Novinky: Leden 2001 |
[31.1.2001] |
Společnost Grisoft software (www.grisoft.cz) vydala nový build 230 svého antiviru AVG 6.0, který dokáže být díky novému AVGADMINu 6.0.20 v síti daleko "hodnější". Týká se to síťové aktualizace, která byla doposud vcelku "agresivní". Teď by se mělo vše změnit :-)
Změn tak doznala i recenze antiviru AVG 6.0 v síti. Seznam recenzí se snad již brzo rozroste o síťovou verzi antiviru AVAST32. Bohužel však nejsem doposud schopen říci, kdy to bude :-(
[29.1.2001] |
Benny/29A (benny@post.cz) dodal článek, ve kterém píše o svém novém červu I-Worm.Universe (viz. novinka 25.ledna) a také o věcech, které se díky němu staly... Celý článek lze najít ZDE !!!.
[28.1.2001] |
a nejen to, jde o české dílo !!! Postaral se o to Ratter (ratter@atlas.cz)...
Červ Anarxy je schopen provozu pod OS Windows 9x/ME a NT/2000 (usadí se ve windows\system32\msiefix.exe).
Červ Anarxy existuje celkem ve dvou podobách, o které se rozhodne už během kompilace zdrojového kódu:
Kromě toho náhodně odesílá čtyři typy zpráv na SMS bránu Eurotelu (xxx@sms.eurotel.cz, xxx značí náhodné číslo). Na své si tak mohou přijít majitelé mobilu v síťi Eurotelu. Následuje jejich obsah:
Zpráva č.1:
This mobile fone has been infected by IWORM.Anarxy by Ratter!Zpráva č.2:
Let us arise, let us arise against the oppressors of humanity; all kings, emperors, presidents of republics, priests of all religions are the true enemies of the people; let us destroy along with them all juridical, political, civil and religious institutions. - Manifesto of anarchists in the Romagna, 1878Zpráva č.3:
I know you''re real proud of this world you''ve built, the way it worx, all the nice little rules and such, but I''ve got some bad news. I''ve decided to make a few changes. Ratter - I''m a stranger in the world I haven''t made.Zpráva č.4:
I love a flower, becoz it will wither, an animal - becoz it will die; - a human being, becoz it will pass away and won''t be, becoz it feel''s it will perish forever; I love - I do more than love - I worship to God, becoz - he is not. - Karel Hynek Macha
Šíření těla červa je pak překvapivě závislé na knize adres aplikace The Bat! (ruský emailový klient - www.ritlabs.com). Právě odtud si totiž bere červ Anarxy emailové adresy budoucích obětí...
Ratter dále pro "Igiho stránku o virech" dodal, cituji: "Do 2-3 tydnu se xystam vydat dalsi verzi, ve ktere opravim xyby, ktere by se pripadne vyskytly f teto a dale xystam HTTP proxy server a podporu proxy serveru v LAN sitix (nyni by f podsate mel na LAN xodit pouze pokud je nainstalovana ip maskarada) a dalsi vjeci".
Celkově tedy jde o "technickou lahůdku", v praxi se s ní však setkáte jen velice těžko. Evidentně to však byl úmysl autora, Ratter chtěl vytvořit něco dosud nevýdaného a tak kromě ovládání mobilním telefonem zavedl i šíření závislé na e-mailovém klientu The Bat!. Uvidíme, co na to Internetové noviny a antivirové firmy. Už vidím těch článku typu "nový virus, kterého lze ovládat mobilním telefonem !!!" :-)
[28.1.2001] |
Společnost Kaspersky Lab. se postarala o to, aby byla Bennyho/29A stránka na českém serveru hyperlink.cz odstraněna. Benny se mi s touto zprávou ozval a příliš nadšen z toho nebyl... Ostatní se mohou radovat :-) Ještě aktuálnější je zpráva, že Bennymu zrušili i email benny_29a@hushmail.com. Poslední šancí je e-mail benny@post.cz.
[25.1.2001] |
Brňák Benny/29A dokončil své nové dílo, červa I-Worm.Universe. Podobně jako předchozí dílo I-Worm.XTC používá i Universe tzv. "plug-iny". Jde o to, že elektronickou poštou dorazí pouze hlavní modul, který se po spuštění usadí v systému (soubor windows\system\msvbvm60.exe). Hlavní modul neobsahuje žádnou proceduru, která by se starala o šíření červa. Proto kromě "instalace" červa dokáže stahovat i další moduly - "plug-iny" z Internetu (z http://hyperlink.cz). Díky nim se dokáže I-Worm.Universe šířit el. poštou (adresy si hledá v html souborech adresáře "Temporary Internet Files"), posílat na benny_29a@hushmail.com jméno a IP adresu infikovaného počítače, šířit se přes IRC a vkládat do archivů RAR infikovaný soubor SETUP.EXE. Moduly jsou komprimované utilitou "tElock" a plug-iny jsou těžce zašifrované (RSA...). Benny informuje o tom, že jeho kontrola nad jednotlivými moduly je velice snadná, dokonce není problém vydat rozkaz (tj. napsat nový modul), který se postará o zníčení těch starých, které už někde vesele běhají po světě. Jelikož se I-Worm.Universe zavádí do systému jako služba (service), zřejmě bude schopen provozu (podobně jako XTC či Energy) pouze pod OS Windows 2000.
I-Worm.Universe zřejmě nebude v praxi běžně k vidění, Benny nemá ve zvyku svoje díla úmyslně rozšiřovat. Většinou to udělá spíše někdo, kdo narazí na jeho webovou stránku :-(
[23.1.2001] |
Řada antivirových firem informuje o novém makroviru W97M/Melissa.W. Některé ji "žerou" a tak Melissu.W přirovnávají skoro k I_Love_You, ostatní o ní píšou z povinosti. O co tedy jde ? W97M/Melissa.W je vlastně _skoro_ původní W97M/Melissa.A, která prošla skrz Word 2001 pro Macintosh.
Jak prohlásil Petr Odehnal (www.grisoft.cz), "Problem je v tom, ze Office 2001 pro Macintosh je prekladany jinym kompilatorem nez Office pro Wintel (Windows+Intel, "odborná" zkratka P. Odehnala, pozn. Igi :-) . Odnesly to nektere binarni struktury, ktere maji trosku jine velikosti. Pri normalnim prenosu dokumentu to nevadi protoze Word tyhle struktury pouziva pouze v ramci jedne platformy a pokud nacita dokument z Macovske verze, tak ho vlastne "importuje" a tyhle struktury si vygeneruje znovu."
Celý problém se točí kolem toho, že některé antiviry nedokážou takto upravený makrovirus detekovat. Kupříkladu u AVG 6.0, lze tento problém vyřešit stažením nové aktualizace b228 (z www.avg.cz).
Ještě stručný popis makroviru W97M/Melissa.W:
šíří se elektronickou poštou (subjekt zprávy: "Important Message From { jméno uživatele }",
tělo zprávy: "Here is that document you asked for ... don't show anyone else ;-)", příloha - soubor: "anniv.doc").
Po spuštění infikované přílohy se
Melissa.W snaží odeslat svoji kopii na dalších 50 adres z "knihy adres" aplikace MS Outlook (ne Outlook Express).
O dalším životě makroviru W97M/Melissa.W budu v případě nouze informovat.
[23.1.2001] |
Kaspersky Lab. informuje o červu Ramen pro Linux. Nebudu to komentovat, Linux není zrovna moje parketa.
Bližší informace na:
http://www.viruslist.com/eng/viruslist.asp?id=4150&key=00001000130000500000
[23.1.2001] |
1. února bude na "Igiho stránce o virech" zahájena druhá soutěž o větší množství antivirových programů ! Tentokrát však půjde o něco netypického... Bližší informace až 1. února...
[22.1.2001] |
První seznam "PC Viruses In the Wild" (www.wildlist.org/WildList) v tomto tisíciletí je na svetě ! Jde o seznam nejvíce rozšířené "havěti". Na sestavování výsledků se podílí několik desítek odborníků z celého světa, kteří sbírají hlášení ze svých regionů. V České Republice se o to stará Pavel Baudiš (Alwil Software - www.asw.cz), na Slovensku Miroslav Trnka (ESET - www.eset.sk).
Freq Name Type Aliases ============================================================================ 37 | VBS/LoveLetter.A-mm..... | Script | 37 | W32/MTX-m............... | File | Matrix, Apology 35 | W32/Ska.A-m............. | File | HAPPY99 31 | W95/CIH.1003............ | File | Spacefiller 31 | W97M/Ethan.A............ | Macro | 31 | W97M/Melissa.A-mm....... | Macro | Maillissa 30 | VBS/Stages.A-mm......... | Script | VBS/ShellScrap 30 | W32/PrettyPark.37376-mm. | File | 29 | JS/Kak-m................ | Script | 29 | W32/Navidad.A-m......... | File | Navidad 29 | W97M/Marker.C........... | Macro | W97M/Spooky.C 26 | O97M/Tristate.C......... | Macro | O97/Crown.B 24 | W97M/Thus.A............. | Macro | W97M/Thursday.A 24 | WM/CAP.A................ | Macro | 22 | VBS/Freelink-mm......... | Script | 21 | W32/Qaz................. | File | 20 | W32/Hybris.B-m.......... | File | Hybris.23040-m 19 | W32/ExploreZip-m........ | File | Worm.ExploreZip 17 | W97M/Class.D............ | Macro | 16 | W32/Fix2001-m........... | File | 16 | W32/Funlove.4099........ | File | 15 | VBS/LoveLetter.AS-mm.... | Script | VBS/Plan.A-mm 15 | VBS/Netlog.A............ | Script | VBS/Network ============================================================================
[21.1.2001] |
Společnost Kaspersky Lab. bohužel vypustila další "press release", díky čemuž nastal chaos okolo červa Davinia. Toto prohlášení mělo samozřejmě POUZE natáhnout další budoucí kupce antiviru Kaspersky Anti-Virus (AVP). Červ Davinia je totiž sám o sobě pouze další z řady zmetků. Pravděpodobnost, že se s ním setkáte je asi stejně vysoká, jako když ve sportce vyhrajete milion :-)
Z celého prohlášení si lze odnést snad jen poznatek, že je vhodné do MS Office 2000 doinstalovat záplatu z adresy:
http://officeupdate.microsoft.com/2000/downloadDetails/Uactlsec.htm.
[15.1.2001] |
[13.1.2001] |
I-Worm/Hermes je další dílo (po W97M/Ftip) od českého autora, který si říká "gl" popř. "gl_st0rm" (gl_storm@seznam.cz). Bohužel některé jinak spolehlivé zdroje (Kaspersky Lab. a podobně) neuvádějí kompletní informace. Jisté je, že Hermes se šíří v příloze el. pošty, kterou tvoří některý z těchto souborů:
Seti@home 3.x to 4.0 upd.exe Seti@home_twk.exe Seti_patch.exe Lunetic!.exe CIH.exe Energy.exe ftip.exe Navidat.exe Click_ME!.exe Cenik.exe Lunetic.scr fucking.scr micro$haft.scr matrix.scr reboot.scr Pamela.scr techno.scr funny!.scr Hermes.scr School_in_da_flame.scrJak dodává Petr Odehnal (www.grisoft.cz): Za zminku snad jeste stoji, ze vsechny tri zname verze tohoto wormu se snazi nainstalovat na pocitaci soubor User_inf.sah. Pokud na zasazenem pocitaci bezi projekt SETI@home (http://setiathome.ssl.berkeley.edu/), tak bude pocitat dal, ale "body" se zacnou pripocitavat do "ratingu" autora viru (gl_storm@seznam.cz). Asi tim chtel zlepsit svou pozici na zebricku, momentalne je na 564885. miste. :-)
Jak prozradil sám autor červa I-Worm/Hermes, neměl by se s ním nikdo v reálu setkat. Tělo červa totiž obdrželi pouze někteří pracovníci v antivirových firmách.
[4.1.2001] |
Cituji slova Pavla Baudiše z Alwil Softwaru (antivirus AVAST! - www.asw.cz), který tuto zprávu dodal:
Praha bude v zari hlavnim mestem boje proti virum.
Jak dnes ve svem lednovem cisle oznamil britsky casopis Virus Bulletin, bude se jeho pristi konference konat od 26. do 28. zari 2001 v prazskem hotelu Hilton. Konference se pravidelne ucastni spickovi antivirovi odbornici z antivirovych firem po celem svete, stejne jako rada uzivatelu z velkych firem a statnich instituci.
Pro Prahu je vyber velka cest, protoze v Evrope se krome Velke Britanie tato konference v jeji desetilete historii konala pouze v Holandsku a Nemecku. Krome poklone Prahy tak jde i o uznani ceskych antivirovych firem, ktere i ve svetovem meritku patri k uzke spicce.
[2.1.2001] |
Trochu jsem ten slib nedodržel, ale nakonec to dopadlo ! Třetí část seriálu "Antiviry v síti" je na světě !!! Tentokrát jsem otestoval slovenský NOD32 1.54 společnosti ESET s.r.o. (www.eset.sk). Recenzi a zároveň i návod lze najít ZDE !!!
Jaká bude další "síťová recenze", to opravdu nevím. Třeba se ozve nějaký ten distributor / výrobce antiviru sám :-o