Co p°inesl tento t²den.
Na serveru ÄIV╠ lze najφt Φlßnek o prvnφm viru
pro Windows 2000, kter² se jmenuje Installer (viz. 11.1.2000). ObzlßÜ¥ zajφmavΘ jsou reakce k tomuto Φlßnku (zde).
Benny - Φesk² spoluautor viru Installer by se z°ejm∞ mohl po p°eΦtenφ reakcφ rozΦφlit...
Symantec (Norton AntiVirus) informuje o novΘm patentu STRIKER na detekci polymorfnφch vir∙.
V podstat∞ se jednß o Φlßnek pln² kec∙, kter² slou₧φ pouze pro nalßkßnφ budoucφch u₧ivatel∙ Norton Antiviru. Ti co tomu rozumφ se jen zasm∞jou - podobnou technologii
vyu₧φvß °ada antivir∙ ji₧ n∞kolik let (a v∙bec k tomu nepot°ebujφ ₧ßdnΘ patenty).
Zde lze najφt nov² (1/2000) seznam nejrozÜφ°en∞jÜφch vir∙ - In The Wild List. Podle n∞j pat°φ mezi nejrozÜφ°en∞jÜφ viry tyto:
Freq Name Type Aliases
============================================================================
43 | W32/Ska.A............... | File |HAPPY99
38 | W95/CIH.1003............ | File |Spacefiller
36 | W97M/Melissa.A-mm....... | Macro |Maillissa
35 | W97M/Ethan.A............ | Macro |
35 | WM/CAP.A................ | Macro |
32 | W32/ExploreZip.......... | File |Worm.ExploreZip
28 | W97M/Marker.C........... | Macro |W97M/Spooky.C
26 | O97M/Tristate.C......... | Macro |O97/Crown.B
25 | W32/PrettyPark.A........ | File |
25 | W97M/Class.D............ | Macro |
24 | WM/Concept.A............ | Macro |Prank Macro
20 | AntiCMOS.A.............. | Boot |Lenart
20 | AntiEXE.A............... | Boot |D3
18 | X97M/Laroux.A........... | Macro |
18 | XM/Laroux.A............. | Macro |
17 | Form.A.................. | Boot |Form 18
17 | W32/ExploreZip.pak...... | File |
16 | W97M/Class.Q............ | Macro |
16 | W97M/Thus.A............. | Macro |W97M/Thursday.A
15 | One_Half.mp.3544.A...... | Multi |Dis, Free Love
============================================================================
Zφskal jsem dalÜφ (druhou) cenu...
[15.1.2000]
Win32/Plage2000
N∞kolik server∙ informuje o novΘm Φervu Plage2000, kter² vÜak nenφ hlßÜen jako In-the-Wild (tj. neÜφ°φ se mezi u₧ivateli).
╚erv Plage2000 odpovφdß na doÜlou poÜtu (Reply). K odpov∞di p°ipojuje svoje t∞lo - soubor, kter² m∙₧e mφt n∞kolik r∙zn²ch nßzv∙:
pics.exe, images.exe, joke.exe, PsPGame.exe, news_doc.exe, hamster.exe, tamagotxi.exe, searchURL.exe, SETUP.EXE, Card.EXE, billgt.exe, midsong.exe, s3msong.exe, docs.exe, humor.exe, fun.exe.
Po spuÜt∞nφ tΘto p°φlohy - souboru dochßzφ k infekci systΘmu, p°i kterΘ simuluje EXE-archiv WinZipu. Svoje t∞lo zkopφruje
do souboru INETD.EXE do adresß°e Windows. Pak zm∞nφ WIN.INI Φi registry (podle toho, zda jde o Win9x nebo WinNT) tak, aby se stal aktivnφm po ka₧dΘm startu Windows. Pokud je st°eda a hodiny ukazujφ 0:00 a₧ 2:00,
Φerv zobrazφ text Fight against the plage of inhumanity. This is Plage 2000 coded by Bumblebee/29a._Plage 2000 a obrßzek Hitlera s Φerstv∞ vyst°elen²m mozkem...
[11.1.2000]
Virus Win2000/Installer
Win2000/Installer je prvnφm virem, kter² je urΦen² v²hradn∞ pro operaΦnφ systΘm Windows 2000. Pod jin²mi OS se nedokß₧e Üφ°it.
Virus "Installer" napsal Benny/29A a Darkman/29A. "Installer" vyhledßvß PE EXE soubory na aktivnφm disku a
svoje t∞lo vklßdß do prßzdn²ch mφst v souboru. D∙sledkem jsou stejn∞ dlouhΘ soubory p°ed i po napadenφ.
Krom∞ n∞kolika dalÜφch typ∙ soubor∙ napadß i MSI (Microsoft Windows Installer). V t∞chto souborech infikuje vlo₧enΘ PE EXE.
Bli₧Üφ informace lze zφskat t°eba zde. Nevφm proΦ, ale u KasperskyLab
se virus jmenuje op∞t jinak - Inta...
[11.1.2000]
Win32/H4.1852
Na CAI informujφ o viru H4. V podstat∞ nejde o nic zajφmavΘho.
Snad jen to, ₧e virus se sna₧φ proniknout do systΘmu b∞hem surfovßnφ po webu. Virus H4 toti₧ napadß HTML soubory
(je v nich vlo₧en ve form∞ VBScriptu) a pokud je ochrana u IE nastavena na "low" m∙₧e p°i troÜe Üt∞stφ poΦφtaΦ opravdu napadnout.
Virus nenφ podle informacφ In the Wild, tak₧e se ho nemusφte obßvat.
[10.1.2000]
AVG pro MS Office 2000, p°ehled Φerv∙.
Po delÜφ dob∞ jsem op∞t zde. Od poslednφ novinky se toho celkem moc nestalo. Dnes vÜak p°ece jen ano:
Brn∞nskß spoleΦnost Grisoft dnes uvedla prvnφ beta verzi antiviru AVG, kter² se jako modul
p°ipojφ k Microsoft Office 2000, kde automaticky hledß makroviry p°i otevφrßnφ dokument∙. Pokud nebudou problΘmy, p°φÜtφ
t²den bude k dispozici oficißlnφ verze.
Na adrese www.tady.cz/worms lze najφt aktußlnφ p°ehled worms∙ - Φerv∙, se kter²mi
se m∙₧ete setkat.
[3.1.2000]
Co novΘho ?
Prizzy/29A velice rychle zareagoval a tak si m∙₧ete zde p°eΦφst Φlßnek o rezidentnφch virech pro Windows 9x/NT.
Prizzy taky nedßvno dokonΦil nov² virus Crypto (viz. aktualita z 28.12.99) - bli₧Üφ informace o tomto viru lze najφt na strßnkßch Symantecu (p°esn∞ji zde).
Hlas "nalitΘho" (jak sßm pφÜe) Bennyho (29A) by m∞l b²t slyÜet na slovenskΘ TV Luna dne 11.1.2000 v 18:05 ("Sv∞t poΦφtaΦ∙").
Na *-zinu (slovensko) informujφ o problΘmu Y2K antiviru AVPDOS32. Pokud toti₧ zapnete zßpis do LOG souboru, lze v n∞m najφt nesmyslnΘ datum: nap°. "AVPDOS32 Start 01-01-100 14:54:18".
Dodatek na konci Φlßnku "happy hunting these bugs" jsem uposlechl... -> Zjistil jsem, ₧e AVG 6.0 (testovßn build 115) mß podobn² problΘm. Do LOGu (Reportu) toti₧
zapisuje n∞co podobnΘho: nap°. "Test spusten 100-01-03 14:10:28". To je zatφm vÜe.
[1.1.1900]
Nov² rok je tady !
Vφtßm Vßs u prvnφho Φtenφ tohoto magickΘho roku. Tak₧e co je novΘho ?
Hned na zaΦßtek tohoto roku jsem p°ipravil jeden nov² Φlßnek o skenerech. K ·plnosti
dopomohl slovensk² ezine Asterix 2 a hlavn∞ Φlßnek, kter² napsal Flush (dφk!). Dßle jsem pak vytvo°il FAQ strßnku, na kterΘ
lze najφt "to nejlepÜφ" z konference o virech & antivirech. Budu ji postupn∞ dopl≥ovat.
Na dalÜφm Φlßnku teprve pracuju, m∞l by to b²t souhrn udßlostφ za poslednφ p∙l rok. Z°ejm∞ ho pak poÜlu na server "Sv∞t Namodro" a sem hodφm link.
Taky u₧ plßnuju jednu akci, kterß m∞ bude n∞co stßt, ale Vy uÜet°φte n∞kolik ·der∙ do klßvesnice :-).
Virus CIH (n∞kdy oznaΦovßn jako "╚ernobyl") je pam∞¥ov∞ rezidentnφ virus, kter² se Üφ°φ pod OS Windows 9x. Napadß PE EXE soubory,
p°iΦem₧ jejich dΘlka z∙stßvß stejnß jako p°ed infekcφ (svoje t∞lo uklßdß do voln²ch "ostrov∙" v PE souborech). NejrozÜφ°en∞jÜφ varianta,
kterß m∞°φ 1003 bajt∙ se aktivuje prßv∞ 26.4 (ve stejn² den se "aktivovala" i elektrßrna v ╚ernobylu), kdy se sna₧φ p°epsat na zßkladnφ
desce pam∞¥ Flash-BIOS. Tato pam∞¥ obsahuje d∙le₧itΘ informace, bez kter²ch nenφ poΦφtaΦ schopen provozu.
Pokud se viru poda°φ Flash-BIOS p°epsat, v∞tÜinou to konΦφ katastrofou. Nejv∞tÜφ problΘm m∙₧ou pocφtit zejmΘna
majitelΘ n∞kter²ch notebook∙, kde pak obΦas oprava desky p°φjde na vφc, ne₧ koup∞ novΘ. 26.4.1999 bylo podobn²m problΘmem posti₧eno
n∞kolik stovek tisφc poΦφtaΦ∙. Na n∞kter²ch zßkladnφch deskßch lze
p°episu Flash-BIOSu zabrßnit jumperama, kterΘ zßpis blokujφ. Pokud ale u₧ k p°epsßnφ Flash-BIOSu doÜlo, existuje v∞tÜinou
jednoduchß mo₧nost nßpravy: sehnat stejnou zßkladnφ desku, z nφ "vy∩oubnout" funkΦnφ Flash-BIOS (Üpendlφkem), umφstit ho
do "nefunkΦnφ" desky (ne ten Üpendlφk). Pak poΦφtaΦ nastartovat na cizφ Flash-BIOS, za chodu ho op∞t "vy∩oubnout", op∞t nasadit
nefunkΦnφ Flash-BIOS a jeÜt∞ p°ed vypnutφm poΦφtaΦe ho p°eprogramovat (pomocφ upgradu, kter² lze zφskat na web strßnkßch v²robce desky).
Popisovanß metoda je odzkouÜenß, neznßm nikoho, komu by to nevyÜlo. Ale te∩ zp∞t k 26.4: Po p°epsßnφ Flash-BIOSu se jeÜt∞ virus CIH
sna₧φ p°epsat data na pevnΘm disku. P°i troÜe Üt∞stφ lze Φßst z nich jeÜt∞ zachrßnit (obzvlßÜ¥, kdy₧ je disk rozd∞len na n∞kolik Φßstφ). Dokonce
existujφ i specißlnφ utility na obnovenφ dat: nap°. MRecover, p∙sobit
by m∞ly i produkty typu Lost&Found Φi Tiramisu. Co se t²Φe prevence, neexistuje snad antivirus, kter² by nebyl schopen tento virus detekovat
(nenφ divu, virus se objevil v Φervnu 1998). Zde m∙₧ete stßhnout krßtk² antivirus, kter² dokß₧e aktivnφho"CIHa"
v systΘmu detekovat. Jak se pozd∞ji ukßzalo, autor viru - taiwanec ╚en Jing-chau (na obrßzku) ani nev∞d∞l, ₧e 26.4. n∞jakß elektrßrna ╚ernobyl vybuchla (odtud pochßzφ
"novinß°sk²" nßzev viru), prost∞ cht∞l jen oslavit "narozeniny" svΘho viru (kter² vzniknul ve stejn² den). Autora viru si p°ed nedßvnem najmula n∞jakß
spoleΦnost (bohu₧el si u₧ jejφ nßzev nepamatuji), kterß vyu₧φvß jeho schopnosti.