Virová scéna se neustále rozšiřuje a každým měsícem přibývá několik nových virů či jejich mutací. V rámci našeho kontinentu však v průběhu uplynulého měsíce řádily spíše staré známé stálice – různé mutace viru Nimda, BadTrans.B a LoveLetter. Z celkem 181 288 počítačů sledovaných společností McAfee jich bylo 26,53 % infikováno některou z mutací viru Nimda, 6,82 % virem BadTrans.B a v 6,22 % se jednalo o nákazu virem LoveLetter. Kromě toho se na našem území v současné době šíří i některé méně známé viry, jako je např. Klez nebo Aliz.
Koncem října se na scéně objevil nový virus, který je ve své podstatě poněkud schizofrenní – je totiž dva. Oba viry, Klez i ElKern, se totiž šíří ve vzájemné koexistenci. W32/Klez je virus typu „červ“, disponující podobnými vlastnostmi jako nedávno virus Nimda – za určitých podmínek se spustí již při otevření infikované zprávy. Po svém spuštění ukládá virus své soubory do kořenových adresářů lokálních a síťových disků, vytváří si klíče v registrech a snaží se šířit lokální sítí prostřednictvím síťových sdílení, a to periodicky v osmihodinových intervalech. Virus také obsahuje funkci pro skenování dostupných síťových disků – ta ale díky obsažené chybě nefunguje. E-mailový červ Klez je navíc nositelem polymorfního viru ElKern, který kromě EXE a SCR souborů napadá i svého nositele. Stejně jako on se šíří i prostřednictvím lokální sítě.
V polovině listopadu se začal masivně šířit jeden ze starších červů - I-Worm/Aliz, který se na internetu objevil již v první polovině tohoto roku. Šíří se prostřednictvím elektronické pošty v připojeném souboru s názvem whatever.exe. Vlastní zpráva v HTML formátu je na první pohled prázdná, ale obsahuje tzv. „i-frame trick“ – funkci, kterou používají také viry Nimda a Klez. Tato funkce může způsobit automatické spuštění připojeného souboru již při otevření infikované zprávy elektronické pošty. K tomu tento virus využívá bezpečnostní díru v Microsoft Internet Exploreru, která spuštění přílohy umožňuje. Poté, co je virus aktivován, provede svoji dekomprimaci a vyhledá API adresy potřebné ke své činnosti. Z registrů pak následně zjistí pozici souboru adresář kontaktů uživatele, který použije ke svému šíření. Dobrou zprávou je, že díky obsažené chybě se tento virus nenainstaluje do napadeného počítače. Jediné, co se stane, je, že se spustí a rozešle na získané adresy. Poté nekorektním způsobem ukončí činnost sama sebe – zhavaruje. Napadení systému tímto virem je možné stejně jako v případě viru Nimda předejít tím, že uživatel aplikuje příslušný opravný soubor.
Poměrně agresivně se na území České republiky začala závěrem listopadu šířit varianta staršího viru označovaného jako BadTrans, o které jsme již na serveru Technet.cz psali. Tedy jen pro připomenutí - BadTrans.B je e-mailový červ, který v sobě navíc obsahuje virus typu Win32 a trojského koně. Kromě toho, že se dokáže sám šířit, odesílá jako správný trojský kůň informace o napadeném počítači svému tvůrci. Tento virus také používá v poslední době mezi viry velmi oblíbený trik - spouští přílohu elektronické pošty bez vědomí uživatele, a to při pouhém prohlížení zprávy. Virus využívá bezpečnostní chyby v Microsoft Internet Exploreru. Service Pack 2 pro Microsoft Internet Explorer však tuto chybu řeší.
Pomocí většiny známých antivirových programů s aktuálními virovými definicemi lze značnou část těchto virových útoků zachytit a v případě již proběhlé nákazy virus z počítače odstranit. Pokud tato varianta selže, lze doporučit jen jediné – přeformátovat pevný disk, opětovně nainstalovat potřebné aplikace včetně spolehlivého a aktuálního antivirového programu a aplikovat opravné soubory společnosti Microsoft. Ty jsou dostupné na webových stránkách této společnosti.
V mnoha případech je infikování počítače způsobeno nedbalostí nebo nepozorností uživatele, který nedodržuje základní pravidla bezpečnosti, a proto se hodí si je na tomto místě připomenout:
- Neotevírejte jakékoliv přílohy připojené ke zprávě elektronické pošty, pokud tato pošta pochází od neznámé, podezřelé nebo nedůvěryhodné osoby.
- Neotevírejte ani přílohy, u kterých netušíte, co mohou obsahovat, a to ani v případě, že odesílatel je vám důvěrně znám. Některé viry se šíří tak, že z napadeného počítače odesílají samy sebe jménem uživatele. Pokud dostanete takovou podezřelou zprávu, ověřte si, zda ji odesílatel opravdu odeslal.
- Neotevírejte přílohy elektronické pošty, jestliže předmět zprávy zcela neodpovídá jejímu obsahu nebo pokud zprávu s přílohou od konkrétního odesílatele neočekáváte. Případně tento soubor uložte na pevný disk a zkontrolujte jej prostřednictvím antivirového programu s aktuálními virovými definicemi.
- Neodpovídejte na řetězové e-maily a na nevyžádané zprávy rozesílané prostřednictvím distribučních seznamů.
- Nestahujte soubory ze zdrojů, které vám nejsou známy. Ujistěte se, že zdroj, který chcete využít, je důvěryhodný. Všechny soubory získané z nepříliš důvěryhodných zdrojů zkontrolujte prostřednictvím antivirového programu s aktuálními virovými definicemi.
- Provádějte pravidelně aktualizaci definičních souborů vašeho antivirového programu, protože každý měsíc se objeví poměrně velké množství nových virů a jejich mutací. Zároveň byste si měli také čas od času ověřit, zda neexistuje nová verze vašeho antivirového programu.
- Pravidelně si zálohujte důležité soubory a zálohy ukládejte nejlépe na výměnná média.
Poslední dobou se stále častěji objevují i tzv. hoaxy, což jsou poplašné zprávy rozesílané prostřednictvím elektronické pošty, které upozorňují na vir nebo jiné neexistující nebezpečí. Většina těchto zpráv má téměř identickou strukturu: popis počítačového viru s důrazem na údajný způsob šíření, přesvědčivý popis ničivých účinků viru, informaci o důvěryhodném zdroji, ze kterého toto varování pochází, a především výzvu, aby adresát tuto zprávu rozeslal všem svým známým a obchodním partnerům. Šíření těchto nevyžádaných a obtěžujících zpráv bývá někdy označováno jako spaming. Do této kategorie pak také patří např. různé řetězové dopisy, nabídky pyramidových her či hromadné rozesílání reklamních zpráv. I když se rozesílání těchto poplašných zpráv nezdá na první pohled příliš škodlivé, jisté nebezpečí se zde skrývá. Kromě faktu, že jsou obtěžující, zatěžují servery, komunikační linky a mohou do jisté míry plnit funkci trojského koně – některé z těchto zpráv obsahují návod k odstranění údajného viru, který např. navádí uživatele ke smazání některých systémových souborů, či připojené soubory, které místo opravných souborů obsahují nebezpečný kód, tj. skutečný virus.
