Otázky a odpovědi

Viry & Antiviry v roce 1998 - soupis novinek a událostí

Rok 1998 přinesl řadu nových virů, ale i novinek. Dodávám, že většina novinek se týká operačního systému Windows 95/98/NT.

Hned v lednu se objevil první Java virus "StrangeBrew", který se dokáže šířit prostřednictvím dalších *.class souborů. Možnosti, kdy se však tento virus může šířit jsou značně omezeny, takže se nejedná o žádné velké nebezpečí. Další viry podobného typu se ukázaly světu až koncem roku. Jsou to viry napadající soubory VSB (WinScript) a HTML soubory. Oba vyjmenované typy taktéž nemají větší šance dosáhnout masového rozmnožení. Jejich replikaci lze totiž omezit správným nastavením browseru (Explorer, Netscape...). Jistým dalším zbytečným pokusem jsou i viry napadající INF soubory, které se hojně využívají při instalaci nových aplikací.

Nebezpečí se však postatně zvětšilo u souborových virů napadající soubory PE EXE (tedy EXE soubory patřící aplikacím určených pro Windows 95/98/NT). Počátkem roku 1998 totiž Griyo - člen španělské virové skupiny 29A vyvinul první 32-bitový polymorfní "motor", který umožňuje docílit schopnosti "mutovat" i pod systémem Windows 95/98. Griyo také docílil "rezidentnosti" v paměti bez nutnosti používat VXD driver. Obě tyto novinky aplikoval na svém viru W95/HPS. Dalším zajímavým virem se stal W95/Marburg, který se v měsících srpen-září objevil na několika významných CD, vydaných jako příloha časopisů. Obětí se staly časopisy PC Gamer, PC Power Play. Zavirován tímto virem byl i samotný CD titul WarGames. Zřejmě největším objevem se stal virus W95/CIH, který částečně změnil tvrzení, že hardware nelze virem zničit. Virus CIH totiž dokáže na některých novějších základních deskách přepsat paměť Flash-Bios, jejiž obsah je nutný pro úspěšné nastartování počítače. Virus CIH pochází z Tai-Wanu, a byl záměrně rozšířen společně s nelegálními CD. Ani viru CIH se nevyhnuly některé významné firmy. Na Web stránce "Yamaha" byl nechtěně dostupný zavirovaný update k ovladači zařízení. Viru CIH se na internetu nevyhlo ani demo nové hry SIN a datadisk Secret Ops ke hře Wing Commander. Virus CIH se navíc stal prvním virem pro Windows 95/98, který pronikl do tabulky nejrozšířenějších virů (In-The-Wild 12/98). Dalším hitem byl virus W95/Inca, který se stal prvním multipartitním virem pro Windows 95/98. Jedná se o rezidentní virus, který navíc vypouští krátké a velmi škodlivé prográmky do archivů (ARJ, ZIP, RAR). Posledním vánočním hitem je virus Remote Explorer, který si pod systémem Windows NT zajišťuje svoji paměťovou rezidentnost pomocí služeb (service). Virus Remote Explorer je zcela odlišný typ viru. Jeho délka je 150 KB (asi 50000 řádků zdrojové kódu). Pro své šíření využívá především počítačovou síť, ve které se sám orientuje, a jak se zdá, jde mu to velmi dobře. Replikaci provádí pozdě v noci a brzo ráno, tak aby si správce ničeho nevšiml....

Další změny nastaly u makrovirů. Makroviry pro Word a Excel se stávají stále častěji polymorfními a znesnadňují tak svoji analýzu. Celkem novinkou jsou makroviry pro Word 97 řady "Class", které napají modul "ThisDocument", a znemožňují tak vidět makra v nabídce Tools/Macro (Nářadí/Makro) i bez použití stealth technologie (- technologie na "zneviditelnění" viru). V poslední době se podobné technologie dočkalo i několik málo makrovirů pro Excel 97. Export těla makroviru do speciálního souboru, a následný zpětný import do právě infikovaného souboru se stal taky velmi zajímavou technikou na oklamání heuristické analýzy. Během roku vzniklo i několik nových makrovirů pro Microsoft Access a koncem prosince se objevil i první makrovirus pro produkt Microsot PowerPoint 97. Makrovirus pro PowerPoint tak napadá poslední aplikaci kancelářského balíku Microsoft Office 97, kde se může makrovirus šířit. Oba posledně jmenované typy makrovirů (Access, PowerPoint), nelze považovat za reálnější nebezpečí. Naopak reálnější by mohly být makroviry pro Microsoft Office 2000. První takový makrovirus vzniknul na konci prosince upravou, již existujícího makroviru. Makroviry pro Office 97 by se měly pod Office 2000 šířit pouze po drobné úpravě. Šíření makrovirů pro Microsoft Office 2000 by však mohla zabránit silná obrana, kterou Office 2000 disponuje...

V oblasti antivirových programů jsem moc zajímavých novinek nezaregistroval. Pouze slovenský antivirus HMVS přišel na začátku roku 1998 s technologií neuronových síťí. Díky této technologii se stává heuristická analýza velmi spolehlivou, protože technologie "samoučení" (technologie neuronových síťí) dokáže odlišit, zda se jedná o falešný poplach, či o skutečný makrovirus...

No, uvidíme, co přinese tento rok...

Igi (1.1.1999)

[Kopírování obsahu této stránky je povoleno pouze se souhlasem autora]