Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor


[26.8.2001]
ANTIVIROVÁ KONFERENCE !

Firmy ALWIL Software (www.asw.cz) a ALWIL Trade, které vyvíjejí a distribuují antivirový systém Avast! pořádají antivirovou konferenci u příležitosti desátého výročí od založení. Konference se koná 12. září 2001 od 13 hodin v hotelu DUO, Praha 9 - Prosek, Teplická 12.

Program: 

13.00	Zahájení
13.05	Michal Kovačič - avast! 4
zejména jeho struktura a rozdělení, popis návrhu síťové verze a příklady použití na sítích různé velikosti 
13.30	Michal Kovačič - Podpora ostatních OS
zejména Linux, ale také jiné operační systémy
13.45	Roman Švihálek - Řízení programu avast! WEBovým rozhraním - novinka
podrobné představení a ukázka jak administrovat síťovou instalaci programu avast! z www browseru, včetně  praktické ukázky
14.00	Ing. Pavel Baudiš - viry v roce 2001
14.15	Vojtěch Peterka - Heuristická analýza obsahu pošty
představení projektu EPIDEM-x, který bude logicky zpracovávat obsah pošty a na základě uživatelem definovaných pravidel informovat uživatele o problémech
14.30	Přestávka
15.00	Ondřej Vlček - Serverové produkty programu avast! - novinka
představení verzí pro ISA server a další, včetně  praktické ukázky
15.30	Diskuse
16:00	Raut
18.00	hra  o exklusivní ceny - bowlingový turnaj ve sportovním centru hotelu DUO
hlavní cena: IPAQ Pocket PC

Účast lze zajistit vhodným e-mailem na adresu mtomiskova@alwil.com :)

Při pohledu do programu mně zaujalo hned několik věcí: Avast! verze 4, podpora dalších OS, řízení přes web, heuristická analýza... Snad se dočkám nějakých podrobnějších informací, zatím žádná odpověd :(



[26.8.2001]
Bennyho další červík...

Benny/29A se po delší době rozhodl ukázat světu své nové dílo, červ/virus I-Worm/WM2k.NeXT. Delší pauza byla způsobena rozruchem, který způsobil jeho předchozí virus WINUX. Jelikož se tento virus dokázal jako první na světě šířit pod Windows i Linuxem zároveň, byly toho tehdy plné noviny...

Zpět však k novince. Virus je rozdělen do dvou částí, díky kterým se dokáže šířit jak přes dokumenty MS Wordu (podobně jako makroviry), tak i přes MS Outlook. V případě MS Outlooku odešle svoji kopii na všechny e-mailové adresy z "knihy adres". V tomto případě jde o "čisto-krevný" EXE soubor, nikoliv dokument MS Wordu. EXE soubor obsahuje ikonku WinZIPu (...takže se může zdát, že jde o archiv) a je komprimován programem tElock 0.80.



[26.8.2001]
PC Viruses ITW, aneb seznam nejrozšířejnějších virů...

Na adrese www.wildlist.org/WildList lze stáhnout seznam nejvíce hlášených virů za srpen. Jako vždy uvádím pouze stručnou verzi. Hodnota pod "Freq" udává množství míst, ze kterých byl daný zmetek hlášen. Za povšimnutí stojí Win32/Sircam.A (Freq:16), který se pomalu tlačí nahoru. Wildlist není bohužel natolik "pružný" aby zachytil aktuální stav zcela přesně. Typoval bych, že Win32/Sircam.A by byl daleko výše. 

Freq  Name                       Type      Aliases
 ============================================================================
  40  | W32/MTX-m............... | File    | Matrix, Apology
  37  | W32/Hybris.B-mm......... | File    | Hybris.23040-mm
  34  | W32/Magistr.A-mm........ | File    | Disembowler
  33  | VBS/VBSWG.J-mm.......... | Script  | Anna K, SST, Kalamar.A,
                                 |         | I-Worm.Lee.o
  32  | VBS/LoveLetter.A-mm..... | Script  |
  30  | W32/Navidad.A-m......... | File    | Navidad-m
  29  | VBS/Stages.A-mm......... | Script  | VBS/ShellScrap-mm
  29  | VBS/VBSWG.X-mm.......... | Script  | HomePage, SST
  28  | JS/Kak.A-m.............. | Script  |
  26  | W95/CIH.1003............ | File    | Spacefiller
  25  | W32/Ska.A-m............. | File    | HAPPY99
  24  | W97M/Ethan.A............ | Macro   |
  23  | W32/PrettyPark.37376-mm. | File    |
  23  | W97M/Marker.C........... | Macro   | W97M/Spooky.C
  22  | W32/BadTrans.A-mm....... | File    | 13312
  22  | W32/Funlove.4099........ | File    |
  22  | W32/Qaz................. | File    |
  22  | W97M/Melissa.A-mm....... | Macro   | Maillissa
  21  | W97M/Thus.A............. | Macro   | W97M/Thursday.A
  20  | O97M/Tristate.C......... | Macro   | O97/Crown.B
  19  | VBS/LoveLetter.AS-mm.... | Script  | VBS/Plan.A-mm
  19  | W32/Navidad.B-m......... | File    | Emanuel-m
  18  | W32/BleBla.B-mm......... | File    | W32/Verona.B-mm
  17  | W32/Prolin.A-mm......... | File    | Creative.A-mm
  16  | VBS/Haptime.A........... | Script  | VBS/Help
  16  | W32/SirCam.A-mm......... | File    |
  16  | WM/CAP.A................ | Macro   |
 ============================================================================



[21.8.2001]
Stále žiju :)

  • Na adrese www.root.cz/clanek.phtml?id=796 lze najít recenzi antivirového systému GeCAD RAV pro Linuxové servery. Hlavní pozornost si zaslouží především způsob licencování. Produkt je totiž licencován na počet domén. Při troše štěstí lze několik tisíc zaměstnanců firmy ochránit za směšných 295 dolarů (cena za dvě domény) !!! U jiných antivirů by se nemuseli doplatit...

  • Peter "Doktor" Kováč informoval na www.itnews.sk/buxus/generate_page.php3?page_id=3453 o zatčení muže, který údajně napsal červa Win32/Leave.

  • Českou skupinu MIONS, která "zaměstnává" několik "pisálků" virů, opustil i člověk, říkající si Wion. Některé části jeho zprávy:
    ...na vojnu sice asi nepujdu, ceka me spis civilni sluzba, ale i presto se nebudu asi nijak zvlast ukazovat na internetu.Nekoncim sice zatim na Vx scene, ale v mions uz dal byt nemuzu....
    ...kdyby mi nevysla ta civilka, tak je mozne ze se rok neuvidime...

    Wion je evidentně optimista :)



    [9.8.2001]
    Kaspersky Anti-Virus for IIS Servers...

    Společnost Kaspersky Lab. (www.kaspersky.com) uvedla svůj nový produkt "Kaspersky Anti-Virus for IIS Servers", jehož vývoj zřejmě značně urychlil červ "Code Red" :) V podstatě jde o ISAPI filtr, který se přidá mezi ostatní ISAPI filtry WWW serveru. Zmiňovaný filtr by měl zabránit průnikům variant červa "Code Red". Jak řiká sám "boss" Eugene Kaspersky, při použití tohoto filtru není potřeba instalovat záplatu od Microsoftu. Budoucí verze filtru bude obsahovat údajně i heuristiku pro detekci neznámých červů kteří využívají "Buffer Overflow", podobně jako "Code Red".

    Bližší informace lze získat na adrese http://www.kaspersky.com/news.asp?tnews=0&nview=8&id=214&page=0]. Filtr můžete sosat z ftp://ftp.kaspersky.com/utils/KAVISAPI.ZIP.



    [8.8.2001]
    PC Viruses ITW, aneb seznam nejrozšířejnějších virů...

    Na adrese www.wildlist.org/WildList lze stáhnout seznam nejvíce hlášených virů (a další havěti) za měsíc červenec. Jako vždy uvádím pouze stručnou verzi. Hodnota pod "Freq" udává množství míst, ze kterých byl daný zmetek hlášen. 

    Freq  Name                       Type      Aliases
 ============================================================================
  39  | W32/MTX-m............... | File    | Matrix, Apology
  34  | W32/Hybris.B-mm......... | File    | Hybris.23040-mm
  32  | VBS/LoveLetter.A-mm..... | Script  |
  32  | VBS/VBSWG.J-mm.......... | Script  | Anna K, SST, Kalamar.A,
                                 |         | I-Worm.Lee.o
  30  | VBS/Stages.A-mm......... | Script  | VBS/ShellScrap-mm
  30  | W32/Magistr.A-mm........ | File    | Disembowler
  30  | W32/Navidad.A-m......... | File    | Navidad-m
  27  | JS/Kak.A-m.............. | Script  |
  27  | VBS/VBSWG.X-mm.......... | Script  | HomePage, SST
  26  | W95/CIH.1003............ | File    | Spacefiller
  25  | W32/Ska.A-m............. | File    | HAPPY99
  24  | W32/PrettyPark.37376-mm. | File    |
  24  | W97M/Ethan.A............ | Macro   |
  23  | W97M/Melissa.A-mm....... | Macro   | Maillissa
  23  | W97M/Thus.A............. | Macro   | W97M/Thursday.A
  22  | W32/Funlove.4099........ | File    |
  22  | W32/Qaz................. | File    |
  22  | W97M/Marker.C........... | Macro   | W97M/Spooky.C
  21  | O97M/Tristate.C......... | Macro   | O97/Crown.B
  19  | W32/BadTrans.A-mm....... | File    | 13312
  18  | VBS/LoveLetter.AS-mm.... | Script  | VBS/Plan.A-mm
  18  | W32/Navidad.B-m......... | File    | Emanuel-m
  17  | W32/BleBla.B-mm......... | File    | W32/Verona.B-mm
  17  | W32/Prolin.A-mm......... | File    | Creative.A-mm
  17  | WM/CAP.A................ | Macro   |
  15  | VBS/Freelink-mm......... | Script  |
 ============================================================================



    [7.8.2001]
    VGREP po roce a půl opět žije !

    "Virový slovník synonym" po roce a půl opět ožil ! Aplikace VGREP (http://www.virusbtn.com/VGrep) umožňuje zjistit, jak který antivirus nazve daný virus. Člověk by nevěřil, co lze v názvech virů všechno najít :) Menší úkázka: 

    Alwil AVAST! 7.70-54     2001-06-28 : NO_VIRUS
DialogSci DrWeb 4.25     2001-06-20 : NO_VIRUS
ESafe Desktop 3.0        2001-06-27 : Sracka.1653
ESET Nodice 1.97         2001-07-09 : UNKNOWN_VIRUS
Frisk F-Prot 3.09c       2001-06-28 : Sracka.1653
Gecad RAV 8.2.1.12       2001-07-06 : Sracka.1653
Grisoft AVG 6.0.264/136  2001-07-02 : MadDaemon
Kaspersky AVP 3.0/133    2001-07-06 : VGOL-based
McAfee Scan 4.5.4 V4146  2001-07-01 : NO_VIRUS
Norman Virus Ctrl 5.10   2001-06-27 : VGOL.1653
Panda Anti-Virus 6.0     2001-07-01 : NO_VIRUS
Sophos Sweep 3.47        2001-07-01 : Vgol.1579-1653
Symantec NAV 5           2001-07-01 : NO_VIRUS
Trend PCScan 7.51 v911   2001-07-01 : VGOL.BR


    [7.8.2001]
    Přírůstek mezi antiviry...

    Na stránce "Antivirové centrum" lze najít dva nové antiviry na odstranění:

  • VBS/Haptime.A@mm, VBS/Haptime.B@mm
  • VBS/Potok@mm

    Oba jsou od společnosti Symantec (www.symantec.com), výrobce antiviru Norton AntiVirus.



    [6.8.2001]
    Nová varianta, CodeRedII (CodeRed.c) je tu !

    V sobotu 4.8. 2001 se na Internetu objevila nová varianta wormu CodeRed. Tato varianta používá pro svoje šíření stejnou bezpečnostní díru jako původní worm. Napadá počítače, na nichž je instalován Microsot IIS Web Server bez opravné záplaty (patch). Z infikovaného počítače se posílá intenzivněji ale po kratší dobu. Nový worm je nebezpečný zejména tím, že do napadeného počítače instaluje jiný program: trojského koně, který pak může fungovat jako zadní vrátka a může umožnit neautorizovaný vstup do napadeného systému. O půlnoci dne 1. října se worm navždy deaktivuje. Worm na rozdíl od původní varianty nepodstrkává uživatelům modifikované WWW stránky, neprovádí distribuovaný útok na jediný počítač (Bílý dům), jeho jediným cílem je dostatečně rozšířit počet počítačů se zadními vrátky do systému. Pokud se mu podaří napadnout podobný počet počítačů jako původnímu wormu (kolem 300 000), pak může být vážně ohrožena integrita Internetu: tak velký počet serverů, nad nimiž může mít kontrolu třetí strana, znamená obrovské bezpečnostní riziko. Správci takových systémů navíc nemohou mít jistotu, zda jim pomocí těchto zadních vrátek někdo nepřidal do systému něco dalšího. A tak zatímco proti původnímu wormu stačilo uplatnit příslušnou záplatu a server přestartovat, v tomto případě je nejspolehlivější metodou přeformátování disku a nová kompletní instalace systému.

    Zdroj: Alwil software - výrobce antiviru AVAST



    [4.8.2001]
    Červ Sircam.A trhá rekordy !

    Červ Sircam.A se šíří stále velice vesele. Zatímco populární červ "I_love_you" (VBS/LoveLetter.A) byl záležitostí doslova na několik hodin, červ Sircam.A obtěžuje statisíce lidí již několik dní. Od objevení tohoto červa mi bez přestávek chodí den co den mimimálně jeden infikovaný e-mail. Nové návštěvníky upozorňuji, že "postižený" e-mail obsahuje hned na začátku text "Hi! How are you?". Pokud jste nějakou takovou zprávu obdrželi, doporučuji se ji vyhnout, popřípadě ji rovnou smazat.

    Jednoúčelových antivirů proti červu Sircam.A rapidně přibylo, zatím na mně nejlépe zapůsobil ten od Symantecu (FixSirc.com).

    Mimochodem, už k Vám Sircam.A přitáhl nějaký ten dokument s důležitým, či tajným obsahem ? Sircam.A na mně zatím zapůsobil pouze s dokumentem MS Wordu: Minipivovar Vietnam.doc.pif :)



    [4.8.2001]
    Červ "Code Red", aneb bojíme se novinářů :)

    Červ "Code Red" jednoznačně dokazuje obrovskou pracovitost některých novinářů. Ti většinou dostupné informace (potud ještě zcela pravdivé) upravují tak, aby jim sami rozumněli. Výsledkem je například:

  • "Code Red napadá počítače s operačními programy Windows 2000 a Windows NT firmy Microsoft."
    Igi/SPRÁVNĚ: šíří se na systémech Windows NT a 2000 s nainstalovaným IIS, které nemají pár měsíců starou záplatu na jednu díru (cituji p. Tomáše Holčíka,     www.zive.cz). V praxi to znamená asi to, že uživatel, využívající Windows NT/2000 pro spouštění oblíbeného textového editoru MS Word a surfování po Internetu prostřednictvím modemu může být v klidu.

  • "Program Code Red je vir červího typu."
    Igi: Tak tohle je opravdu vrchol. Virus je virus a červ je červ. Nelze tedy prohlásit, že jde o "vir červího typu". Rozdíl mezi červem a virem je více než patrný (více zde). V dnešní době se většinou pojmem "červ" (poněkud nesprávně) označuje typ infiltrace, která do počítače proniká prostřednictvím elektronické pošty. Vůči červu Code Red je to trochu nefér, metoda šíření Code Red je totiž zcela odlišná (dírá v IIS). Vzhledem k tomu, že prvním populárním Internetovým červem se stal (tuším, že někdy v roce 1988) tzv. "Morrisův červ", který se v některých ohledech podobá "rudému kódu", dovolil bych si "Morrisův červ" a Red Code označit za PRAVÉ ČERVY a "havěť" šířící se elektronickou poštou pouze za "červy" v uvozovkách.

    Za vrchol považuji rozhovor s ing. Miluší Šubrtovou (pravděpodobně v pořadu "21" na ČT2). Jen některé nesmysly:

  • Redaktor: Dá se krátce říci, v čem je rozdíl mezi červem a virem ?
    ing. Miluše Šubrtová: Vir je pouze působící na řekněme část souboru, který se vlastně pohybuje jen v této části, kdežto červ je v podstatě součástí několika souborů, který mají charakteristiku třeba svojim jménem vstoupit do několika systémů naráz a tím je v podstatě poškodit.

    Igi: Kdo to pochopil, ať dá vědět na igi@viry.cz. Doporučuji radši navštívit Knihu o virech :)

  • Redaktor: Má už Code Red nějakého předchůdce ?
    ing. Miluše Šubrtová: Má, ve své podstatě jsou to všechny řady virů, červů typu I Love You, I Form, Melissa...

    Igi: Za předchůdce lze považovat tak maximálně "Morrisův červ". Vysvětlení jsem uvedl nahoře.

  • Kompletní rozhovor ve formátu MP3 lze stáhnout z http://pws.prserv.net/fpl/miluse.mp3, příjemnou zábavu :)

    Zpět

    		•