Igiho strßnka o virech

[26.8.2001]

ANTIVIROV┴ KONFERENCE !

Firmy ALWIL Software (www.asw.cz) a ALWIL Trade, kterΘ vyvφjejφ a distribuujφ antivirov² systΘm Avast! po°ßdajφ antivirovou konferenci u p°φle₧itosti desßtΘho v²roΦφ od zalo₧enφ. Konference se konß 12. zß°φ 2001 od 13 hodin v hotelu DUO, Praha 9 - Prosek, Teplickß 12.

Program:

13.00	Zahßjenφ
13.05	Michal KovaΦiΦ - avast! 4
zejmΘna jeho struktura a rozd∞lenφ, popis nßvrhu sφ¥ovΘ verze a p°φklady pou₧itφ na sφtφch r∙znΘ velikosti 
13.30	Michal KovaΦiΦ - Podpora ostatnφch OS
zejmΘna Linux, ale takΘ jinΘ operaΦnφ systΘmy
13.45	Roman èvihßlek - ╪φzenφ programu avast! WEBov²m rozhranφm - novinka
podrobnΘ p°edstavenφ a ukßzka jak administrovat sφ¥ovou instalaci programu avast! z www browseru, vΦetn∞  praktickΘ ukßzky
14.00	Ing. Pavel BaudiÜ - viry v roce 2001
14.15	Vojt∞ch Peterka - Heuristickß anal²za obsahu poÜty
p°edstavenφ projektu EPIDEM-x, kter² bude logicky zpracovßvat obsah poÜty a na zßklad∞ u₧ivatelem definovan²ch pravidel informovat u₧ivatele o problΘmech
14.30	P°estßvka
15.00	Ond°ej VlΦek - ServerovΘ produkty programu avast! - novinka
p°edstavenφ verzφ pro ISA server a dalÜφ, vΦetn∞  praktickΘ ukßzky
15.30	Diskuse
16:00	Raut
18.00	hra  o exklusivnφ ceny - bowlingov² turnaj ve sportovnφm centru hotelu DUO
hlavnφ cena: IPAQ Pocket PC

┌Φast lze zajistit vhodn²m e-mailem na adresu mtomiskova@alwil.com :)

P°i pohledu do programu mn∞ zaujalo hned n∞kolik v∞cφ: Avast! verze 4, podpora dalÜφch OS, °φzenφ p°es web, heuristickß anal²za... Snad se doΦkßm n∞jak²ch podrobn∞jÜφch informacφ, zatφm ₧ßdnß odpov∞d :(

[26.8.2001]

Bennyho dalÜφ Φervφk...

Benny/29A se po delÜφ dob∞ rozhodl ukßzat sv∞tu svΘ novΘ dφlo, Φerv/virus I-Worm/WM2k.NeXT. DelÜφ pauza byla zp∙sobena rozruchem, kter² zp∙sobil jeho p°edchozφ virus WINUX. Jeliko₧ se tento virus dokßzal jako prvnφ na sv∞t∞ Üφ°it pod Windows i Linuxem zßrove≥, byly toho tehdy plnΘ noviny...

Zp∞t vÜak k novince. Virus je rozd∞len do dvou Φßstφ, dφky kter²m se dokß₧e Üφ°it jak p°es dokumenty MS Wordu (podobn∞ jako makroviry), tak i p°es MS Outlook. V p°φpad∞ MS Outlooku odeÜle svoji kopii na vÜechny e-mailovΘ adresy z "knihy adres". V tomto p°φpad∞ jde o "Φisto-krevn²" EXE soubor, nikoliv dokument MS Wordu. EXE soubor obsahuje ikonku WinZIPu (...tak₧e se m∙₧e zdßt, ₧e jde o archiv) a je komprimovßn programem tElock 0.80.

[26.8.2001]

PC Viruses ITW, aneb seznam nejrozÜφ°ejn∞jÜφch vir∙...

Na adrese www.wildlist.org/WildList lze stßhnout seznam nejvφce hlßÜen²ch vir∙ za srpen. Jako v₧dy uvßdφm pouze struΦnou verzi. Hodnota pod "Freq" udßvß mno₧stvφ mφst, ze kter²ch byl dan² zmetek hlßÜen. Za povÜimnutφ stojφ Win32/Sircam.A (Freq:16), kter² se pomalu tlaΦφ nahoru. Wildlist nenφ bohu₧el natolik "pru₧n²" aby zachytil aktußlnφ stav zcela p°esn∞. Typoval bych, ₧e Win32/Sircam.A by byl daleko v²Üe.

Freq  Name                       Type      Aliases
 ============================================================================
  40  | W32/MTX-m............... | File    | Matrix, Apology
  37  | W32/Hybris.B-mm......... | File    | Hybris.23040-mm
  34  | W32/Magistr.A-mm........ | File    | Disembowler
  33  | VBS/VBSWG.J-mm.......... | Script  | Anna K, SST, Kalamar.A,
                                 |         | I-Worm.Lee.o
  32  | VBS/LoveLetter.A-mm..... | Script  |
  30  | W32/Navidad.A-m......... | File    | Navidad-m
  29  | VBS/Stages.A-mm......... | Script  | VBS/ShellScrap-mm
  29  | VBS/VBSWG.X-mm.......... | Script  | HomePage, SST
  28  | JS/Kak.A-m.............. | Script  |
  26  | W95/CIH.1003............ | File    | Spacefiller
  25  | W32/Ska.A-m............. | File    | HAPPY99
  24  | W97M/Ethan.A............ | Macro   |
  23  | W32/PrettyPark.37376-mm. | File    |
  23  | W97M/Marker.C........... | Macro   | W97M/Spooky.C
  22  | W32/BadTrans.A-mm....... | File    | 13312
  22  | W32/Funlove.4099........ | File    |
  22  | W32/Qaz................. | File    |
  22  | W97M/Melissa.A-mm....... | Macro   | Maillissa
  21  | W97M/Thus.A............. | Macro   | W97M/Thursday.A
  20  | O97M/Tristate.C......... | Macro   | O97/Crown.B
  19  | VBS/LoveLetter.AS-mm.... | Script  | VBS/Plan.A-mm
  19  | W32/Navidad.B-m......... | File    | Emanuel-m
  18  | W32/BleBla.B-mm......... | File    | W32/Verona.B-mm
  17  | W32/Prolin.A-mm......... | File    | Creative.A-mm
  16  | VBS/Haptime.A........... | Script  | VBS/Help
  16  | W32/SirCam.A-mm......... | File    |
  16  | WM/CAP.A................ | Macro   |
 ============================================================================

[21.8.2001]

Stßle ₧iju :)

Na adrese www.root.cz/clanek.phtml?id=796 lze najφt recenzi antivirovΘho systΘmu GeCAD RAV pro LinuxovΘ servery. Hlavnφ pozornost si zaslou₧φ p°edevÜφm zp∙sob licencovßnφ. Produkt je toti₧ licencovßn na poΦet domΘn. P°i troÜe Üt∞stφ lze n∞kolik tisφc zam∞stnanc∙ firmy ochrßnit za sm∞Ün²ch 295 dolar∙ (cena za dv∞ domΘny) !!! U jin²ch antivir∙ by se nemuseli doplatit...

Peter "Doktor" KovßΦ informoval na www.itnews.sk/buxus/generate_page.php3?page_id=3453 o zatΦenφ mu₧e, kter² ·dajn∞ napsal Φerva Win32/Leave.

╚eskou skupinu MIONS, kterß "zam∞stnßvß" n∞kolik "pisßlk∙" vir∙, opustil i Φlov∞k, °φkajφcφ si Wion. N∞kterΘ Φßsti jeho zprßvy:
...na vojnu sice asi nepujdu, ceka me spis civilni sluzba, ale i presto se nebudu asi nijak zvlast ukazovat na internetu.Nekoncim sice zatim na Vx scene, ale v mions uz dal byt nemuzu....
...kdyby mi nevysla ta civilka, tak je mozne ze se rok neuvidime...

Wion je evidentn∞ optimista :)

[9.8.2001]

Kaspersky Anti-Virus for IIS Servers...

SpoleΦnost Kaspersky Lab. (www.kaspersky.com) uvedla sv∙j nov² produkt "Kaspersky Anti-Virus for IIS Servers", jeho₧ v²voj z°ejm∞ znaΦn∞ urychlil Φerv "Code Red" :) V podstat∞ jde o ISAPI filtr, kter² se p°idß mezi ostatnφ ISAPI filtry WWW serveru. Zmi≥ovan² filtr by m∞l zabrßnit pr∙nik∙m variant Φerva "Code Red". Jak °ikß sßm "boss" Eugene Kaspersky, p°i pou₧itφ tohoto filtru nenφ pot°eba instalovat zßplatu od Microsoftu. Budoucφ verze filtru bude obsahovat ·dajn∞ i heuristiku pro detekci neznßm²ch Φerv∙ kte°φ vyu₧φvajφ "Buffer Overflow", podobn∞ jako "Code Red".

Bli₧Üφ informace lze zφskat na adrese http://www.kaspersky.com/news.asp?tnews=0&nview=8&id=214&page=0]. Filtr m∙₧ete sosat z ftp://ftp.kaspersky.com/utils/KAVISAPI.ZIP.

[8.8.2001]

PC Viruses ITW, aneb seznam nejrozÜφ°ejn∞jÜφch vir∙...

Na adrese www.wildlist.org/WildList lze stßhnout seznam nejvφce hlßÜen²ch vir∙ (a dalÜφ hav∞ti) za m∞sφc Φervenec. Jako v₧dy uvßdφm pouze struΦnou verzi. Hodnota pod "Freq" udßvß mno₧stvφ mφst, ze kter²ch byl dan² zmetek hlßÜen.

Freq  Name                       Type      Aliases
 ============================================================================
  39  | W32/MTX-m............... | File    | Matrix, Apology
  34  | W32/Hybris.B-mm......... | File    | Hybris.23040-mm
  32  | VBS/LoveLetter.A-mm..... | Script  |
  32  | VBS/VBSWG.J-mm.......... | Script  | Anna K, SST, Kalamar.A,
                                 |         | I-Worm.Lee.o
  30  | VBS/Stages.A-mm......... | Script  | VBS/ShellScrap-mm
  30  | W32/Magistr.A-mm........ | File    | Disembowler
  30  | W32/Navidad.A-m......... | File    | Navidad-m
  27  | JS/Kak.A-m.............. | Script  |
  27  | VBS/VBSWG.X-mm.......... | Script  | HomePage, SST
  26  | W95/CIH.1003............ | File    | Spacefiller
  25  | W32/Ska.A-m............. | File    | HAPPY99
  24  | W32/PrettyPark.37376-mm. | File    |
  24  | W97M/Ethan.A............ | Macro   |
  23  | W97M/Melissa.A-mm....... | Macro   | Maillissa
  23  | W97M/Thus.A............. | Macro   | W97M/Thursday.A
  22  | W32/Funlove.4099........ | File    |
  22  | W32/Qaz................. | File    |
  22  | W97M/Marker.C........... | Macro   | W97M/Spooky.C
  21  | O97M/Tristate.C......... | Macro   | O97/Crown.B
  19  | W32/BadTrans.A-mm....... | File    | 13312
  18  | VBS/LoveLetter.AS-mm.... | Script  | VBS/Plan.A-mm
  18  | W32/Navidad.B-m......... | File    | Emanuel-m
  17  | W32/BleBla.B-mm......... | File    | W32/Verona.B-mm
  17  | W32/Prolin.A-mm......... | File    | Creative.A-mm
  17  | WM/CAP.A................ | Macro   |
  15  | VBS/Freelink-mm......... | Script  |
 ============================================================================

[7.8.2001]

VGREP po roce a p∙l op∞t ₧ije !

"Virov² slovnφk synonym" po roce a p∙l op∞t o₧il ! Aplikace VGREP (http://www.virusbtn.com/VGrep) umo₧≥uje zjistit, jak kter² antivirus nazve dan² virus. ╚lov∞k by nev∞°il, co lze v nßzvech vir∙ vÜechno najφt :) MenÜφ ·kßzka:

Alwil AVAST! 7.70-54     2001-06-28 : NO_VIRUS
DialogSci DrWeb 4.25     2001-06-20 : NO_VIRUS
ESafe Desktop 3.0        2001-06-27 : Sracka.1653
ESET Nodice 1.97         2001-07-09 : UNKNOWN_VIRUS
Frisk F-Prot 3.09c       2001-06-28 : Sracka.1653
Gecad RAV 8.2.1.12       2001-07-06 : Sracka.1653
Grisoft AVG 6.0.264/136  2001-07-02 : MadDaemon
Kaspersky AVP 3.0/133    2001-07-06 : VGOL-based
McAfee Scan 4.5.4 V4146  2001-07-01 : NO_VIRUS
Norman Virus Ctrl 5.10   2001-06-27 : VGOL.1653
Panda Anti-Virus 6.0     2001-07-01 : NO_VIRUS
Sophos Sweep 3.47        2001-07-01 : Vgol.1579-1653
Symantec NAV 5           2001-07-01 : NO_VIRUS
Trend PCScan 7.51 v911   2001-07-01 : VGOL.BR

[7.8.2001]

P°φr∙stek mezi antiviry...

Na strßnce "AntivirovΘ centrum" lze najφt dva novΘ antiviry na odstran∞nφ:

VBS/Haptime.A@mm, VBS/Haptime.B@mm

VBS/Potok@mm

Oba jsou od spoleΦnosti Symantec (www.symantec.com), v²robce antiviru Norton AntiVirus.

[6.8.2001]

Novß varianta, CodeRedII (CodeRed.c) je tu !

V sobotu 4.8. 2001 se na Internetu objevila novß varianta wormu CodeRed. Tato varianta pou₧φvß pro svoje Üφ°enφ stejnou bezpeΦnostnφ dφru jako p∙vodnφ worm. Napadß poΦφtaΦe, na nich₧ je instalovßn Microsot IIS Web Server bez opravnΘ zßplaty (patch). Z infikovanΘho poΦφtaΦe se posφlß intenzivn∞ji ale po kratÜφ dobu. Nov² worm je nebezpeΦn² zejmΘna tφm, ₧e do napadenΘho poΦφtaΦe instaluje jin² program: trojskΘho kon∞, kter² pak m∙₧e fungovat jako zadnφ vrßtka a m∙₧e umo₧nit neautorizovan² vstup do napadenΘho systΘmu. O p∙lnoci dne 1. °φjna se worm nav₧dy deaktivuje. Worm na rozdφl od p∙vodnφ varianty nepodstrkßvß u₧ivatel∙m modifikovanΘ WWW strßnky, neprovßdφ distribuovan² ·tok na jedin² poΦφtaΦ (Bφl² d∙m), jeho jedin²m cφlem je dostateΦn∞ rozÜφ°it poΦet poΦφtaΦ∙ se zadnφmi vrßtky do systΘmu. Pokud se mu poda°φ napadnout podobn² poΦet poΦφtaΦ∙ jako p∙vodnφmu wormu (kolem 300 000), pak m∙₧e b²t vß₧n∞ ohro₧ena integrita Internetu: tak velk² poΦet server∙, nad nimi₧ m∙₧e mφt kontrolu t°etφ strana, znamenß obrovskΘ bezpeΦnostnφ riziko. Sprßvci takov²ch systΘm∙ navφc nemohou mφt jistotu, zda jim pomocφ t∞chto zadnφch vrßtek n∞kdo nep°idal do systΘmu n∞co dalÜφho. A tak zatφmco proti p∙vodnφmu wormu staΦilo uplatnit p°φsluÜnou zßplatu a server p°estartovat, v tomto p°φpad∞ je nejspolehliv∞jÜφ metodou p°eformßtovßnφ disku a novß kompletnφ instalace systΘmu.

Zdroj: Alwil software - v²robce antiviru AVAST

[4.8.2001]

╚erv Sircam.A trhß rekordy !

╚erv Sircam.A se Üφ°φ stßle velice vesele. Zatφmco populßrnφ Φerv "I_love_you" (VBS/LoveLetter.A) byl zßle₧itostφ doslova na n∞kolik hodin, Φerv Sircam.A obt∞₧uje statisφce lidφ ji₧ n∞kolik dnφ. Od objevenφ tohoto Φerva mi bez p°estßvek chodφ den co den mimimßln∞ jeden infikovan² e-mail. NovΘ nßvÜt∞vnφky upozor≥uji, ₧e "posti₧en²" e-mail obsahuje hned na zaΦßtku text "Hi! How are you?". Pokud jste n∞jakou takovou zprßvu obdr₧eli, doporuΦuji se ji vyhnout, pop°φpad∞ ji rovnou smazat.

Jedno·Φelov²ch antivir∙ proti Φervu Sircam.A rapidn∞ p°ibylo, zatφm na mn∞ nejlΘpe zap∙sobil ten od Symantecu (FixSirc.com).

Mimochodem, u₧ k Vßm Sircam.A p°itßhl n∞jak² ten dokument s d∙le₧it²m, Φi tajn²m obsahem ? Sircam.A na mn∞ zatφm zap∙sobil pouze s dokumentem MS Wordu: Minipivovar Vietnam.doc.pif :)

[4.8.2001]

╚erv "Code Red", aneb bojφme se novinß°∙ :)

╚erv "Code Red" jednoznaΦn∞ dokazuje obrovskou pracovitost n∞kter²ch novinß°∙. Ti v∞tÜinou dostupnΘ informace (potud jeÜt∞ zcela pravdivΘ) upravujφ tak, aby jim sami rozumn∞li. V²sledkem je nap°φklad:

"Code Red napadß poΦφtaΦe s operaΦnφmi programy Windows 2000 a Windows NT firmy Microsoft."
Igi/SPR┴VN╠: Üφ°φ se na systΘmech Windows NT a 2000 s nainstalovan²m IIS, kterΘ nemajφ pßr m∞sφc∙ starou zßplatu na jednu dφru (cituji p. TomßÜe HolΦφka, www.zive.cz). V praxi to znamenß asi to, ₧e u₧ivatel, vyu₧φvajφcφ Windows NT/2000 pro spouÜt∞nφ oblφbenΘho textovΘho editoru MS Word a surfovßnφ po Internetu prost°ednictvφm modemu m∙₧e b²t v klidu.

"Program Code Red je vir Φervφho typu."
Igi: Tak tohle je opravdu vrchol. Virus je virus a Φerv je Φerv. Nelze tedy prohlßsit, ₧e jde o "vir Φervφho typu". Rozdφl mezi Φervem a virem je vφce ne₧ patrn² (vφce zde). V dneÜnφ dob∞ se v∞tÜinou pojmem "Φerv" (pon∞kud nesprßvn∞) oznaΦuje typ infiltrace, kterß do poΦφtaΦe pronikß prost°ednictvφm elektronickΘ poÜty. V∙Φi Φervu Code Red je to trochu nefΘr, metoda Üφ°enφ Code Red je toti₧ zcela odliÜnß (dφrß v IIS). Vzhledem k tomu, ₧e prvnφm populßrnφm Internetov²m Φervem se stal (tuÜφm, ₧e n∞kdy v roce 1988) tzv. "Morris∙v Φerv", kter² se v n∞kter²ch ohledech podobß "rudΘmu k≤du", dovolil bych si "Morris∙v Φerv" a Red Code oznaΦit za PRAV╔ ╚ERVY a "hav∞¥" Üφ°φcφ se elektronickou poÜtou pouze za "Φervy" v uvozovkßch.

Za vrchol pova₧uji rozhovor s ing. MiluÜφ èubrtovou (pravd∞podobn∞ v po°adu "21" na ╚T2). Jen n∞kterΘ nesmysly:

Redaktor: Dß se krßtce °φci, v Φem je rozdφl mezi Φervem a virem ?
ing. MiluÜe èubrtovß: Vir je pouze p∙sobφcφ na °ekn∞me Φßst souboru, kter² se vlastn∞ pohybuje jen v tΘto Φßsti, kde₧to Φerv je v podstat∞ souΦßstφ n∞kolika soubor∙, kter² majφ charakteristiku t°eba svojim jmΘnem vstoupit do n∞kolika systΘm∙ narßz a tφm je v podstat∞ poÜkodit.

Igi: Kdo to pochopil, a¥ dß v∞d∞t na igi@viry.cz. DoporuΦuji radÜi navÜtφvit Knihu o virech :)

Redaktor: Mß u₧ Code Red n∞jakΘho p°edch∙dce ?
ing. MiluÜe èubrtovß: Mß, ve svΘ podstat∞ jsou to vÜechny °ady vir∙, Φerv∙ typu I Love You, I Form, Melissa...

Igi: Za p°edch∙dce lze pova₧ovat tak maximßln∞ "Morris∙v Φerv". Vysv∞tlenφ jsem uvedl naho°e.

Kompletnφ rozhovor ve formßtu MP3 lze stßhnout z http://pws.prserv.net/fpl/miluse.mp3, p°φjemnou zßbavu :)