Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
2002-06-18 11:25:00 - Martin LEPIŠ - Poplašné správy
HOAX o víruse ukrytom v súbore WIN.COM...

Od HOAXov, či inak povedané poplašných správ, ktoré nepravdivo informujú používateľov počítačov o rôznych nových, nebezpečných, vysoko deštruktívnych vírusoch a červoch sme mali v predchádzajúcich týždňoch relatívny pokoj. Situácia sa žiaľ v týchto dňoch opäť zmenila a medzi českých i slovenských používateľov sa dostala ďalšia staro-nová poplašná správa informujúca ich o existencii nového a nebezpečného vírusu, maskujúceho svoju prítomnosť v systéme tým, že sa ukrýva v súbore WIN.COM. Autor tejto poplašnej správy okrem v celku dobre napísaného sprievodného textu (... obsahujúceho pár primitívnych chýb) doplnil aj detailný postup, podľa ktorého je možné sa "vírusu" zbaviť... . Škoda len, že odstránením súboru WIN.COM sa neznalí používatelia nezbavia žiadneho vírusu, ale len možnosti bezproblémovo používať OS MS Windows.

Tento HOAX, rovnako ako všetky jemu podobné exempláre je založený na nepravdivých informáciách, ktorými sa snaží zmanipulovať používateľov počítačov a donútiť ich "dobrovoľne na silu" k jeho ďalšiemu šíreniu i eliminovaniu jedného z dôležitých systémových súborov. Spomínaným dôležitým systémovým súborov je WIN.COM. Podľa informácií obsiahnutých v poplašnej správe autor uvádza, že by sa nebezpečný vírus mal nachádzať práve v súbore WIN.COM (... čo je samozrejme klamstvo) a skutočným systémovým súborom obsahujúcim dôležité údaje je súbor WIN.EXE (... čo je taktiež klamstvo).
Realita je taká, že súbor WIN.EXE sa v korektne nainštalovanom OS MS Windows v adresári C:\Windows jednoznačne NENACHÁDZA!!! Naopak súbor WIN.COM je prítomný v spomínanom adresári vždy a jeho existencia je pre správne fungovanie počítača NEVYHNUTNÁ!!!
Autor poplašnej správy si dal na sprievodnom texte evidentne záležať i keď sa v rámci neho dopustil niekoľkých dosť primitívnych chýb, ktoré si problému znalí používatelia alebo správcovia systémov všimnú už pri jeho prvom čítaní. Bežných používateľov by však táto správa mohla veľmi ľahko presvedčiť o takpovediac "svojej pravde" a to aj preto, že sa v jej závere nachádza nielen postup eliminácie tohto "vírusu", ale aj meno pána Ing. Davida Smatlocha, vrátane jeho emailovej adresy: david.smatloch@antivir.cz a telefónneho čísla na tzv. HOTLine linku. Na tomto mieste je dôležité ešte spomenúť, že doménu ANTIVIR.CZ, na ktorej ako je vidieť by sa mala nachádzať emailová schránka p. Davida Smatlocha patrí českej spoločnosti Alwil Software, ktorá je tvorcom AV-systému AVAST32. AV-spoločnosť Alwil Software sa podľa dostupných informácií od nižšie uvedenej poplašnej správy plne dištancuje. Aj v tomto prípade je teda viac než jasný zámer autora poplašnej správy zmiasť používateľov, donútiť ich svojpomocne poškodiť si používaný OS a umelo zvýšiť dôveryhodnosť masovo zaslaného HOAXu tým, že bude v jeho závere do popredia vystupovať fiktívna osoba z dostatočne známej AV-spoločnosti.

Takže ak sa Vám náhodou stane, že v najbližšom období dostanete emailom nasledujúcu správu, pokojne ju ignorujte, odstráňte zo svojho mail boxu a rozhodne ju NEposielajte nikomu ďalšiemu vo Vašom okolí. Taktiež sa v žiadnom prípade NEpokúšajte odstrániť zo svojho systému súbor WIN.COM!!!

Ukážka poplašnej emailovej správy v češtine:

Dobry den
Za nasi antivirovou spolecnost si vas dovolujeme upozornit, ze v soucastnosti se siri velmi nebezpecny virus, ktery je zrejme nacasovan na datum 5.7.2001, kdy ma vymazat vsechna data na pevnem disku. Durazne vas tedy upozornujeme, abyste v zajmu sve bezpecnosti udelali vsechna opatreni, proti tomuto zavaznemu viru.

Chovani a popis vcetne popisu odstraneni viru jsou obsazeny v tomto emailu.

--- POPIS CHOVANI ---
Jedna se o pomerne zajimavy virus, ktery vznikl jako mutace klasickeho pocitacoveho viru a cerva [worm]. Je schopen se sirit jak prenosem infikovanych souboru, tak emailem. V pripade zjisteni pripojeni k internetu rozesle vsem emailovou zpravu s nahodne generovanym predmetem a textem, ktera obsahuje prilohu v jazyku Visual Basic, ktera ma za ucel infikovat cilovy pocitac.

Vir napada MBR pevnych disku a bootovaci zaznam disket. Pod OS DOS pusobi jako rezidentni a pod Windows se zaregistruje jako servisni proces. Dale napada spustitelne soubory .exe .com .vbs a take MS Word dokumenty .doc .xls

Pouziva velmi zakerneho postupu zabranujicimu odhaleni antivirovymy programy. Svoji nezjistitelnost zajistuje tak, ze vytvori a nasledne se zapise do c:\windows\win.com. Originalni startovaci soubor Windows je samozrejme c:\windows\win.EXE. Vir vyuziva toho, ze soubory .com se zkouseji volat drive nez .exe. Vzdy kdyz bootujete pocitac se misto originalniho win.EXE zavola podvrzeny win.COM. Aby zabranil detekci antivirovymi programy, sazi na tento soubor a uchovava zde vsechna dulezita data. Zde se tudiz skryva metoda, jak ho odstranit.

--- UPOZORNENI OSTATNICH ---
Zadame vas, abyste toto upozorneni rozeslali vsem svym dalsim pratelum, protoze jen tak muzeme docilit opravdove vymiteni viru, ktery ted otrasa internetem.

Upozornete na hrozici nebezpeci vase zname!

Virus se siri diky sve universalnosti velice rychle, takze toto odeslete prosim ihned, muze jit o minuty. Virus se zatim nijak neprojevuje, ale zrejme v sobe obsahuje chybu a neni jiste kdy uderi. Proto je dulezite co nejrychleji vsechny upozornit a zlikvidovat ho drive, nez zacne pachat velke skody!

--- POSTUP ODSTRANENI (Krok za krokem) ---
Vyuzijeme tedy slabiny s c:\windows\win.com (misto originalniho win.EXE)

1) Stiskneme tlacitko START a vybereme nabidku spustit
2) Napiseme: "command" (bez uvozovek)
3) Objevi se vam okno s prikazovou radkou. Nedeste se , neni to nic sloziteho.
4) Napiste "del c:\windows\win.com"
5) Pokud vse probehlo vporadku, tak se vam nezobrazi zadne dalsi hlaseni
a muzete klidne okno s prikazovou radkou zavrit (krizek vpravo nahore)
6) Nyni jeste zbyva restartovat pocitac a virus se po novem startu jiz nezavade.

Vse je detailne popsano a nemusite se tedy bat. Durazne vas ale upozornujeme, abyste opravdu smazal WIN.COM a ne WIN.EXE. WIN.EXE je soubor, ktery spousti vase MS Windows a poku byste ho smazal, nebudete schopen jiz Windows spustit.

-- OMLUVA ---
Omlouvame se, ze jsme Vas obtezovali s timto upozornenim, ale vir se velmi rychle siri a toto je jedina ucinna cesta jak s nim bojovat.

ing. David Smatloch
david.smatloch@antivir.cz
Antivir
hotline : 0609 / 111 222



P.S.: Mimochodom, len tak pre zaujímavosť skúste si všimnúť dátum aktivácie vírusu, ktorý je uvedený v texte poplašnej správy. :-)

Vytlačiť článok... Zdroj: HOAX.cz


Súvisiace články:
2003-08-13 09:35:00  Poplašná správa o víruse nazvanom Sub_ENTER... - Poplašné správy
2003-05-30 09:45:00  Poplašná správa o víruse nazvanom Win32.MFG.Tassos... - Poplašné správy
2003-02-10 07:35:00  Poplašná správa o víruse nazvanom Jack SQ... - Poplašné správy
2002-12-13 09:15:00  HOAX – nazvaný A Virtual Card For You... - Poplašné správy
2002-10-21 11:45:00  Existuje počítačový vírus pre mobilné telefóny!? - Poplašné správy
2002-09-27 11:00:00  HOAX o víruse ukrytom v prezentácii PowerPoint... - Poplašné správy
2002-08-30 11:00:00  HOAX o novom víruse pre mobilné telefóny... - Poplašné správy
2002-05-15 10:45:00  HOAX o víruse JDBGMGR.EXE... - Poplašné správy
2002-04-03 12:00:00  Staro-nový HOAX o víruse SULFNBK ešte stále v obehu... - Poplašné správy
2001-11-07 12:20:00  HOAX – Varovanie pred vírusom... - Poplašné správy


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.