Jak vir poznáte? E-mailová zpráva, která obsahuje odkaz na stažení viru, falšuje jméno odesílatele. K tomu využívá adresy, které získá na již napadeném počítači. S předmětem zprávy si autoři viru nedali příliš práce, protože obsahuje pouze "RE:".
V samotném těle zprávy lze pak najít pouze link, který se skládá z adresy http://drs.yahoo.com/ (zde je doména uživatele) a celé to končí / NEWS . Takže ve výsledku může odkaz vypadat například takto:
http://drs.yahoo.com/technet.cz / NEWS. To má vyvolat představu, že si uživatel otevře stránku ze serveru Yahoo.
Co vir dále provádí
Kliknutím na zmíněný odkaz se otevře internetová stránka, z níž může být uživatel přesměrován na další stránky, dokud se nedostane na stránku s virem.
Vir při aktivaci posbírá v napadeném počítači e-mailové adresy a odešle je na jednu adresu na internetu. Pravidelně se také pokusí spustit skript, který je umístěn na stránce pixpox.com. To, že je počítač zavirován tímto virem, pozná uživatel podle toho, že se mu v nástrojové liště Internet Exploreru (IE) objeví pět nových ikonek. Ty při stisku otevřou stránku http:/ /www.google.com.super-fast-search.apsua.com. Zároveň je automaticky přenastavena adresa pro vyhledávač na http:/ /www.google.com.super-fast-search.apsua.com/search.htm a také domovská stránka http:/ /www.google.com.super-fast-search.apsua.com/fast-find.htm.Z těchto stránek se stáhne soubor Alpha.exe, který je uložen do kořenového adresáře c:.
Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel některý z těchto virů, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší opatrnosti však již neobejdete. Jak se bránit? Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.