Klasické souborové viry, které se šíří pod operačním systémem MS-DOS, jsou dnes jednoznačně na ústupu. V roce 1995 a v následujících letech byly postupně vytlačeny makroviry, o kterých jsme si povídali v minulém díle. To ale neznamená, že by viry, napadající programy, přestaly mít šanci na úspěch. Bohužel je tomu, zejména v poslední době, spíše naopak. Tuto novou vlnu souborových virů mají na svědomí viry, které využívají vlastnosti nových operačních systémů Windows a také připojení počítačů na Internet.

Prvním virem tohoto typu, který to navíc o sobě hrdě prohlašoval, byl v lednu 1996 virus Win95:Boza od australské skupiny známé pod jménem VLAD. Tento virus obsahoval řadu chyb, byl vytvořen na míru konkrétní verzi Windows 95 a neměl šanci se reálně šířit. Nicméně ukázal nový směr autorům virů, kteří začali možnosti nejrozšířenějšího operačního systému intenzivně studovat.

Windows přinesly dvě zásadní novinky: speciální formát výkonných programů (formát PE, portable executable) a aplikační rozhraní Win32 API. To umožnilo využít zcela nové metody infikování programů. Struktura PE programu je poměrně komplikovaná a bohužel existuje řada způsobů, jak do takového programu přidat nechtěný kód. Virus může přidat na konec souboru zvláštní sekci a modifikovat tabulku PE tak, že je virus okamžitě spuštěn (to je nejrozšířenější metoda), může přepsat část tabulky PE, či dokonce původní kód programu. Velmi rozšířený virus Win95:CIH (Černobyl) se zapíše do volného místa mezi jednotlivými sekcemi programu, který tak nezvětší svoji délku. Pod Windows 9x jsou některé viry schopny pracovat jako systémové drivery VxD (např. Win95:Memorial). Na konci roku 1997 se objevil virus Win32:Cabanas, první virus, který byl kompatibilní s operačním systémem Windows NT. Je jasné, že všechny tyto viry přinášejí uživatelům i antivirovým programům řadu problémů: viry jsou mnohem delší než ty klasické DOSové, často jsou vytvářeny ve vyšších programovacích jazycích, jejich odstranění z napadených programů je daleko složitější a často nemůže být úplně stoprocentní. I tyto viry v poslední době rády a často využívají připojení počítače k Internetu, nejčastěji pro své aktivní šíření pomocí elektronické pošty. Neomezují se ale jen na ně: například virus Win32:Hybris je schopen Internet využít i pro svoji aktualizaci, protože má modulární strukturu a pokud najde na Internetu nějaký plugin (zásuvný modul), může jej využít, a tak změnit své chování. Navíc jsou tyto pluginy šifrovány velmi kvalitní šifrou, takže není možno viru „podstrčit“ plugin, který by způsobil jeho destrukci.

Novinky

Během posledního měsíce se opět objevilo několik dalších úspěšných skriptových virů, které se u nás docela masově rozšířily. Za zmínku stojí například virus VBS:VBSWG-X (VBS:HomePage), VBS:VBSWG-Z (VBS:Mawanella) či VBS:VBSWG-AC (VBS:Alert). Co mají tyto viry společného? Všechny jsou to velmi primitivní skripty, vytvořené stejným generátorem virů jako známý VBS:VBSWG-J (VBS:Kournikova). Všechny přicházejí elektronickou poštou jako přípojený soubor a nejrůznějším způsobem se snaží přesvědčit uživatele, aby je spustil. Bohužel se jim to v řadě případů daří, někteří uživatelé jsou prostě nepoučitelní. Za zmínku stojí snad pouze jediná vlastnost výše zmíněného viru Mawanella, který informuje o zničení muslimské vesnice na Sri Lance a který v případě, že se mu nepodaří najít program Outlook, zdvořile požádá uživatele, aby jej poslal všem známým sám.

Kromě virů se ale po sítí šíří i hoaxy - poplašné zprávy o neexistujících virech. Jeden z nich zahltil i český Internet. Jedná se o informaci, že pokud je na vašem disku program SULFNBK.EXE, jste napaden neznámým a nedetekovatelným virem. Není to pravda. Tento program je standardní součástí Windows 9x a slouží k zálohování a obnově dlouhých jmen souborů. Tento program sice může být napaden virem a dost často je posílán jako infikovaný virem Win32:Magistr, takže ho někdo může infikovaný obdržet elektronickou poštou, ale jinak je v tom úplně nevinně. Docela by mne zajímalo, kolik kopií tohoto programu na českém Internetu odešlo do věčných lovišť.