Prakticky není dne, aby se ve světě neobjevil nějaký nový počítačový virus a v poslední době to platí dvojnásob. Do naší redakce dorazily informace o dvou virových novinkách - viru Hunch a Porman, které se v posledních 48 hodinách začaly šířit po internetu. Tyto viry sice nejsou příliš nebezpečné a agresivní, ale již z principu je třeba zachovávat bdělost a ostražitost.
První z jmenovaných virů – W32/Hunch, je hromadně se rozesílající I-Worm, který ke svému šíření využívá e-mailových kontaktů uložených v aplikaci Microsoft Outlook. Tento vir se šíří i na diskety a maže soubory na pevném disku. Virová nákaza přichází v elektronické zprávě s tímto obsahem:
Subject: Název infikovaného souboru (proměnný obsah)
Body: Mensaje importante para (jméno příjemce) en el archivo adjunto...
Attachment: Infikovaný soubor.EXE (viz Subject)
Vlastní proces infekce proběhne spuštěním připojeného souboru o velikosti 151552 bajtů, který zobrazí toto okno:
Virus sám sebe kopíruje do systémového adresáře Windows, a to jako soubory THWIN.EXE a MSWORD.EXE. V systémových registrech pak doplní dva záznamy, které umožní jeho spuštění při startu systému. W32/Hunch maže pět souborů v adresáři Windows a jeho podadresářích, přičemž se jedná o soubory s příponami: BAK, BMP, CDX, CHM, DBF, DOC, DWG, GIF, HLP, HTM, ICO, JPG, MDB, MID, MP3, SCR, TTF, WAV a XLS. Virus také pravidelně kopíruje sám sebe do hlavního adresáře diskety A:\ s tím, že si náhodně zvolí jméno některého ze zde uložených souborů a soubor uloží včetně původní přípony s příponou .EXE a změní atributy původního souboru na „skrytý“. Kopie může být také uložena do souboru A:\UNSCH.doc.EXE.
W32/Hunch se pokouší přepsat soubor AUTOEXEC.BAT následujícími instrukcemi:
@echo off
DEL > FORMAT C: /u /v:UNSCH /autotest
Akce provedené virem jsou zaznamenány do dvou souborů, které jsou umístěny v systémovém adresáři Windows. Jedná se o soubor ListWin.txt obsahující záznam o posledních pěti smazaných souborech a soubor WinList.txt, který obsahuje záznamy o jménech použitých virem při zápisu na disketu.
Druhý vir, který se začal šířit, je podle dostupných informací prakticky neškodný – pomineme-li ovšem schopnost vlastního šíření. Červ W32/Porman se šíří elektronickou poštou s předmětem „Pornoman recommends“ a textem „visit the site... sex, sex, sex and more sex...“ v těle zprávy.
Připojený soubor s virem má jméno http.www.sex.com a jeho velikost je 5632 bajtů. Pokud uživatel tento soubor spustí, červ se zkopíruje do hlavního adresáře na disku C:\ jako soubor http.www.sex.com. W32/Porman využívá k šíření aplikaci Microsoft Outlook s tím, že se rozesílá na všechny adresy elektronické pošty uložené v kontaktech této aplikace.
