Igiho strßnka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor
[31.1.2002]
Konec test∙ Φasopisu Virus Bulletin na viry.cz ?

VB P°φmo od novΘ Üefredaktorky Φasopisu Virus Bulletin (www.virusbtn.com) mi p°iÜel nepot∞Üujφcφ e-mail o tom, ₧e zve°ejn∞nφm test∙ VB na viry.cz poruÜuji autorskß prßva. Dostal jsem zßrove≥ povinnost tyto testy z viry.cz odstranit do 11.·nora :-(
Konec konc∙, je to jejich blbost, sami se odsoudili k tomu, ₧e kompletnφ v²sledky uvidφ pouze "vyvolenφ", kte°φ jsou ochotni platit za Φasopis 225 liber roΦn∞... Umφrej v pokoji...

Tak₧e poslednφ mo₧nost uvid∞t kompletnφ v²sledky test∙ VB mßte tady.

[29.1.2002]
Upgrade poÜtovnφch server∙ je nynφ vφce ne₧ vhodn²...

Zp∙sob, jak²m je Φerv I-Worm/MyParty p°ipojen k e-mailu, toti₧ dokßzal p°ekvapit n∞kterΘ poÜtovnφ servery s antivirovou kontrolou. Podle dostupn²ch zprßv dokß₧e tento Φerv p°es antivirovou ochranu poÜtovnφho serveru p°ejφt bez ohlßÜenφ infekce ! Chyba nenφ v antivirech, ale v tom, ₧e n∞kterΘ poÜtovnφ servery nedokß₧ou infikovanou p°φlohu "p°edhodit" antivirovΘmu programu. Zp∙sobeno je to Üpatn²m pou₧itφm metody UUENCODE, kterou je infikovanß p°φloha k≤dovßna. P°es poÜtovnφ server tak p°ejde infikovanß zßsilka zcela v klidu, dojde a₧ na cφlovou stanici u₧ivatele s MS Outlookem a prßv∞ tam se doΦkßme hlavnφho p°ekvapenφ... MS Outlook dokß₧e Üpatnou p°φlohu automaticky opravit a u₧ivateli p°edlo₧it pln∞ funkΦnφ Φerva !!! No nenφ to parßda ? :-)

ProblΘm se u nßs t²ka p°edevÜφm t∞chto poÜtovnφch server∙:

  • Mail602 Messaging Server
  • Kerio MailServer

    Podle vyjßd°enφ spoleΦnosti Software602 by se aktualizace °eÜφcφ tento problΘm m∞la objevit jeÜt∞ dnes, pravd∞podobn∞ zde. Na konferenci AVG se objevilo jejich stanovisko k tΘto situaci. V p°φpad∞ Kerio MailServeru je ji₧ oprava souΦßstφ dneÜnφ novΘ verze 5.04 zde.

    [28.1.2002]
    Pozor na soubor www.myparty.yahoo.com !!!

    Po sv∞t∞ se vesele Üφ°φ nov² Φerv I-Worm/Myparty.A. èφ°φ se prost°ednictvφm elektronickΘ poÜty, p°esn∞ji v souboru s netypick²m nßzvem www.myparty.yahoo.com, kter² tvo°φ p°φlohu e-mailu.

    Infikovanß zprßva vypadß nasledovn∞:

    Subjekt/P°edm∞t: 

    new photos from my party!
    T∞lo zprßvy: 
    Hello!

My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

  • Podrobn∞jÜφ informace o tomto Φervu + nßvod na ostran∞nφ najdete ZDE !!!

    [20.1.2002]
    Kaspersky Anti-Virus 4.0 oficißln∞ !

    Kaspersky AntiVirus 4.0 SpoleΦnost Kaspersky Lab. (www.kaspersky.com) oficißln∞ p°edstavila novou verzi svΘho antiviru. I kdy₧ se v tiskovΘ zprßv∞ uvßdφ, ₧e jde o revoluΦnφ novinku, oproti verzi 3.5/3.6 nevidφm v∞tÜφ rozdφly. N∞kterΘ Φßsti se dokonce nezm∞nily v∙bec (i kdy₧ se "vytahujφ" Φφslem "4.0"), jde o KAV Inspector a o n∞kterΘ nßpov∞dy (v nich lze Φasto najφt odkaz na verzi "3.5"). Rychl² test odhalil, ₧e KAV 4.0 je velik² ₧rout operaΦnφ pam∞ti. "Se₧rat" 30 MB operaΦnφ pam∞ti pro n∞j nenφ ₧ßdn² problΘm...
    Detaily v recenzi, d°φve vÜak Panda Titanium :-)

    [12.1.2002]
    ╚ech Benny/29A je zase prvnφ na sv∞t∞ !

    Benny/29A (benny@post.cz) je autorem novΘho viru, tentokrßt prvnφho na sv∞t∞ pro architekturu Microsoft .NET ! Virus se jmenuje Donut. Benny/29A je evidentn∞ rßd stßle prvnφ. Sv∞dΦφ o tom i n∞kterß jeho d°φv∞jÜφ dφla, jmenujme nap°φklad:

  • Virus Win32/Installer - Prvnφ virus p°φmo pro MS Windows 2000.
  • Virus Win32/Linux.Winux - Prvnφ multiplatformnφ virus - Windows <-> Linux.
  • Virus Win32/Stream - Prvnφ virus vyu₧φvajφcφ streams (Φlßnek).

    No a te∩ u₧ samotn² proslov, jeho₧ autorem je sßm autor viru Donut, Benny/29A:

    Tak u₧ je to zase tady :-)

    9.1.2001 se mi poda°ilo dokonΦit m∙j novej virus, kterej jsem nazval .NET.dotNET (AV firma F-Secure si ho p°ejmenovala na W32.Donut - koblφ₧ek :-). Vzhledem k tomu, ₧e moje dφlo op∞t vyvolalo vlnu reakcφ (prvnφ virus pro .NET je z ΦeskΘ republiky atd...), po₧ßdal m∞ Igi, abych napsal kratÜφ Φlßnek na toto tΘma. Tak tady je.

    O architektu°e Microsoft .NET (Φti "dotnet") se zaΦφnß hodn∞ mluvit. Podle MS to mß b²t budoucφ platforma pro budoucφ poΦφtaΦov² pr∙mysl (nejen poΦφtaΦe, ale i mobily, televize atd...) a v souΦasnΘ dob∞ se ji sna₧φ hodn∞ prosazovat (viz http://www.microsoft.net). Zatφm sice neexistuje operaΦnφ systΘm, kter² by um∞l p°φmo s aplikacemi .NET pracovat, existuje nicmΘn∞ v²vojovΘ a b∞hovΘ prost°edφ, kterΘ ve svΘ druhΘ beta-verzi poskytuje programßtor∙m mo₧nost zaΦφt programovat pro tuto architekturu ji₧ te∩. Trochu to p°ipomφnß krok MS, kdy₧ v roce (tuÜφm) 1994 zaΦal prosazovat architekturu Win32 (Win95, WinNT) - programßtor∙m pod Win16 (Win 3.1, Win 3.11) poskytl platformu Win32s, kterß ΦßsteΦn∞ umo₧≥ovala Win32 prost°edφ vyu₧φvat. Byl to logick² krok ze strany MS, kter² se sna₧il p°inutit programßtory zvyknout si na nov² styl programovßnφ u₧ p°ed vydßnφm samotnΘho OS.

    V souΦasnΘ dob∞ tedy existuje Microsoft .NET Framework SDK a Visual Studio.NET, dva produkty, kterΘ umo₧≥ujφ v²voj .NET aplikacφ. Zde je pro nßs d∙le₧itΘ prost°edφ Microsoft Common Language Runtime (CLR) - to umo₧≥uje b∞h .NET aplikacφ v dneÜnφch operaΦnφch systΘmech. Zßkladem dneÜnφho .NET nßvrhu je Microsoft Intermediate Language (MSIL) - platformov∞ nezßvisl², Φist∞ objektov² metak≤d (byte-k≤d, pseudo-k≤d, p-k≤d, ...), velmi podobn² Jav∞. Faktem je, ₧e p∙vodn∞ se MS sna₧il p°evzφt Javu, ovÜem kv∙li neshod∞ se Sun Microsystems (kterΘ se z°ejm∞ nelφbily plßny, kterΘ m∞l MS s jejich Javou) musel MS vymyslet vlastnφ, platformov∞ nezßvisl² jazyk. A vymyslel si MSIL, co₧ se dß pova₧ovat za nßhradu assembleru, strojovΘho k≤du. Samoz°ejm∞, musel takΘ poskytnout programßtor∙m n∞jak² vysoce funkΦnφ objektov∞ orientovan² jazyk, kter² by je p°ilßkal a nauΦil je efektivn∞ .NET aplikace programovat (a kter² by se dal do MSIL snadno p°evΘst). A vymyslel si C# (Φti "C sharp"). C# je zßkladnφm programovacφm jazykem pro .NET, ale nenφ samoz°ejm∞ jedin². Existuje takΘ nov² VisualBasic a J#, velmi podobn² Jav∞ a ASP.NET. Na podpo°e .NET ve starÜφch jazycφch od jin²ch softwarov²ch dodavatel∙ se nynφ udajn∞ takΘ pracuje (nap°. Perl). Teoreticky je jedno, v jakΘm jazyce program napφÜete, v²sledek by m∞l b²t ·pln∞ stejn² (proto₧e se program stejn∞ p°evede na jednotn² MSIL).

    Takto napsanΘ programy, jak jsem ji₧ °ekl, mohou v souΦasnΘ dob∞ pracovat pouze s nainstalovan²m MS CLR. Nynφ se kompilujφ do specieln∞ upravenΘho Win32 PE souboru, v novΘm .NET operaΦnφm systΘmu by se m∞ly ji₧ uklßdat do normlßnφho meta-souboru, kter² bude um∞t OS nativn∞ vykonßvat. Takto upraven² PE soubor de-facto pouze natßhne b∞hovΘ prost°edφ .NET, kterΘ se u₧ o vykonßnφ metak≤du postarß. Navenek se tedy chovß jako standardnφ EXE soubor, kter² se nikterak neliÜφ od standardnφch (EXE) program∙.

    Virus dotNET vyu₧φvß tΘto doΦasnΘ vlastnosti MS CLR - p°epφÜe relokaΦnφ Φßst PE souboru t∞lem viru, uschovß p∙vodnφ metak≤d, nahradφ ho vlastnφm, vyma₧e zßznam o CLR hlaviΦce a p°epφÜe adresu b∞hovΘho prost°edφ adresou relokaΦnφ sekce (tedy adresou viru). Takto upraven² PE soubor mφsto spuÜt∞nφ .NET aplikace nejprve spustφ samotn² virus, kter² obnovφ zßznam o CLR hlaviΦce a aktivuje virov² metak≤d. V poslednφ fßzi obnovφ i hostitelsk² metak≤d a spustφ jej - tφm zajistφ i vykonßnφ hostitelskΘho k≤du.

    Virus mß op∞t poslou₧it pouze jako ukßzka, ₧e i infekce .NET aplikacφ je mo₧nß. I kdy₧ se m∙₧e spustit teprve ve druhΘ beta-verzi spouÜt∞cφho prost°edφ .NETu. Nadchßzejφcφ nativnφ .NET operaΦnφ systΘm (WinNT 6.0 - BlackComb) s nejv∞tÜφ pravd∞podobnostφ spuÜt∞nφ dotNETu neumo₧nφ, nicmΘn∞ nemßm strach, ₧e ve 29A na nic nep°ijdeme ;-)

    Bennymu za dodan² materißl d∞kuji !



    [9.1.2002]
    "Virus" se nevyhnul ani soubor∙m SWF - Macromedia Shockwave

    Na sv∞t∞ je nov² "virus" oznaΦovan² jako SWScript/LFM. Ten dokß₧e p°i hodn∞ velkΘm Üt∞stφ napadnout soubory SWF, kterΘ jsou produktem aplikace Macromedia Shockwave.
    Macromedia Shockwave se Φasto pou₧φvß na vytvß°enφ reklamnφch banner∙ Φi animacφ na www strßnkßch.

    Pro Üφ°enφ tohoto skriptu je nutnΘ splnit n∞kolik podmφnek. Jednak se u₧ivatel musφ opravdu hodn∞ sna₧it (manußln∞ jist² soubor stßhnout a spustit), dßle pak musφ vlastnit plnou verzi programu Macromedia Shockwave. "Plug-in", kter² je souΦßstφ Internet Exploreru je pro Üφ°enφ tohoto "viru" nedostaΦujφcφ.

    Verdikt: zatφm m∙₧eme b²t v klidu, ne₧ "pisßlkovΘ" p°φjdou s n∞Φφm ·Φin∞jÜφm :-)

  • Na zßv∞r dotaz a odpov∞∩ Petra Odehnala ze spoleΦnosti Grisoft (AVG antivirus - www.avg.cz):

    DOTAZ: Budou ostatni antiviraky scannovat *.SWF a detekovat v nich viry?

    ODPOV╠╧: Budeme muset. Tahle konkretni zalezitost je sice jenom v podstate neskodny "proof of concept", ale urcite to neni posledni zneuziti SWF.

    BTW. Opet to funguje na principu vyrobeni a spusteni davky, ktera pomoci debug.exe vyrobi binarni soubor. Fakt neni spatny napad uzivatelum na jejich pocitacich ten debug.exe smazat - viry jsou asi uplne posledni programy, ktere ho jeste obcas pouzivaji.

    [8.1.2002]
    Nov² antivirus: Kaspersky Anti-Virus 4.0

    I kdy₧ oficißlnφ strßnky spoleΦnosti Kaspersky Lab. mlΦφ (www.kaspersky.com), na nφ₧e uvedenΘm serveru lze stßhnout novou verzi tohoto antiviru: Kaspersky Anti-Virus 4.0. Zatφm nemohu potvrdit, zda jde o finßlnφ, Φi beta verzi. Tak₧e pozor !!!

    Zde jsou slφbenΘ odkazy na t°i edice (stahujte p°es volbu Ulo₧it cφl jako p°es pravΘ tlaΦφtko myÜi):

  • Kaspersky Anti-Virus 4.0 Lite EN (8,9 MB)
  • Kaspersky Anti-Virus 4.0 Personal EN (11,5 MB)
  • Kaspersky Anti-Virus 4.0 Pro EN (12,6 MB)

    [6.1.2002]
    RECENZE PRODUKTU NORTON ANTIVIRUS 2002

    Norton AntiVirus 2002 Po delÜφ dob∞ je tu dalÜφ velkß recenze antivirovΘho programu. Tentokrßt jde o produkt Norton AntiVirus 2002, kter² zap∙jΦila spoleΦnost Virklis (www.virklis.cz). V²sledek mΘho sna₧enφ si m∙₧ete p°eΦφst ZDE !!!.

    DalÜφ rozsßhlejÜφ recenze se blφ₧φ ! KonkrΘtn∞ p∙jde o Kaspersky AntiVirus, Panda Titanium a NOD32.

    [2.1.2002]
    Akce spoleΦnosti AEC v roce 2002

    Zde lze najφt p°ehled akcφ, kterΘ po°ßdß spoleΦnost AEC (www.aec.cz) v roce 2002.

    Zp∞t

    		•