Kromě toho náhodně odesílá čtyři typy zpráv na SMS bránu Eurotelu (xxx@sms.eurotel.cz, xxx značí náhodné číslo). Na své si tak mohou přijít majitelé mobilu v síťi Eurotelu. Následuje jejich obsah:
Zpráva č.1:
This mobile fone has been infected by IWORM.Anarxy by Ratter!Zpráva č.2:
Let us arise, let us arise against the oppressors of humanity; all kings, emperors, presidents of republics, priests of all religions are the true enemies of the people; let us destroy along with them all juridical, political, civil and religious institutions. - Manifesto of anarchists in the Romagna, 1878Zpráva č.3:
I know you''re real proud of this world you''ve built, the way it worx, all the nice little rules and such, but I''ve got some bad news. I''ve decided to make a few changes. Ratter - I''m a stranger in the world I haven''t made.Zpráva č.4:
I love a flower, becoz it will wither, an animal - becoz it will die; - a human being, becoz it will pass away and won''t be, becoz it feel''s it will perish forever; I love - I do more than love - I worship to God, becoz - he is not. - Karel Hynek Macha
Šíření těla červa je pak překvapivě závislé na knize adres aplikace The Bat! (ruský emailový klient - www.ritlabs.com). Právě odtud si totiž bere červ Anarxy emailové adresy budoucích obětí...
Ratter dále pro "Igiho stránku o virech" dodal, cituji: "Do 2-3 tydnu se xystam vydat dalsi verzi, ve ktere opravim xyby, ktere by se pripadne vyskytly f teto a dale xystam HTTP proxy server a podporu proxy serveru v LAN sitix (nyni by f podsate mel na LAN xodit pouze pokud je nainstalovana ip maskarada) a dalsi vjeci".
Celkově tedy jde o "technickou lahůdku", v praxi se s ní však setkáte jen velice těžko. Evidentně to však byl úmysl autora, Ratter chtěl vytvořit něco dosud nevýdaného a tak kromě ovládání mobilním telefonem zavedl i šíření závislé na e-mailovém klientu The Bat!. Uvidíme, co na to Internetové noviny a antivirové firmy. Už vidím těch článku typu "nový virus, kterého lze ovládat mobilním telefonem !!!" :-)
| [28.1.2001] |
Červ I-Worm.Universe usmrcen...
Společnost Kaspersky Lab. se postarala o to, aby byla Bennyho/29A stránka na českém serveru hyperlink.cz odstraněna. Benny se mi s touto zprávou ozval a příliš nadšen z toho nebyl... Ostatní se mohou radovat :-) Ještě aktuálnější je zpráva, že Bennymu zrušili i email benny_29a@hushmail.com. Poslední šancí je e-mail benny@post.cz.
| [25.1.2001] |
I-Worm.Universe, nový český červík od Bennyho/29A
Brňák Benny/29A dokončil své nové dílo, červa I-Worm.Universe. Podobně jako předchozí dílo I-Worm.XTC používá i Universe tzv. "plug-iny". Jde o to, že elektronickou poštou dorazí pouze hlavní modul, který se po spuštění usadí v systému (soubor windows\system\msvbvm60.exe). Hlavní modul neobsahuje žádnou proceduru, která by se starala o šíření červa. Proto kromě "instalace" červa dokáže stahovat i další moduly - "plug-iny" z Internetu (z http://hyperlink.cz). Díky nim se dokáže I-Worm.Universe šířit el. poštou (adresy si hledá v html souborech adresáře "Temporary Internet Files"), posílat na benny_29a@hushmail.com jméno a IP adresu infikovaného počítače, šířit se přes IRC a vkládat do archivů RAR infikovaný soubor SETUP.EXE. Moduly jsou komprimované utilitou "tElock" a plug-iny jsou těžce zašifrované (RSA...). Benny informuje o tom, že jeho kontrola nad jednotlivými moduly je velice snadná, dokonce není problém vydat rozkaz (tj. napsat nový modul), který se postará o zníčení těch starých, které už někde vesele běhají po světě. Jelikož se I-Worm.Universe zavádí do systému jako služba (service), zřejmě bude schopen provozu (podobně jako XTC či Energy) pouze pod OS Windows 2000.
I-Worm.Universe zřejmě nebude v praxi běžně k vidění, Benny nemá ve zvyku svoje díla úmyslně rozšiřovat. Většinou to udělá spíše někdo, kdo narazí na jeho webovou stránku :-(
| [23.1.2001] |
Makrovirus W97M/Melissa.W, mediální hvězda ? nebo jen další nula ?
Řada antivirových firem informuje o novém makroviru W97M/Melissa.W. Některé ji "žerou" a tak Melissu.W přirovnávají skoro k I_Love_You, ostatní o ní píšou z povinosti. O co tedy jde ? W97M/Melissa.W je vlastně _skoro_ původní W97M/Melissa.A, která prošla skrz Word 2001 pro Macintosh.
Jak prohlásil Petr Odehnal (www.grisoft.cz), "Problem je v tom, ze Office 2001 pro Macintosh je prekladany jinym kompilatorem nez Office pro Wintel (Windows+Intel, "odborná" zkratka P. Odehnala, pozn. Igi :-) . Odnesly to nektere binarni struktury, ktere maji trosku jine velikosti. Pri normalnim prenosu dokumentu to nevadi protoze Word tyhle struktury pouziva pouze v ramci jedne platformy a pokud nacita dokument z Macovske verze, tak ho vlastne "importuje" a tyhle struktury si vygeneruje znovu."
Celý problém se točí kolem toho, že některé antiviry nedokážou takto upravený makrovirus detekovat. Kupříkladu u AVG 6.0, lze tento problém vyřešit stažením nové aktualizace b228 (z www.avg.cz).
Ještě stručný popis makroviru W97M/Melissa.W:
šíří se elektronickou poštou (subjekt zprávy: "Important Message From { jméno uživatele }",
tělo zprávy: "Here is that document you asked for ... don't show anyone else ;-)", příloha - soubor: "anniv.doc").
Po spuštění infikované přílohy se
Melissa.W snaží odeslat svoji kopii na dalších 50 adres z "knihy adres" aplikace MS Outlook (ne Outlook Express).
O dalším životě makroviru W97M/Melissa.W budu v případě nouze informovat.
| [23.1.2001] |
U Kaspersky Lab. místo Melissy: Worm.Linux.Ramen...
Kaspersky Lab. informuje o červu Ramen pro Linux. Nebudu to komentovat, Linux není zrovna moje parketa.
Bližší informace na:
http://www.viruslist.com/eng/viruslist.asp?id=4150&key=00001000130000500000
| [23.1.2001] |
Soutěž začíná už 1. února !!!
1. února bude na "Igiho stránce o virech" zahájena druhá soutěž o větší množství antivirových programů ! Tentokrát však půjde o něco netypického... Bližší informace až 1. února...
| [22.1.2001] |
PC Viruses In the Wild 1/2001
První seznam "PC Viruses In the Wild" (www.wildlist.org/WildList) v tomto tisíciletí je na svetě ! Jde o seznam nejvíce rozšířené "havěti". Na sestavování výsledků se podílí několik desítek odborníků z celého světa, kteří sbírají hlášení ze svých regionů. V České Republice se o to stará Pavel Baudiš (Alwil Software - www.asw.cz), na Slovensku Miroslav Trnka (ESET - www.eset.sk).
Freq Name Type Aliases ============================================================================ 37 | VBS/LoveLetter.A-mm..... | Script | 37 | W32/MTX-m............... | File | Matrix, Apology 35 | W32/Ska.A-m............. | File | HAPPY99 31 | W95/CIH.1003............ | File | Spacefiller 31 | W97M/Ethan.A............ | Macro | 31 | W97M/Melissa.A-mm....... | Macro | Maillissa 30 | VBS/Stages.A-mm......... | Script | VBS/ShellScrap 30 | W32/PrettyPark.37376-mm. | File | 29 | JS/Kak-m................ | Script | 29 | W32/Navidad.A-m......... | File | Navidad 29 | W97M/Marker.C........... | Macro | W97M/Spooky.C 26 | O97M/Tristate.C......... | Macro | O97/Crown.B 24 | W97M/Thus.A............. | Macro | W97M/Thursday.A 24 | WM/CAP.A................ | Macro | 22 | VBS/Freelink-mm......... | Script | 21 | W32/Qaz................. | File | 20 | W32/Hybris.B-m.......... | File | Hybris.23040-m 19 | W32/ExploreZip-m........ | File | Worm.ExploreZip 17 | W97M/Class.D............ | Macro | 16 | W32/Fix2001-m........... | File | 16 | W32/Funlove.4099........ | File | 15 | VBS/LoveLetter.AS-mm.... | Script | VBS/Plan.A-mm 15 | VBS/Netlog.A............ | Script | VBS/Network ============================================================================
| [21.1.2001] |
"Press release červ Davinia"...
Společnost Kaspersky Lab. bohužel vypustila další "press release", díky čemuž nastal chaos okolo červa Davinia. Toto prohlášení mělo samozřejmě POUZE natáhnout další budoucí kupce antiviru Kaspersky Anti-Virus (AVP). Červ Davinia je totiž sám o sobě pouze další z řady zmetků. Pravděpodobnost, že se s ním setkáte je asi stejně vysoká, jako když ve sportce vyhrajete milion :-)
Z celého prohlášení si lze odnést snad jen poznatek, že je vhodné do MS Office 2000 doinstalovat záplatu z adresy:
http://officeupdate.microsoft.com/2000/downloadDetails/Uactlsec.htm.
| [15.1.2001] |
Antiviry trochu jinde...
| [13.1.2001] |
Další český červ... I-Worm/Hermes !
I-Worm/Hermes je další dílo (po W97M/Ftip) od českého autora, který si říká "gl" popř. "gl_st0rm" (gl_storm@seznam.cz). Bohužel některé jinak spolehlivé zdroje (Kaspersky Lab. a podobně) neuvádějí kompletní informace. Jisté je, že Hermes se šíří v příloze el. pošty, kterou tvoří některý z těchto souborů:
Seti@home 3.x to 4.0 upd.exe Seti@home_twk.exe Seti_patch.exe Lunetic!.exe CIH.exe Energy.exe ftip.exe Navidat.exe Click_ME!.exe Cenik.exe Lunetic.scr fucking.scr micro$haft.scr matrix.scr reboot.scr Pamela.scr techno.scr funny!.scr Hermes.scr School_in_da_flame.scrJak dodává Petr Odehnal (www.grisoft.cz): Za zminku snad jeste stoji, ze vsechny tri zname verze tohoto wormu se snazi nainstalovat na pocitaci soubor User_inf.sah. Pokud na zasazenem pocitaci bezi projekt SETI@home (http://setiathome.ssl.berkeley.edu/), tak bude pocitat dal, ale "body" se zacnou pripocitavat do "ratingu" autora viru (gl_storm@seznam.cz). Asi tim chtel zlepsit svou pozici na zebricku, momentalne je na 564885. miste. :-)
Jak prozradil sám autor červa I-Worm/Hermes, neměl by se s ním nikdo v reálu setkat. Tělo červa totiž obdrželi pouze někteří pracovníci v antivirových firmách.
| [4.1.2001] |
Konference časopisu Virus Bulletin bude v Praze !!!
Cituji slova Pavla Baudiše z Alwil Softwaru (antivirus AVAST! - www.asw.cz), který tuto zprávu dodal:
Praha bude v zari hlavnim mestem boje proti virum.
Jak dnes ve svem lednovem cisle oznamil britsky casopis Virus Bulletin, bude se jeho pristi konference konat od 26. do 28. zari 2001 v prazskem hotelu Hilton. Konference se pravidelne ucastni spickovi antivirovi odbornici z antivirovych firem po celem svete, stejne jako rada uzivatelu z velkych firem a statnich instituci.
Pro Prahu je vyber velka cest, protoze v Evrope se krome Velke Britanie tato konference v jeji desetilete historii konala pouze v Holandsku a Nemecku. Krome poklone Prahy tak jde i o uznani ceskych antivirovych firem, ktere i ve svetovem meritku patri k uzke spicce.
| [2.1.2001] |
Do třetice... NOD32 v síti !!!
Trochu jsem ten slib nedodržel, ale nakonec to dopadlo ! Třetí část seriálu "Antiviry v síti" je na světě !!! Tentokrát jsem otestoval slovenský NOD32 1.54 společnosti ESET s.r.o. (www.eset.sk). Recenzi a zároveň i návod lze najít ZDE !!!
Jaká bude další "síťová recenze", to opravdu nevím. Třeba se ozve nějaký ten distributor / výrobce antiviru sám :-o