In-the-Wild List 11/99 je tady !
Zde lze najφt nov² ItW List - tj. seznam nejrozÜφ°en∞jÜφch vir∙. Nßsleduje p°ehled nejvφce hlßÜen²ch vir∙:
Freq Name Type Aliases
============================================================================
41 | W32/Ska.A............... | File |HAPPY99
35 | WM/CAP.A................ | Macro |
34 | W95/CIH.1003............ | File |Spacefiller
34 | W97M/Ethan.A............ | Macro |
33 | W97M/Melissa.A.......... | Macro |Maillissa
28 | W32/ExploreZip.......... | File |Worm.ExploreZip
25 | WM/Concept.A............ | Macro |Prank Macro
24 | W97M/Class.D............ | Macro |
24 | W97M/Marker.C........... | Macro |W97M/Spooky.C
23 | O97M/Tristate.C......... | Macro |O97/Crown.B
20 | AntiEXE.A............... | Boot |D3
20 | W32/PrettyPark.A........ | File |
18 | AntiCMOS.A.............. | Boot |Lenart
18 | XM/Laroux.A............. | Macro |
16 | Form.A.................. | Boot |Form 18
15 | One_Half.mp.3544.A...... | Multi |Dis, Free Love
15 | X97M/Laroux.A........... | Macro |
[22.11.99]
W97M/Prilissa.A - ·dajn∞ se celkem rychle Üφ°φ !
Dost server∙ informuje o novΘm makroviru W97M/Prilissa.A, kter² se dokß₧e Üφ°it v dokumentech Wordu 97, ale
i prost°ednictvφm emailov²ch zprßv. "Infikovanß" emailovß zprßva mß subjekt "Message From" a obsahuje text "This document is very Important and you've GOT to read this !!!".
Krom∞ toho se samoz°ejm∞ v p°φloze zprßvy nachßzφ i dokument infikovan² makrovirem Prilissa. Pokud je tento dokument spuÜt∞n, makrovirus se sna₧φ
odeslat svoji kopii na dalÜφch 50 adres, kterΘ hledß v "knize adres" aplikace MS Outlook.
Prilissa si pohrßvß s barvou textu v aktußlnφm dokumentu a 25.prosince p°episuje soubor C:\AUTOEXEC.BAT tak, ₧e p°i dalÜφm startu poΦφtaΦe
dojde k formßtovßnφ disku C:. Makrovirus Prilissa vyu₧φvß polymorfnφ generßtor VAMP, jeho₧ autorem se slavn² (dφky makroviru Melissa) autor VicodinES.
[18.11.99]
Nov² CollectionMaker 0.61.
Prßv∞ dnes jsem dod∞lal novou verzi programu CollectionMaker, kter² umo₧≥uje jednoduÜe set°φdit viry ve VaÜi sbφrce.
╚eskou verzi m∙₧ete "sosat" zde, anglickou pak zde.
NEdoporuΦuji stahovat p°es programy typu Getright - n∞kdy to p°edΦasn∞ spadne...
[15.11.99]
Pro p°φznivce antiviru AVP (AntiViral Toolkit Pro)...
Na adrese http://cedic.bonusweb.cz lze najφt ΦeÜtinu do jmenovanΘho antiviru. I kdy₧
autor p°ekladu uvßdφ, ₧e je urΦena do verze 3.0 build 131, bez problΘm∙ jsem ji aplikoval i do verze 3.0 build 132. Instalaci doporuΦuji
spouÜt∞t z nouzovΘho re₧imu, proto₧e AVP "dr₧φ" n∞kterΘ soubory a instalace by se nemusela poda°it. P°elo₧it tenhle antivirus nebyl Üpatn² nßpad,
t∞₧ko vÜak °φci, jak to snese distributor AVP pro ╚R - spoleΦnost AEC s.r.o..
[11.11.99]
Virus Win32/FunLove.4099.
N∞kolik server∙ informuje o viru pro Win32, kter² je ·dajn∞ In-the-Wild (tj. Üφ°φ se mezi u₧ivateli). Virus FunLove je pam∞¥ov∞ rezidentnφ
a napadß PE EXE soubory. Virus se dob°e vyznß i v poΦφtaΦovΘ sφti a dokß₧e se v nφ Üφ°it. Po spuÜt∞nφ infikovanΘho PE EXE soubory dochßzφ k napadenφ dalÜφch soubor∙
na disku. Virus FunLove hledß a infikuje na vÜech discφch (C: a₧ Z:) soubory s p°φponou OCX, SCR a EXE. Svoje t∞lo zapisuje do poslednφ sekce PE EXE soubor∙ - odskok na svoje t∞lo zajistφ instrukcφ skoku.
Virus FunLove neinfikuje n∞kterΘ soubory antivirov²ch program∙.
[10.11.99]
A je to tady ! Dlouho se o tom mluvilo a te∩ je to skuteΦnostφ !
Nov² "emailov² Φerv" BubbleBoy je toti₧ prvnφ Φerv, kter² se aktivuje pouh²m otev°enφm infikovanΘ zprßvy. Infikovanß emailovß zprßva neobsahuje
₧ßdnou p°φlohu - Φerv je p°φmo souΦßstφ zprßvy. MS Outlook (nutnß Φßst, bez kterΘ se BubbleBoy nedokß₧e Üφ°it) toti₧ umo₧≥uje odesφlat emailovΘ zprßvy
v HTML formßtu. Toho Φerv (worm) BubbleBoy vyu₧φvß a je ve struktu°e HTML p°ipojen jako VBScript. Po aktivaci Φerva (tj. otev°enφ infikovanΘ emailovΘ zprßvy) dochßzφ
k infekci systΘmu. V adresß°i C:\WINDOWS\START MENU\PROGRAMS\STARTUP je vytvo°en soubor UPDATE.HTA. Ten obsahuje "zdrojßk" Φerva, kter² se automaticky
spouÜtφ p°i ka₧dΘm startu Windows. Po spuÜt∞nφ souboru UPDATE.HTA se potajnu spustφ i MS Outlook a BubbleBoy odeÜle svoji kopii vÜem lidem, kte°φ jsou uvedeni
v knize adres aplikace MS Outlook (zprßva mß subjekt "BubbleBoy back!"). Modifikacφ registr∙ si zajistφ, aby neodesφlal infikovanou emailovou zprßvu vφcekrßt na jednu adresu.
Vlastnφka "woken" m∞nφ na "BubbleBoy", organizaci na "Vandelay Industries".
╚erv BubbleBoy nenφ hlßÜen jako In-the-Wild. V praxi se s nφm tedy setkßte jen t∞₧ko, za to na informaΦnφch serverech se toho o n∞m dozvφte po₧ehnan∞ :-(
Doufejme, ₧e se k tomu nevyjßd°φ ╚TK - aby to nedopadlo jako minule :-(
Je to neuv∞°itelnΘ, ale sotva jsem to dopsal, tak na Sophosu u₧ informujou o druhΘ variant∞ BubbleBoy ! To zas bude afΘra !
[9.11.99]
Win95/Tip - dalÜφ mal² "╚ernobyl".
NAI p°ed nedßvnem informoval o dalÜφm viru, kter² vyu₧φvß Φßsti viru CIH (╚ernobyl). Virus Win95/Tip tak 26.4 p°episuje podobn∞ jako CIH pam∞¥ flash-bios a m∙₧e
p°i troÜe Üt∞stφ zablokovat poΦφtaΦ.
[8.11.99]
DALè═ ROZHOVOR S ╚LENEM 29A !!!
Tentokrßt mi odepsal Benny, druh² Φech "ve slu₧bßch" Üpan∞lskΘ skupiny 29A, kterß pφÜe viry.
[6.11.99]
NOV▌ MEGA-ROZHOVOR S ╚ESK▌M ╚LENEM VIROV╔ SKUPINY 29A !!!
Prizzy - Φech "ve slu₧bßch" Üpan∞lskΘ skupiny 29A, kterß pφÜe viry. Prßv∞ s touto osobu jsem ud∞lal rozhovor. Na dalÜφ rozhovor se m∙₧ete pravd∞podobn∞ t∞Üit zanedlouho.
Na °adu toti₧ p°φjde druh² Φech ve slu₧bßch skupiny 29A - Benny. Taky ji₧ hodn∞ dlouho Φekßm na odpov∞di od slovenskΘho "virologa" Miroslava Trnky (ESET, NOD antivirus).
[4.11.99]
NovΘ v²sledky srovnßvacφch test∙ antivirov²ch skener∙...
V Φasopise Virus Bulletin 11/99 se objevily novΘ srovnßvacφ testy antivirov²ch skener∙. Dφky laskavosti jednoho nejmenovanΘho Φlov∞ka lze najφt kompletnφ v²sledky testu zde.
[4.11.99]
Prvnφ usp∞ch...
"Igiho strßnka o virech" byla v sout∞₧i o "Zlatou Zmiji" vysoce ocen∞na.
VÜem hlasujφcφm tφmto d∞kuji...