání infikovaných e-mailů si HAPPY99 ukládá jejich adresu do souboru
liste.ska v adresáři Windows (velikost souboru je limitována 5 K nebo 200
adresami). Tak lze zpětně zjistit, komu byl virus poslán, a varovat jej.
Virus HAPPY99 má délku přesně 10 000 bitů a není schopen se šířit v prostředí
Windows NT. "Doma" je pouze v prostředí Windows 95/98. Vlastní virus má vnitřní
strukturu Win32 Portable Executable (PE).
V jeho zdrojovém kódu je čitelný text:
Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c) Spanska 1999.
Happy New Year 1999 !!
begin 644 Happy99.exe end
Ska.exe liste.ska
wsock32.dll Ska.dll Ska.exe
Nejjednodušší ochrana před virem je nastavit atributy u souboru wsock32.dll na
"read only" (pouze ke čtení) s touto eventualitou HAPPY99 jaksi nepočítá a
nedokáže ochranu odstranit.
Vyčištění počítače od viru HAPPY99 není nikterak obtížné a zvládne jej většina
antivirových programů s patřičnou aktualizací. Lze to ovšem udělat i "ručně"
pouhým obnovením souboru wsock32.dll z původního souboru (nutné provést z DOSu,
protože Windows jej mají otevřený). Dále je potřeba ze systému odstranit
soubory ska.exe a ska.dll a samozřejmě také hlavního "viníka", happy99.exe.
Nejúčinnější je ovšem prevence nespouštět příchozí exe soubory distribuované
elektronickou poštou.
9 2338 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.