Novi stari virus je prosli vikend poharao na stotine ra�unala diljem Velike Britanije a negdje oko ponedjeljka poceo se siriti i u lijepoj na�oj i po ostatku Europe. Oni manje sretni korisnici Outlook Expressa koji su pocetkom travnja imali priliku kliknuti na attachment praznog maila koji im je iskocio sa pitanjem "Open it ? , Save it to disk ?" upoznali su ovog veselog malisana i njegove sposobnosti kada su im prijatelji iz Adress booka poceli prvo pisati upozorenja, a oni najnesretniji koji nisu reagirali na pravi nacin upoznali su kako je to kada vam va� provajder ukine email adresu na 14 dana ili na neko du�e vrijeme.
Kod nekih starijih verzija OutlookExpressa nije �ak niti potrebno kliknuti na attachment vec se program automaskih aktivira. Microsoft je pripremio male zakrpe za te rupe u svojim programima, koje mo�ete na�i na adresi:

http://www.microsoft.com/technet/security ili http://www.microsoft.com/

Ili, �to je jo� jednostavnije, instalirajte noviju verziju Internet Explorera i OutlookExpressa 6.0 koju mo�ete tako�er na�i i besplatno na jeziku koji vam odgovara i skinuti sa Microsoftovih stranica na adresi. Kliknite OVDJE.

A ako vam je dosta Microsoftovih propusta rupa i nedoradjenosti predjite na Eudoru ili neki drugi mail program. Ima ih i previse. Eudoru mozete skinuti i sve o njoj procitati na ovoj adresi www.eudora.com ili direktno kliknite OVDJE (koliko vidim trenutno je samo na engleskom ali ako im pruzimo sansu...)

No da vidimo kako ovaj virus radi i kako �ete prepoznati da je ba� u tom
mailu koji ste primili virus po imenu "Badtras-B"

Prilikom u�itavanja maila na va�em ekranu �e se pojaviti ovakva poruka.

Naravno da �ete na ovakvo bezobrazno pitanje odgovoriti sa Cancel (Abruch) i nakon toga pritisnuti kombinaciju tipki Shift + Del i odabrati opciju Yes na pitanje da li zelite permanentno obrisati ovu datoteku. Samo Del tj. premjestanje maila u vas Deleted Items direktorij unutar Outlookovih direktorija nije dovoljna kazna za gnjavatora. Umjesto strogog zatvora namijenite mu smrtnu kaznu. I time je cijeli problem rjesen, osim u slucaju da ste Vi ili netko drugi ipak iz nekog meni posve nepoznatog razloga kliknuli na opciju OK prilikom prethodnog pitanja. Ukoliko jeste eto problema. Pa da vidimo sta taj virus�i� u stvari radi na va�em kompjuteru.

Za po�etak virus �e obaviti svoj primarni zadatak i instalirati se na va� disk unutar systemskog direktorija. Naci cete ga unutar direkotirja systems kao datoteku imena KERNEL32.EXE. Nako sto je to obavio potrudit ce se ubaciti jos i komandu koja ce ga pokrenuti vec slijedeci puta kad startate windowse tako da ce unutar vasih "registry key" podataka ubaciti jednu liniju koja glasi

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\KERNEL.EXE

i to je sve sto mu treba za uspjesan rad na vasem kompjuteru. Ali tu stvari jos nisu gotove. Da bi stvar bila jos malo ljepsa ovaj virus sa sobom dovodi i kolegu po zloci, gospodina trojanca po imenu Troj/PWS-AV koji ima jos neke zloceste zadatke za obaviti na vasem kompjuteru. Njegova osnovna namjena je kradja lozinki, prisluskivanje i pretra�ivanje va�eg kompjutera u potrazi za podatcima kao �to su PIN-ovi i brojevi kartice i sve �to napisete preko tastature tjekom rada na kompjuteru.
Naravno da se na vasem kompjuteru nece tako zvati. Za skrivanje na kompjuteru korisit �e ime "kdll.dll".

Eto to su ujedno i podatci po kojima cete naci sve te datoteke i ujedno ih obrisati. Funkciju Find na vasem kompjuteru necu opisivati jer ako to ne znate onda vam stvarno ne mogu pomoci. Malo veci problem za manje iskusne korisnike je promjena onog redka instrukcija unutar registrija.

To cemo malo detaljnije opisati.

U samom doljnjem uglu vaseg ekrana, ili na task baru kliknite na tipku Start te odaberite opciju Run. Unutar polja za upis upi�ite "Regedit" i kliknite OK. Otvorit �e se program za ure�ivanje registrija. Uputno je napraviti backup kopiju ovih postavki tako �to �ete odabrati opciju unutar programa Export Registry File i odabrati All (sve).

Otprilike ovako

Na�ite registry key �ija putanja izgleda ovako

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

A izgleda otprilike ovako

Kada kliknete na njega na desnoj strani prona�ite rije� "Kernel32" i obri�te ju. Nakon toga zatvorite program i ponovno startajte svoj kompjuter.

I to je to. Virusa nema vi�e na va�em kompjuteru. Nisu vam potrebni skupi programi da biste na�li ova dva fajla, a sve �to u stvari trebate nau�iti je kako do�i do registry postavki na va�em kompjuteru.

Korisnici Windowsa Milenium i XP trebali bi jo� podesiti postavke unutar Restore opcija koje slu�e za povrat na neke starije verzije sistema kod komplikacija, a sve iz razloga da im se kod slijedeceg pokusaja da vrate postavke od ranije, ne bi vratile i postavke koje smo upravo obrisali iz Registry Key Editora. Procedura je malo zapetljana (pa to su Windowsi Me/XP nije to kaj god) pa pokusaj te pazljivo pratiti korake koji ce vas dovesti do cilja.

1. Desnim gumbom mi�a kliknite na ikonu "My Computer" na va�em desktopu i odaberite opciju "Properties" nakon toga odaberite "Performance".

2. Kliknite na "File System" i zatim na "Troubleshooting" tipku.

3. Kliknite na opciju 'Disable System Restore' odaberite kvadrati� i kliknite 'Apply'. Nakon toga kliknite na opciju "Disable System Restore" odaberite kvadrati� i kliknite 'OK'.

4. Ponovno startajte svoj kompjuter i va� direktorij sa starim postavkama �e biti obrisan.

Ukoliko ne napravite ovo nakon slijedeceg povrata neke starije verzije vaseg sistema ponovite brisanje iz Registrija ukoliko ste vratili sistem na neki period kada je virus bio prisutan na vasem kompjuteru.

Ukoliko sve ovo niste uspjeli napraviti ili mozda na vasem kompjuteru nije samo taj virus (niste jedini) morat cete nabaviti neki od programa za kontrolu virusa. Moja preporuka je "Sophos" i redovno posje�ivati stranice Sophosa u potrazi za najnovijim dodatcima popisu virusa jer, vjerovali ili ne, mjesecno se pojavi i do 30-ak novih virusa, a ako va� program nema te podatke isto je kao i da ga nema na vasem kompjuteru.

Osim programa na internetu mozete i dobiti besplatnu uslugu pregleda va�eg
kompjutera na adresi http://housecall.antivirus.com/ ili kliknite na sliku ispod.

(A.�.)

Pozdrav svima do novih virusnih dogodov�tina i pi�ite nam na

antivirus@arhiva.croatia.ch