Wirusy komputerowe
Wirus komputerowy jest programem, który powiela się przez zarażenie zbiorów wykonywalnych, jednostek alokacji plików lub sektora startowego dyskietki lub dysku twardego. Etykieta „wirus komputerowy” stosowana jest często do określania wszystkich destrukcyjnych programów. Istnieją trzy podstawowe rodzaje tych programów – wirusy, konie trojańskie i robaki. Uogólniając, można powiedzieć, że te programy wykonują czynności niezamierzone przez użytkownika lub starają się znaleźć w pewnych szczególnych miejscach niszcząc aktualnie przetwarzane informacje.
Nosicielem może być szablon dokumentów stworzonych za pomocą aplikacji wchodzących w skład pakietów biurowych, wyposażonych w język makr (najczęściej MS Office). Na niebezpieczeństwo narażeni są wszyscy, którzy w dowolnej formie przenoszą dane między komputerami. Źródłem infekcji może być plik skopiowany ze strony WWW, dołączony do poczty elektronicznej albo wiadomości zamieszczonej na liście dyskusyjnej czy też przeniesiony z innego komputera za pośrednictwem dyskietki. Znane są przypadki, gdy producent oprogramowania, prawdopodobnie nieświadomie, rozpowszechniał swój produkt na oryginalnie zapakowanych, a jednocześnie zawirusowionych dyskietkach lub płytach CD-ROM. Natomiast w czasach, gdy do dystrybucji oprogramowania masowo wykorzystywano dyskietki, zdarzało się, że po zwrocie oprogramowania przez klienta przepakowany (i zarażony) towar, trafiał w ręce innego nabywcy. Nikt nie sprawdzał, czy w międzyczasie nie doszło do zarażenia plików na dyskietkach instalacyjnych.
W 1985 roku dwóch Włochów Roberto Cerrutti i Marco Marocutti wysłało do pisma „Scientific American” list informujący o swoich próbach napisania na komputerze Apple programu, który dołączałby się do systemu operacyjnego i przy każdej próbie zapisu na dysk kopiowałby siebie samego w odpowiednie miejsce tego dysku. Cała sprawa była właściwie tylko w stadium planów, ale i tak list odniósł skutek. Zainspirowani artykułem o „wojnach rdzeniowych” Włosi nie zdawali sobie zapewne sprawy ile zamieszania wywoła on w komputerowym światku. Uznaje się go, bowiem za początek wirusów – jednego z najdziwniejszych, a już na pewno wywołujących najwięcej plotek, nieporozumień i niejasności zjawisk we współczesnej informatyce.
Pierwszy DOS-owski wirus na komputerze IBM-PC pojawił się na Uniwersytecie w Leight. Twórca tego wirusa, wkrótce nazwanego „Leight”, pozostał, podobnie jak wielu innych twórców wirusów, anonimowy. Podejrzewa się, że był studentem tego uniwersytetu. W przeciwieństwie do wirusa w Apple, ten miał wbudowany w siebie pewnego rodzaju zapalnik. Licznik wewnątrz wirusa był zwiększany o 1 wraz z każdą infekcją– kiedy osiągał 4, wirus kasował FAT i boot-sektor. Wirus infekował plik Command.com dodając 555 bajtów i rezydował w pamięci po uruchomieniu komputera. Ponieważ zarażał tylko jeden plik i szybko oznajmiał swoją obecność (niszcząc dane na dysku razem z zarażonym plikiem), wirus ten nie rozprzestrzenił się. Następny DOS-owski wirus nazwano „Brain”. Był napisany prawdopodobnie przed wirusem „Leight”, ale został wykryty po nim i był znacznie bardziej skomplikowany. Twórcy nie byli zbyt trudni do wyśledzenia, ponieważ dołączyli do kodu wirusa swoje nazwiska, adresy i krótką reklamę. Pochodzili z Pakistanu. Gdy wirus był uruchamiany zarażał tylko boot-sektory dyskietek i rezydował w pamięci. Rozmnażał się zapisując swoją kopię do początkowych części zarażonych dyskietek. Poza boot-sektorem zapisywał się do sześciu innych sektorów. Te dodatkowe sześć sektorów oznaczone były jako uszkodzone i z tego powodu nie były wykorzystywane do przechowywania danych. W ten sposób „Brain” zabezpieczał się przed nadgrywaniem przez inne programy. Zmieniał również etykietę dyskietki na „(c) Brain” i infekował tylko dyski 5 ¼” o pojemności 360kB.
Wokół żadnego tematu związanego z komputerami nie narosło tyle mitów, co wokół wirusów. Świetnym tego przykładem była wrzawa wokół „Michała Anioła”, jednego z szeregu zwykłych wirusów, któremu przypisywano możliwości sparaliżowania wielu systemów informatycznych, czy wręcz fizycznego niszczenia dysków twardych, monitorów, myszek itd.
Termin „wirus komputerowy” został użyty przez Freda Cohena w pierwszej publikacji dotyczącej teoretycznego aspektu programowania wirusów komputerowych. Została ona opublikowana w roku 1984, w okresie, gdy wirusy były jedynie interesującą nowinką. Ponieważ termin ten pojawił się zanim wiele wirusów zostało odkrytych, jego definicja rozciąga się tylko na wirusy rozmnażające się przez dołączanie się do innych programów. Obecnie jest to trochę zawężone pojęcie, ponieważ nie obejmuje wielu programów, które nazywamy wirusami, a które przyczepiają się do dyskietek lub dysków twardych zamiast bezpośrednio do programów (tzw. Wirusy zarażające tablicę partycji lub boot-sektor). Jeżeli rozszerzymy definicję Cohena o tego typu wirusy infekujące dyski, możemy objąć tym terminem szeroką klasę różnych typów wirusów, a także będziemy mieli małą grupę o spójnej charakterystyce.
Konie trojańskie to proste programy, które powinny wykonywać pewną czynność, a tak naprawdę wykonują inną, zwykle destrukcyjną. Konie trojańskie nie są bardzo popularne i są często spotykane w BBS-ach. Rozprzestrzenienie się ich nie odbywa się szybko, ponieważ muszą one być przekazane komuś nieświadomemu i być przez niego uruchomione. Poza autorem niewiele osób będzie z własnej woli i w pełni świadomie rozprzestrzeniało tego typu programy. Typowy koń trojański może być programem o nazwie innego, znanego programu, który zachęci niczego niepodejrzewającego użytkownika, aby go uruchomić. Przykładem konia trojańskiego jest program ARC 513 znajdujący się w wielu biuletynach elektronicznych, który pozoruje ulepszoną wersję uznanego programu narzędziowego do zapakowania danych ARC. W rzeczywistości kasuje on pliki wyszczególnione do zapakowania. Innym przykładem konia trojańskiego jest Dyskietka AIDS. W dniu 11.12.1989 roku rozesłano w Londynie pocztą około 20.000 kopert zawierających dyskietkę 5 ¼” oznaczoną „Informacja o AIDS wersja 2.00” i ulotką informacyjną. Odbiorca był zachęcany do zainstalowania pakietu. Na odwrocie ulotki, bardzo małym drukiem podano warunki licencji, które żądały od użytkownika wysłania 189 dolarów za 365 zastosowań pakietu lub 378 dolarów za dzierżawę na cały czas działania twardego dysku. Gdy niczego niepodejrzewający użytkownik zainstalował już pakiet, program wyświetlał komunikat podając adres w Panamie, pod który należy wysłać opłatę. Pakiet AIDS udawał prawidłowy program podający informacje o AIDS. Ponadto procedura instalacyjna dokonywała modyfikacji w pliku AUTOEXEC.BAT z takim skutkiem, że za każdym razem, gdy plik był wykonywany powiększała się wartość licznika w ukrytym pliku. Przekroczenie 90 uruchamiało sekwencję niszczącą. Użytkownika instruowano, że większość nazw plików na twardym dysku jest zakodowana i oznaczona Hidden (ukryty). Jedyny nieutajniony plik zawierał warunki licencji i adres, pod który należało wysłać opłatę. Autorem i sprawcą był przypuszczalnie Dr Joseph Lewis Popp z Cleveland, USA.
Robaki są podobne do wirusów, lecz powtarzają się w całości, wytwarzając swoje dokładne kopie bez potrzeby programu niosącego. Robaki pojawiają się w sieciach komputerowych i komputerach wielodostępnych wykorzystując łączność między komputerami i między użytkownikami jako nośnik transmisji. Przykładem robaka jest Christmas Treeworm, który rozpowszechnił się głównie w wewnętrznej sieci IBM. Został on wypuszczony 09 grudnia 1987 roku i sparaliżował światową sieć IBM. Robak został napisany w REXX i mógł rozprzestrzeniać się na instalacjach VM/CMS. Program był kombinacją konia trojańskiego i łańcucha szczęścia. Gdy działa, na ekranie rysuje choinkę i rozsyła się do wszystkich korespondentów użytkownika, a następnie kasuje się.
Każdy wirus najpierw ulega replikacji, a ewentualnie później powoduje szkody. Dlatego rozwój techniki pisania wirusów wiąże się z wynajdywaniem nowych obiektów zdolnych odgrywać rolę nosiciela. Początkowo na atak narażone były pliki wykonywalne COM i EXE oraz wsadowe BAT. Z czasem to grono powiększyło się o zbiory zawierające wykonywalne fragmenty kodu. W ich przypadku wirus zazwyczaj modyfikuje początek zbioru i dopisuje swój kod wewnątrz lub na jego końcu. Załadowanie zainfekowanego pliku do pamięci jest równoznaczne z uaktywnieniem wirusa. Wiele mikrobów nie niszczy zaatakowanego plików, dzięki czemu może później wykonać program nosiciela, tak, że użytkownik niczego nie podejrzewa.
Nosicielem wirusa może być sektor startowy dysku twardego lub dyskietki. Wynika to z faktu, że komputer próbując po uruchomieniu wczytać system, wykonuje program zawarty w pierwszym dysku lub dyskietki – w zależności do ustawień BIOS-u. Wirus może się ulokować w MBR (Master Boot Record), niszcząc jego zawartość i uniemożliwiając dostęp do dysku. W innym przypadku wirus najpierw przenosi kod inicjujący system z sektora startowego w inny obszar dysku, potem zajmuje jego miejsce. Jest on o tyle groźny, że ładuje się przed startem systemu, czyli również zanim zacznie działać jakiekolwiek oprogramowanie antywirusowe i może przejąć nad nim kontrolę. Należy mieć świadomość, że boot-sektor znajduje się na każdej sformatowanej dyskietce, także w przypadku, gdy nie zawiera ona żadnych plików systemowych. Wobec tego czysta dyskietka znajdująca się w napędzie podczas uruchamiania systemu może być przyczyną kłopotów nawet, jeżeli zobaczymy na ekranie tylko komunikat „Non-System disk or disk error”.
Najmłodszą rodziną wirusów są tzw. Makrowirusy, które pojawiły się jako skutek uboczny rozszerzenia możliwości pakietów biurowych, takich jak Microsoft Office, a także Lotus SmartSuite oraz Corel WordPerfect Suite . Języki Word Basic, a potem Visual Basic for Applications, wywodzące się jeszcze od prostego Basica, mają na tyle duże możliwości, że pozwalają na stworzenie wirusa. Dzięki temu twórcy wirusów zostali wyposażeni w nowe łatwe narzędzie. Już od wielu lat napisanie wirusa nie wymaga znajomości asemblera, ponieważ można posłużyć się językiem wysokiego poziomu (Turbo Pascal, C, VbfA). Najczęściej spotykane makrowirusy WORDA wykorzystują fakt, że szablony dokumentów mogą zawierać makra. Zazwyczaj wirus uaktywnia się w chwili otwarcia zainfekowanego szablonu w środowisku aplikacji Microsoft Word, następnie zaraża zdrowe zbiory z rozszerzeniem .doc i zapisuje je jako szablony, ponieważ dokumenty nie mogą zawierać makr. W ostatnim kroku jedno lub kilka automatycznie wykonywanych makr, np. AutoOpen FileSaveAs, zostaje zastąpionych kodem wirusa. Co prawda standardowo szablony używają rozszerzenia .DOT w odróżnieniu od .DOC zarezerwowanego dla dokumentów. Nie ma jednak przeszkody, aby szablon również miał rozszerzenie. DOC i udawał dokument. Następnym razem użytkownik otwierając plik nie zdaje sobie sprawy, że jest to zainfekowany szablon. Łakomym kąskiem dla makrowirusa jest szablon NORMAL:DOT zawierający makra globalne. Po jego zarażeniu wirus może uaktywniać się wraz z każdym uruchomieniem Worda i przenosi się na wszystkie tworzone lub otwierane dokumenty. Znany jest wirus o nazwie WordMacro.Nuclear, który, oprócz zarażania dokumentów Worda potrafi umieścić w pamięci rezydentnego wirusa Ph33r atakującego pliki .COM i .EXE. Wilczą przysługę może oddać przeglądarka internetowa, która po załadowaniu pliku .DOC z serwisu www automatycznie uruchamia Worda w celu otwarcia dokumentu, ryzykując przy tym infekcje. W takiej sytuacji bezpieczniej jest korzystać z przeglądarki plików Worda. Po pojawieniu się makrowirusów Worda było tylko kwestią czasu stworzenie ich klonów, atakujących w ten sam sposób dokumenty Exela i Accessa, a także aplikacji wchodzących w skład pakietów biurowych firm Corel i Lotus. Ponadto istnieją wirusy mające zdolność infekowania dowolnego dokumentu z pakietu Microsoft Office.
Najprostszą formą wirusa w sensie sposobu zadomowienia się w systemie jest wirus towarzyszący. Jego działanie opiera się na DOS-owskiej kolejności uruchamiania plików o tej samej nazwie. Jeśli podana zostanie nazwa zbioru bez podania rozszerzenia wówczas system szuka najpierw pliku z rozszerzeniem .COM, następnie .EXE, a na końcu .BAT. Wirus towarzyszący odszukuje plik .EXE lub .BAT, dla którego istnieje zbiór z tą samą nazwą, ale z innym rozszerzeniem .COM, po czym tworzy zainfekowanego .COM-a.
Próba załadowania programu bez podania rozszerzenia zakończy się wczytaniem wirusa. Także w tym przypadku właściwy plik może zostać uruchomiony dla niepoznaki w dalszej kolejności. „Okienkowa” wersja wirusa towarzyszącego podmienia jedną z systemowych bibliotek DLL, autentyczną zapisując pod zmienioną nazwą. Odwołanie się do funkcji z podstawionej biblioteki najpierw uaktywnia wirusa, a dopiero potem wywołuje żądaną funkcję z oryginalnego DLL-a. Ostatnia grupa mikrobów jest krzyżówką wirusów plikowych i zarażających boot-sektor. Do replikacji mogą wykorzystać równie dobrze zbiór wykonywalny, jak i sektor startowy. Używają do tego takich samych technik, jak ich protoplaści.
Rezultat działalności „szkodnika” może wahać się od niegroźnego wypisania komunikatu na ekranie monitora, przez uszkodzenia pojedynczych plików, do nieodwracalnego zniszczenia wszystkich danych znajdujących się na dysku twardym. Wirus CIH zamazuje BIOS, unieruchamiając w ten sposób płytę główną. Aby jednak wirus przetrwał i jednocześnie zainfekował jak największą liczbę komputerów, jego obecność musi pozostać niezauważona możliwie jak najdłużej. Siłą rzeczy, najczęściej skutkiem jego działalności jest tylko nieodczuwalne nadszarpnięcie zasobów komputera w postaci kradzieży kilkuset bajtów pamięci operacyjnej i niewielkiej ilości miejsca na dysku. Czasem wystarcza to do obniżenia stabilności systemu.
Kariera mikrobów siejących spustoszenia jest zazwyczaj bardzo krótka ponieważ wykrywane są szybko, zanim się jeszcze nadmiernie rozprzestrzenią. Prawdziwym problemem są wirusy, które replikują się przez długi czas niezauważone, a ich nieprzyjemne skutki ujawniają się dopiero w określonych okolicznościach. Co pewien czas media ostrzegają przed wyjątkowo destrukcyjnymi wirusami, które uaktywniają się w określonym czasie. Jak do tej pory takie alarmy wzbudzały tylko przerażenie wśród słabiej wyedukowanych jednostek społeczności informatycznej i zwiększały nakład czasopism branżowych. Na nowych wirusach najbardziej korzystają producenci oprogramowania antywirusowego.
Za prawdziwą plagę należy uznać wirusy wychodzące spod rąk mniej wprawnych programistów. Często nieudolnie napisane powodują niezamierzone skutki uboczne w wyniku błędów w kodzie źródłowym. Łatwo je wykrywać i unieszkodliwiać, ale jeśli już dojdzie do infekcji, to rzadko udaje się naprawić zarażone pliki.
Tak naprawdę do tworzenia wirusów nie jest potrzebna żadna wiedza, jeżeli wykorzysta się do tego jeden z generatorów wirusów, których wiele można znaleźć w Internecie. Ich obsługa sprowadza się do wyboru funkcji udostępnionych w menu. Czasem można wpisać tylko tekst, wypisywany przez wirusa na ekranie jako rezultat infekcji, ale niektóre generatory pozwalają określić rodzaj zarażonych plików i dołączyć własne procedury. Na szczęście stworzone w ten sposób wirusy są zwykle na tyle charakterystyczne, że skanery antywirusowe dają sobie z nimi radę bez większego problem.
Poniższa tabela przedstawia przykłady wirusów przyjmując ich podział według następujących typów: dyskowe, plikowe, dyskowo-plikowe i systemowe
DYSKOWE PLIKOWE DYSKOWO- PLIKOWE SYSTEMOWE
Azusa Avalgasil.666 Tequilla.2468 Dir-2
Bye by C&C Bobas.754 MJ.1513
CRUE(L) Zacker Liberty.2857
DiskWasher.A. ZuluGula.1390 Flip.2153
EXEbug.A Ania.1172 Anticad.4096.Danube
Form.D Blank Code Red
HDkiller Yeke.1076 Anticad.4096.Mozart
Intruder Zeraful Cyvil Defence Virus
Joshi 5 LO.1024
Michalangelo.A A kuku.889
Poniżej przedstawiam opis kilku wybranych wirusów
CIH - CZARNOBYL
Jego autorem jest Chen Ing-Hou z Uniwersytetu Tajpej na Tajwanie. Znanych jest kilka odmian wirusa CIH, które różnią się małymi fragmentami kodu i datą rozpoczęcia destrukcji (26 kwietnia każdego roku lub 26 dzień każdego miesiąca). Wirus CIH został nazwany Czarnobyl ze względu na przypadkową zbieżność daty aktywacji z datą katastrofy w Czarnobylu. Długość kodu wirusa wynosi ok. 1 kilobajta. Jest to wirus specyficzny dla plików wykonywalnych PE (Portable Executable) Windows 95/98. Podczas infekcji wirus szuka „dziur” w kodzie pliku PE, którego nieużywane fragmenty znajdują się pomiędzy tzw. Sekcjami, opisanymi w nagłówku pliku. Po odnalezieniu takich dziur zapisuje tam swój kod, następnie zwiększa rozmiar sekcji o niezbędną wartość, tak aby rozmiar całego pliku nie wzrósł po infekcji. Jeśli dziura jest wystarczającej wielkości, wirus zapisuje swój kod do jednej sekcji. Jeśli nie, wirus dzieli swój kod na kilka części i zapisuje je na końcu kilku sekcji. Kod wirusa może być zatem podzielony wewnątrz zarażonego pliku na kilka części, co oczywiście utrudnia jego wykrycie przez program antywirusowy. Wirus szuka także dziur w nagłówku plików PE. Jeśli znajdzie nieużywany blok nie mniejszy niż 284 bajty, zapisuje tam swoją procedurę startową. Następnie zmienia adres wejścia do programu w nagłówku PE na wartość wskazującą wejście do własnej procedury, umieszczonej w nagłówku. Adres wejścia do programu wskazuje zatem nie na odpowiednią sekcję, lecz na nagłówek – poza ładowany obszar pliku. Mimo tego, zainfekowane programy mogą działać bez problemów – Windows ignoruje niebezpieczeństwo, ładuje sekcje programu, następnie przekazuje sterowanie do procedury startowej wirusa w nagłówku PE.
CIH instaluje się w pamięci, przejmuje odwołania dostępu do pliku i infekuje otwierane pliki EXE. W niektórych przypadkach system zawiesza się podczas uruchamiania zainfekowanej aplikacji. Następnie wirus sprawdza datę systemową i uruchamia procedurę destrukcji, podczas której używa bezpośredniego dostępu do portów Flash BIOS i bezpośredniego dostępu do dysku. Zależnie od daty systemowej, CIH uruchamia swoją procedurę destrukcyjną, która próbuje zamazać Flash BIOS. Jest to oczywiście możliwe tylko wtedy, gdy płyta główna i chipset pozwalają na zapis do pamięci Flash. Zwykle zapis pamięci Flash może być zablokowany przez przełącznik DIP, o ile płyta główna na to pozwala. Następnie procedura destrukcyjna wirusa CIH zamazuje dane na wszystkich twardych dyskach. Zamazując sektory rozruchowe dysków, wirus korzysta z bezpośrednich odwołań zapisu na dysk i omija zabezpieczenia antywirusowe zaimplementowane w BIOS-ie.
SCHOOLGIRL
SchoolGirl jest wirusem infekującym pliki wykonywalne, który posiada procedurę destrukcyjną polegającą na usuwaniu plików określonego dnia. Wirus infekuje pliki wykonywalne systemu Windows z rozszerzeniem exe, ocx i scr, odnalezione na dyskach lokalnych oraz zamapowanych dyskach sieciowych. Wirus przeprowadza działanie, w tym procedury destrukcyjne, tylko pod kontrolą systemów Windows 95/98/Me. W systemach Windows NT/2000/XP poza infekcją wirus nie działa. W pewnych przypadkach sposób infekcji może spowodować uszkodzenie plików wykonywalnych.
SchoolGirl zawiera dwie procedury aktywowane określonego dnia. 16-tego dnia każdego miesiąca uruchamia przeglądarkę internetową ze stroną jednego z chińskich uniwersytetów. 17-tego dnia każdego miesiąca, począwszy od roku 2002, wirus usunie wszystkie pliki wykonywalne z lokalnych dysków oraz dysków sieciowych.
RICSI
Ricsi jest prostym wirusem DOSowym, który w czasie infekcji plików uszkadza je. Jest szyfrowanym, rezydującym w pamięci wirusem infekującym pliki com poprzez dołączenie do nich swojego kodu. Ze względu na błędy w kodzie infekowane pliki zwykle są uszkadzane tak, że zawieszają się w momencie uruchamiania.
ELLIV
Elliv jest prostym wirusem napisanym w języku Visual Basic Script, którego działanie polega na infekowaniu innych plików VbSowych. Po uruchomieniu przez użytkownika zainfekowanego pliku, Elliv wyszukuje pliki z rozszerzeniami vbs i vbe w bieżącym katalogu i podkatalogach, a następnie infekuje je dołączając do nich swój kod. Poza infekowaniem plików VBSowych, wirus nie zawiera żadnych procedur destrukcyjnych.
Poniżej przedstawiam sposób na usunięcie wirusa opierając się na wirusie HAPPY 99
Program Happy 99 powstał na początku 1999 roku. Rozprzestrzenia się jako załącznik poczty elektronicznej. Działa tylko w Windowsie 95/98/NT. Gdy uruchomimy załącznik z tym wirusem pokażą się nam „sylwestrowe wybuchy”. Niestety, to nie wszystko. Wirus następnie zmienia nazwę pliku WSOCK32.DLL na WSOCK32.SKA i tworzy swój plik o nazwie WSOCK32.DLL. Tworzy też inne pliki – SKA.EXE i SKA.DLL. Pliki te znajdują się w katalogu \WINDOWS\SYSTEM. Od tej chwili do każdego wysyłanego przez nas listu będzie dołączany załącznik z tym wirusem.
Usuwanie Happy 99:
1. Najpierw trzeba przejść do trybu MS-DOS („Start – Zamknij system – Uruchom komputer w trybie MS-DOS”).
2. W trybie MS-DOS należy wykonać następujące operacje:
- cd/WINDOWS/SYSTEM
- del ska.exe
- del ska.dll
- copy wsock32.ska wsock32.dll
- del wsock32.ska
- exit
3. Po wejściu do Windowsa naciskamy „start – Uruchom” wpisujemy „regedit”.
Uruchomi się edytor rejestrów, wchodzimy dalej
„HKEY_LOCAL_MACHINE” – „Software” – „Microsoft” – „Windows” – „CurrentVersion”.
Powinien znajdować się tam plik ska.exe (z prawej strony), oczywiście usuwamy go.
Możemy jeszcze sprawdzić czy nie siedzi gdzieś w systemie za pomocą komendy „Find(Znajdź)” (górne menu). Istnieje też możliwość, że plik zapisał się nie jako ska.exe , a jako happy.exe. Należy za pomocą komendy „Find” poszukać także pliku „happy.exe”.
4. Należy też powiadomić wszystkich, którym został wysłany wirus – lista osób, którym został wysłany załącznik Happy99.exe znajduje się w pliku windows/system/liste.ska.
5. Można częściowo zabezpieczyć system ustawiając opcję Read-Only(Tylko do odczytu) dla pliku WSOCK32.DLL.
Jak zabezpieczyć się przed wirusami :
1. Nie uruchamiać nieznanych programów
2. Nie otwierać załączników dołączonych do poczty
3. Nie wchodzić do Internetu
4. Nie włączać komputera
5. Sprzedać komputer lub oddać innym.
Literatura :
1.Nowa encyklopedia powszechna PWN
2.Zasoby Internetu