Zdá se, že autoři virů téměř nikdy nespí. Důkazem toho je i přehršel nových virů, které se na internetu vyrojili v uplynulém týdnu. V rámci České republiky zatím žádný z nich nestačil napáchat větší škody...
W97M/Kestrel.a
Tento virus infikuje dokumenty aplikací Word 97, Word 2000 a také šablony těchto dokumentů. V aplikaci Word 97 vypíná varování před spuštěním maker a v rámci aplikace Word 2000 nastavuje zabezpečení na stupeň „nízké“, přičemž zároveň znepřístupňuje nabídku Nástroje/Makro/Bezpečnost. Virus exportuje svůj kód do souborů C:\shell32x.sys a C:\shortcuts.sys, které však neinfikuje a změní komentář ve vlastnostech těchto souborů na text: „Don't be surprised by the ]-[@wk!“ Při pokusu o editaci maker virus zobrazí dvě dialogová okna s texty: „Installation error 0x80000024 Please reinstall Microsoft Word“ a „To prevent viruses the system administrator has disabled Macro editing“. K nakažení může dojít spuštěním infikovaného souboru – nepřehlédnutelnou známkou infekce je přítomnost souborů C:\shell32x.sys a C:\shortcuts.sys na pevném disku.
W32/HLLP.Gosus
V tomto případě se jedná o virus typu W32, který se kopíruje na začátek spustitelných souborů, přičemž odsouvá původní hlavičku souboru. V těle viru lze najít čitelný řetězec „GOSUSUB“. Pokud je infikovaný soubor spuštěn, virus sám sebe zkopíruje do C:\Windows\Win386.exe a přidá záznam do systémových registrů a nebo do souboru system.ini, což umožní jeho spuštění při každém startu systému. Tento virus také vytváří nový soubor ve stejném adresáři, který obsahuje pouze virový kód. Název tohoto souboru je ve tvaru: “_jmenoinfikovanehosouboru.exe“. Vlastní virus prodlouží délku infikovaného souboru o 49,103 bajtů. Nákaza probíhá spuštěním infikovaného souboru, přičemž se rychle šíří po lokálních i sdílených discích.
IRC/Girls.worm
Jak již ze samotného názvu vyplývá, tento internetový červ se šíří prostřednictvím IRC. K tomuto červu je připojen ZIP-soubor nazvaný jako GIRLS.ZIP, který obsahuje soubory GIRLS(1).JPG a README.TXT. Obsahem grafického souboru je pornografická fotografie, textový soubor obsahuje text: „If you rename the zip file to .exe and open it again you will see the secret pictures... Dont think this will work ?????? Try it !!!“. Pokud uživatel instrukce vyplní, spustí se proces rozmnožování tohoto červa. Ten se zkopíruje do %WINDIR%\GIRLS.ZIP a na displeji proběhne odpočet následovaný dialogovým oknem s hláškou: „Have A Nice Day“. Červ se dále pokouší vyhledat na discích C:, D: a E: soubory MIRC.INI a PIRCH98.INI – a to: MIRC.INI v rámci adresářů \mirc\, \mirc32\, \progra~1\mirc\, a \progra~1\mirc32\ a PIRCH98.INI v adresářích \pirch98\ a \progra~1\pirch98\. Pokud tyto soubory nalezne, vypustí soubor SCRIPT.INI do stejného adresáře, přičemž případně přepíše již existující soubor stejného jména. Ten obsahuje jednoduchou instrukci k odeslání kopie červa prostřednictvím IRC.
W32/Rexli@MM
Hromadně se šířící červ, který využívá elektronické pošty a případně také IRC. Zpráva elektronické pošty prostřednictvím které se červ šíří obsahuje předmět „Cool linki“, text „Przesy?am ci znalezion? baz? danych linków. Jest tam du?o stron, których na pewno nie znasz :)“ a připojený soubor LINKI.EXE. Spuštěním tohoto souboru dojde k nakažení počítače a zobrazí se falešné chybové hlášení s textem: „Error while loading REXLI.EXE“. Červ provádí záznam v registru, který umožňuje jeho spuštění při každém startu systému s tím, že po stém spuštění červ smaže důležité systémové soubory. Příznakem infekce je přítomnost souborů WINDOWS SYSTEM\REXEC.EXE, WINDOWS SYSTEM\LINKI.EXE, C:\rbatC.bat a C:\RAPP.EXE.
