Virus Maldal nebo též Zacker se poprvé na internetu začal šířit 19. prosince večer a očekává se, že by v pátek měl zasáhnout i Česku republiku. Jde o klasického červa naprogramovaného ve Visual Basicu, takže k vám připutuje emailem.
Virus se šíří emailem s tímto subjektem: Happy New Year.
Tělo zprávy pak obsahuje následující anglický text:
Hii ,
I can't describe my feelings
But all I can say is
Happy new year :-)
bye
Přiložen je soubor Christmas.exe o délce 37376 bajtů. V emailu se u tohoto souboru zobrazuje ikonka, jaké používá Macromedia Flash – to proto, abyste byli zmateni a domnívali se, že takto spustíte zajímavou Flash animaci. Ve skutečnosti se zobrazí jen jednoduchá kresba a program se pokusí zablokovat klávesnici tak, abyste jeho běh nemohli přerušit.
Virus se následně rozešle na kontakty nalezené ve vašem Outlooku a také Messengeru. Dále změní domovskou stránku Internet Explorer na HTML stránku autora viru na Geocities. Tato stránka obsahuje Javascript kód, který pro změnu vypouští skriptový virus napsaný ve VBS skriptu. Ten se pokouší smazat některé nainstalované antivirové a bezpečnostní programy. Jde o následující programy v těchto adresářích:
\Program Files\Zone Labs
\Program Files\AntiViral Toolkit Pro\*.*
\Program Files\Command Software\F-PROT95\*.*
\eSafe\Protect\*.*
\PC-Cillin 95\*.*
\PC-Cillin 97\*.*
\Program Files\Quick Heal\*.*
\Program Files\FWIN32\*.*
\Program Files\FindVirus\*.*
\Toolkit\FindVirus\*.*
\f-macro\*.*
\Program Files\McAfee\VirusScan95\*.*
\Program Files\Norton AntiVirus\*.*
\TBAVW95\*.*
\VS95\*.*
\rescue\*.*
\Program Files\Zone Labs\*.*
Všechny soubory v systémovém adresáři jsou dále smazány!
Po spuštění se červ zkopíruje do adresáře Windows a modifikuje systémové registry tak, aby se spouštěl automaticky:
HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\ZaCker = %windows%\CHRISTMAS.EXE
Dále změní jméno počítače na ZaCker a to touto změnou v registrech.
HKLM\System\CurrentControlSet\Control\ComputerName\ ComputerName\ComputerName = ZaCker
HKCU\Software\Microsoft\Internet Explorer\Main\Start page = http://geocites.com/<...>/ZaCker.htm
Virus vykonává i další destrukční činnost - v systémovém adresáři Windows smaže všechny soubory s příponami DLL, DRV, VXD a TSP.
Přítomnost viru lze snadno rozpoznat podle přítomnosti těchto souborů na disku:
- zacker.vbs
- rol.vbs
- dalal.htm
- dallah.htm
- server.vbs
Všechny velké antivirové software včetně českého Avastu a AVG již nabízejí update pro detekci a odstranění viru.
