Igiho strßnka o virech

Win32/Happy99

Tento virus urΦen² pro Windows se Üφ°φ elektronickou poÜtou jako soubor HAPPY99.EXE o velikosti 10000 byte.

V t∞le viru je viditeln² text:

  begin 644 Happy99.exe
  `
  end

  Happy New Year 1999 !!

Navφc obsahuje zak≤dovanΘ texty:

  Is it a virus, a worm, a trojan?
  MOUT-MOUT Hybrid (c) Spanska 1999.

  \wsock32.dll
  \Ska.dll
  \Ska.exe

  Software\Microsoft\Windows\CurrentVersion\RunOnce

Po spuÜt∞nφ se zkopφruje do systΘmovΘho adresß°e Windows (nejΦast∞ji WINDOWS\SYSTEM)jako SKA.EXE. V tomto adresß°i takΘ vytvo°φ soubor SKA.DLL o velikosti 8192 byte. Obsah tohoto souboru si virus nese v zak≤dovanΘ a ΦßsteΦn∞ komprimovanΘ podob∞ ve vlastnφm t∞le. Virus modifikuje knihovnu WSOCK32.DLL tak, aby p°i volßnφ slu₧eb CONNECT a SEND byl aktivovßn k≤d virovΘ knihovny SKA.DLL, kter² p°ipojφ k odesφlanΘmu souboru jako attach vlastnφ virus. Napaden² soubor WSOCK32.DLL mß nezm∞n∞nou dΘlku, proto₧e virus vyu₧φvß prßzdnß mφsta ve struktu°e soubor∙ PE-EXE. Pokud volnΘ mφsto v sekci .text nenφ alespo≥ 202 byte, knihovna nebude infikovßna a virus se nebude Üφ°it. Napaden² soubor WSOCK32.DLL mß nastaven² niÜ₧φ byte CRC v EXE headeru na hodnotu 7Ah. P∙vodnφ obsah tohoto souboru je zkopφrovßn do souboru WSOCK32.SKA.

V p°φpad∞, ₧e je v okam₧iku aktivace viru knihovna WSOCK32.DLL pou₧φvßna systΘmem a nenφ p°φstupnß pro zßpis, naplßnuje virus svΘ spuÜt∞nφ p°i dalÜφm staru Windows tak, ₧e v registry zapφÜe jmΘno SKA.EXE do klφΦe
Software\Microsoft\Windows\CurrentVersion\RunOnce

Po napadenφ systΘmu virus zobrazφ okno, ve kterΘm vßs pot∞Üφ skromn∞ vyveden²m oh≥ostrojem.

Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG


	Jedno·Φelov² antivirus: Win32/Happy99 - Ska Popis/pou₧itφ: Z Windows.

N∞kolik dobr²ch rad:

P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

Postup pro Windows ME:

Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).

P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).

Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).

VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

Postup pro Windows XP:

Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).

Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).

Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.

Potvr∩te, Windows provede restart.

Win32/Happy99

Jedno·Φelov² antivirus:

N∞kolik dobr²ch rad: