A w97m/Pacol.a vírusról

Izápy Balázs, 2002. január 22. 13:01
Visszagondolva a néhány évvel ezelőtti makróvírus-invázióra, akkoriban egy új makrófertőzésről szóló hír senkit sem hozott volna lázba - és valószínűleg ez a mostani sem fog... - de nem árt óvatosan bánni a mostanában érkező dokumentumokkal.
A régiek közül az egyébként ártalmatlan CAP tűnik a legkitartóbbnak, még ma is előfordulnak példányai a merevlemezek távoli, ritkán használt zugaiban és a fiókokban porosodó lemezeken. A ma divatos levelező- és scriptvírus között ennek ellenére mégsem nevezhető üdítő színfoltnak a w97m/Pacol.a vírus megjelenése, bár kétségkívül különleges, hogy viszonylag régi technikákra épít. Megjegyzem, a kerék formája is évezredek óta változatlannak tekinthető : ). Ez a Fülöp-szigetekről származó Word makróvírus Word 97 és Word 2000/XP környezetben terjed. Fertőzési mechanizmusát közvetlennek nevezhetjük, mivel nem a NORMAL.DOT közvetítésével szaporodik. Office 2000 éa XP esetén a biztonsági szintet a legalacsonyabb értékre állítja, ami lehetővé teszi nem biztonságos makrók futtatását is. A merevlemezen az alábbi könyvtárakban helyez el állományokat:

c:\windows\startm~1\programs\startup\winword.bat

c:\windows\winword.reg

c:\windows\normal.doc

A winword.reg a Windows indulásakor fut, és módosítja a regisztrációs adatbázist (biztonsági szintek). Ezt a .reg állományt a Startup könyvtárban lévő WINWORD.BAT indítja el a NORMAL.DOC-kal együtt. Ezután a vírus megkeresi és felülírja az összes helyi és csatlakoztatott hálózati lemezen található .doc kiterjesztésű állományt. A .txt, .wri és .pdf fájlokat is felülírja és kiterjesztésüket .doc-ra változtatja.

A folyamat végén az Office Assistant jelenik meg a következő üzenettel:

Whew!!

Wassup, doc? You have so many document fiels in your hard drive.. Better remove some..

A vírus direkt fertőző mechanizmusa miatt bármilyen, a vírust tartalmazó dokumentum futtatása a fenti eseményekhez vezet a számítógép következő újraindításakor. Ha gyanakszik arra, hogy megfertőződött, ellenőrizze a Startup és a Windows könyvtárat, és ne kapcsolja ki a gépet. Ha az üzenetet is látta, akkor már késő...

Vigasztaló, hogy az előrejelzések alapján nem kell a vírus széles körű elterjedésére számítanunk, de nem árt óvatosan bánni a mostanában érkező dokumentumokkal.

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Törj be a digitális élvonalba: Nevezd ’Az Év Honlapja’ pályázatra!

2024. november 5. 11:59

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51