A w97m/Pacol.a vírusról

Izápy Balázs, 2002. január 22. 13:01
Visszagondolva a néhány évvel ezelőtti makróvírus-invázióra, akkoriban egy új makrófertőzésről szóló hír senkit sem hozott volna lázba - és valószínűleg ez a mostani sem fog... - de nem árt óvatosan bánni a mostanában érkező dokumentumokkal.
A régiek közül az egyébként ártalmatlan CAP tűnik a legkitartóbbnak, még ma is előfordulnak példányai a merevlemezek távoli, ritkán használt zugaiban és a fiókokban porosodó lemezeken. A ma divatos levelező- és scriptvírus között ennek ellenére mégsem nevezhető üdítő színfoltnak a w97m/Pacol.a vírus megjelenése, bár kétségkívül különleges, hogy viszonylag régi technikákra épít. Megjegyzem, a kerék formája is évezredek óta változatlannak tekinthető : ). Ez a Fülöp-szigetekről származó Word makróvírus Word 97 és Word 2000/XP környezetben terjed. Fertőzési mechanizmusát közvetlennek nevezhetjük, mivel nem a NORMAL.DOT közvetítésével szaporodik. Office 2000 éa XP esetén a biztonsági szintet a legalacsonyabb értékre állítja, ami lehetővé teszi nem biztonságos makrók futtatását is. A merevlemezen az alábbi könyvtárakban helyez el állományokat:

c:\windows\startm~1\programs\startup\winword.bat

c:\windows\winword.reg

c:\windows\normal.doc

A winword.reg a Windows indulásakor fut, és módosítja a regisztrációs adatbázist (biztonsági szintek). Ezt a .reg állományt a Startup könyvtárban lévő WINWORD.BAT indítja el a NORMAL.DOC-kal együtt. Ezután a vírus megkeresi és felülírja az összes helyi és csatlakoztatott hálózati lemezen található .doc kiterjesztésű állományt. A .txt, .wri és .pdf fájlokat is felülírja és kiterjesztésüket .doc-ra változtatja.

A folyamat végén az Office Assistant jelenik meg a következő üzenettel:

Whew!!

Wassup, doc? You have so many document fiels in your hard drive.. Better remove some..

A vírus direkt fertőző mechanizmusa miatt bármilyen, a vírust tartalmazó dokumentum futtatása a fenti eseményekhez vezet a számítógép következő újraindításakor. Ha gyanakszik arra, hogy megfertőződött, ellenőrizze a Startup és a Windows könyvtárat, és ne kapcsolja ki a gépet. Ha az üzenetet is látta, akkor már késő...

Vigasztaló, hogy az előrejelzések alapján nem kell a vírus széles körű elterjedésére számítanunk, de nem árt óvatosan bánni a mostanában érkező dokumentumokkal.