Jak na virus W32/Stration (Warezov)

Pokud jsi v posledních dnech otevřel/a odkaz, co ti někdo poslal přes ICQ, tak tohodle zmetka téměř určitě máš.

Začnu takovou perličkou: Před týdnem jsem se po několika letech zbavil antiviru (Avast), protože jsem tu pomalost nedokázal vydržet. Stejně mě ten antivirus k ničemu nebyl – za ty poslední dva roky mě hlásil jenom falešné poplachy.
A týden po odinstalování antiviru… jsme se taky nakazili! Konkrétně za to mohl bratřík, který kliknul na „nevinný odkaz“, co mu kdosi poslal po ICQ. EHM!
Naštěstí si firewall ihned všiml podezřelé snahy nového programu o komunikaci s internetem, a po půl hodině jsem se viru zbavil.

Mám také nakažený počítač?
Pokud už víš, že virus máš (tj. někdo ti ICQ napsal, že posíláš přes ICQ odkazy na tento virus), přeskoč na další bod.
Počítač máš téměř určitě nakažený, pokud pracuješ pod administrátorským účtem a v posledních dnech jsi klikl/a na odkaz poslaný někým přes ICQ.
Otevři si složku C:/Windows/System32 a seřaď si soubory zde uložené podle data a času. Pokud tam je pár souborů jen několik dní starých s víceméně náhodnými názvy a příponami DLL a EXE, a jeden z těch EXE souborů je i patrný ve Správci procesů, tak je to jasné :)

Odkaz na virus

Základní vlastnosti viru
Existuje spousta modifikací tohoto viru/červa. Některé znefunkčňují antivirus, znemožňují přístup na stránky antivirových společností, nebo posílají e-maily všem lidem v Adresáři s odkazem na tento virus.
Nejčastěji se ovšem virus šíří tím, že rozešle všem lidem v Contact listu ICQ5ky odkaz na tento virus – a většina lidí se neptá a na odkaz klikne.
V ten okamžik se do systémové složky Windows (C:WindowsSystem32) nasype několik souborů s náhodnými názvy, a zapíše se do registrů, aby se jeden z těchto souborů automaticky spouštěl po startu Windowsů. Činnosti programu jsou právě buď rozesílání těch odkazů všem lidem na ICQ (funguje jen v oficiálním klientu ICQ5), u některých verzí jsou zdokumentované i případy rozesílání e-mailů, blokování stránek AV společností a znefunkčnění antiviru (tyto další projevy se mi ale nestaly).

Jak se toho zbavit?
Doporučuji nejvyšší opatrnost při práci s registry, smazání nesprávných hodnot může poškodit nebo zcela znefunkčnit systém! (Pochopitelně za nic neručím:-))
1. Otevři si složku C:/Windows/System32/, setřiď soubory podle datumu a zjisti, jak se ty nejnovější jmenují. Jeden z nich by měl běžet ve Správci Úloh jako viditelný proces.
2. Otevři proto Správce Úloh (Ctrl-Alt-Del) a v Procesech hledej jeden z těch názvů, poběží pod uživatelem „SYSTEM“ (V mém případě to byl například program „ixsswmas.exe“). Až ho najdeš, sestřel ho (Ukončit proces).
3. Otevři si editor registrů (Start -> Spustit -> regedit). Proklikej se do větve HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows. Vpravo by měla být položka s názvem AppInit_DLLs, která jako hodnotu obsahuje dva názvy souborů toho viru (u mě to bylo např. msisnwcf.dll e1.dll). Celou položku smaž.
4. V registrech ještě zůstaň, a přepni se do větve HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun. Tady si bude opět jako jedna položka trůnit jeden ze souborů tohoto viru (u mě to byl ten ixsswmas). Celou položku opět smaž.
5. Stáhni si nějaký antivirus, co tento virus dokáže najít (např. Active Virus Shield – to je prakticky pouze přemalovaný Kaspersky do barev AOL a zdarma). Nainstaluj, a projeď jím celou složku Windows. Všechny soubory viru by měl AVS najít a určit ke smazání po restartu. Až to bude, restartuj počítač. AVS by měl tyto nalezené soubory smazat hned po startu, a po viru by mělo být pokoj.

Další projevy jsem osobně již nezaznamenal. Tudíž řešení pro ně už neporadím. Na stránkách viry.cz by ale měly být, obzvláště v diskusním fóru, rady jak na to. Hodně štěstí…

Na závěr několik tipů, aby už k něčemu takovému nedošlo:
– neklikej na odkazy, co ti někdo pošle mejlem nebo po ICQ, pokud nevíš, co to je zač a není k tomu nějaký vysvětlující komentář
– používej firewall, např. Kerio
– používej kvalitní antivirus, např. NOD32, s rezidentní ochranou a co nejrychleji dostupnými aktualizacemi
– pracuj na Windows pod omezeným účtem (tj. nikoliv administrátorským) (tohle se dobře říká, ale sám vím, že v takových WinXP Home to prakticky jinak nejde :( — na WinXP Pro to ale JDE!
– upozorni všechny, od kterých ti nějaký takový odkaz přišel, ať si taky odbleší svůj stroj
– nepoužívej originálního ICQ klienta, který je vůči tomuto útoku zranitelný a nahraď ho nějakým alternativním klientem (např. Gaimem) – to sice neochrání před napadením kliknutím na odkaz, ale aspoň už sám/sama dál nic šířit nebudeš).
(Nebo nepoužívej proprietární ICQ vůbec a přejdi na něco lepšího :))

Anyway, jiné operační systémy takovými problémy obvykle netrpí! :D

Autor

Martin

Pracuji jako ajťák a grafik na volné noze, zejména ale pro brněnskou firmičku vyrábějící ekodrogerii. Dále působím v brněnském systému místní směny Rozleťse, Českém zahrádkářském svazu, České psychedelické společnosti, spolku Archetypal a Mezinárodní komunitě dzogčhenu. Asi mě baví kumulovat různé funkce a přidávat si spoustu práce. Lidi o mě říkají, že jsem multifunkční, což je asi trochu pravda :-) Chcete mě podpořit? BTC: 37mf2FJR26Ce3DxMkocukJDgB1eVjasnZB, příp. PGP podepsané adresy dalších kryptoměn.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *