Tak máme za sebou další virovou epidemii, a opět mnohem prudší než všechny předchozí. I když to, co jsem právě napsal, není tak docela pravda – masové šíření viru Win32:Klez-H ještě zdaleka neskončilo a i takřka měsíc po jeho prvním výskytu je virus velice aktivní. Při pohledu na statistiky výskytu virů jsem si nedávno říkal, že první pozice viru Win32:Sircam je od loňského léta neotřesitelná. Dnes už si to nemyslím – Klez-H se dokázal za necelé čtyři týdny vyšplhat na 75% výskytu viru Sircam a během pár týdnů bude zcela určitě na čele.

Všechno začalo opět docela nevinně: 17. dubna se kolem poledne objevila zpráva o nové variantě viru Klez, zachycené někde v Číně. Během několika minut byl ale potvrzen výskyt tohoto viru i v Evropě a po chvíli dokonce i u nás. I když všechny antivirové firmy okamžitě vydaly nové aktualizace a varovaly své uživatele, virus to rozhodně nezastavilo. Právě naopak – šířil se naprosto epidemickým způsobem dál. Ve dnech 18. a 19. dosáhl svého maxima, na hotline antivirových firem panovalo úplné peklo. Zpočátku byly infikovány hlavně firemní počítače, později se (po masové aplikaci antivirové ochrany) hlavní šíření přesunulo k domácím uživatelům. Postiženi však byli všichni – i ti, kteří byli včas a správně chráněni, měli poštu zahlcenou infikovanými zprávami. Jen na naše firemní poštovní účty jich zatím přišlo kolem deseti tisíc.

Základní a jednoduchá otázka zní: proč je tento virus tak úspěšný? Virus nepřináší žádné převratné novinky, kombinuje ale řadu vlastností, které se objevily v posledním půlroce a které zásadním způsobem ovlivňují jeho šíření. Tou nejdůležitější je využití bezpečnostní díry v Internet Exploreru, která způsobí automatické spuštění viru již při náhledu zprávy v programech Outlook a Outlook Express. Opravná záplata na tuto nebezpečnou díru existuje již mnoho měsíců, ale počet uživatelů, kteří ji nemají instalovanou, je bohužel natolik veliký, že celkově oprava nemá veliký vliv. Doporučuji Vám proto podívat se na adresu http://windowsupdate.microsoft.com, zvolit „Aktualizaci produktů“ a stáhnout a nainstalovat všechny položky v sekci „Důležité aktualizace a aktualizace Service Pack“. Nepříjemné je to, že objem stahovaných dat může být dost veliký.

Tuto díru zneužívá v poslední době čím dál tím víc virů, žádný z nich ale tak rozsáhlou epidemii nezpůsobil. K tomu přispívají i další skutečnosti: rodina virů Klez má další nepříjemnou vlastnost: do položky odesíleatele („Od“ nebo „From“) nenapíší emailovou adresu skutečného uživatele infikovaného počítače, ale místo toho vyberou adresu, kterou buď najdou v souborech na disku nebo vyberou ze seznamu, který si uchovávají v sobě. Adresu skutečně infikovaného počítače je možno zjistit pouze z detailních záznamů ve zprávě, jeho email však většinou nikoli. To má dva velice nepříjemné důsledky: jednak není možno uvědomit skutečně infikovanou osobu o tom, že je její počítač zavirován a jednak často vede k nepravdivému obvinění: „Vy jste nám poslal virus“, a to jak k ručně vytvořenému, tak vygenerovanému automaticky, nejčastěji antivirovými programy na poštovních serverech. Adresát takového upozornění je pak často zmaten a marně se snaží virus na svém počítači najít.

Zprávy vytvořené virem Klez-H jsou velice proměnlivé. Předmět zprávy je vytvářen komplikovaným způsobem z několika „náhodných“ částí nebo dokonce z textu, který virus najde někde na disku a občas vypadá docela věrohodně. Někdy se dokonce vydává za program, sloužící k odstranění viru Klez-E, zaslaný některou z antivirových firem! Psychologické finty, které dnes viry používají, jsou zkrátka čím dál tím propracovanější. Ochrana je zde jednoduchá a jediná: nikdy nespouštějte žádný program, který k Vám dorazí elektronickou poštou. A pokud to Váš poštovní server umožňuje, filtrujte nebezpečné přílohy už na serveru, aby se k Vašim uživatelům vůbec nedostaly…

Virus Klez-H (na rozdíl od předchozí varianty Klez-E) neprovádí žádnou destrukční činnost, spočívající v ničení souborů. Přesto může být velmi nepříjemný i z dalšího důvodu: čas od času posílá kromě viru i náhodně zvolený soubor. Může tak dojít (podobně jako u viru Sircam, který to ale provádí zcela systematicky) k úniku citlivých dat, které by se v žádném případě neměly dostat z počítače ven.