Novinky: Březen 1999

[30.3.99]
X97M.Papa, trochu lepší Melissa...
Novinkou je informace o makroviru pro Excel 97. Narozdíl od W97M.Melissa však využívá pro své šíření pouze Outlook (podobně jako Melissa) a nešíří se do dalších tabulek. Jedná se tedy o makrovira-červa (worm).

[30.3.99]
Vážný problém i u nás a na slovensku !!! - W97M.Melissa po druhé !!!
Ze slovenska mně to oznámil Luboš Vrtík (specialista na makroviry - produkt HMVS). U nás o makroviru Melissa informuje Alwil, ale především Grisoft, jenž na konferenci AVG uveřejnil tento text (autorem je Petr Odehnal):

Letos se uz se objevilo par viru, ktere demonstrovaly moznost zneuziti internetu k vykradani vasich dat (W97M/Caligula), posilani otravnych mailu (W97M/ColdApe) a sireni sebe sama (Happy99 aka Win32.SKA).

W97M/Melissa na to jde ponekud dukladneji - poprve se objevil pred ctyrmi dny a dnes predstavuje vazny problem i u nas (obvykle byva "dopravni zpozdeni" mezi US a CR vice nez tyden).

Strucny popis prikladam. Aktualizace 029, ktera ho umi detekovat a lecit, bude na Webu dnes vecer (takze do zitrejsiho rana by se mela "promirrorovat" na vsechny nase stranky).


W97M/Melissa

Relativne jednoduchy makrovirus, ktery se dokaze sirit pod Wordem z Office 97 a Office 2000. V prostredi Office 97 blokuje pristup k polozce Makra v menu Nastroje a zakaze Wordu ptat se na potvrzeni konverze dokumentu a ulozeni zmen v NORMAL.DOT.

V prostredi Office 2000 W97M/Melissa nastavi antivirovou ochranu (Security level) na nejnizsi moznou hodnotu. "Nejzabavnejsi" je schopnost tohoto viru vyuzit instalovany MS Outlook pro rozesilani infikovanych dokumentu. Vytahne si prvnich padesat adres z kazdeho uzivatelskeho adresare a odesle na ne mail se Subjectem:
  Important Message From _doplneno_vase_jmeno_
a s timto obsahem:
  Here is that document you asked for ...
  don't show anyone else ;-)
Infikovany dokument je prilozen k teto zprave. Aby to bylo jeste puvabnejsi, tak se W97M/Melissa neobtezuje vytvorenim nejakeho noveho dokumentu, ale posle ten, na kterem prave pracujete. Takze vas (mozna celkem soukromy) dokument vzapeti obdrzi par set lidi. Mila predstava, ze ?

Jakmile je rozesilani ukonceno, tak si Melissa do registry pro Office nastavi klic "Melissa?" na hodnotu "... by Kwyjibo" a podle toho priste pozna, ze vase adresy uz obhospodarila a nemusi se znovu namahat.

Pokud pri zavirani dokumentu odpovida datum minute, tak W97M/Melissa vlozi do vaseho textu odstavecek:
  Twenty-two points, plus triple-word-score,
  plus fifty points for using all my letters.
  Game's over.  I'm outta here.
Ve zdrojovem textu je jeste tento komentar:
  'WORD/Melissa written by Kwyjibo
  'Works in both Word 2000 and Word 97
  'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
  'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!

[28.3.99]
W97M.Melissa - nový, rychle se šířící makrovirus...
O makroviru Melissa, který se dokáže šířit pod Wordem 97 a Wordem 2000 (Office 2000) informuje několik antivirových společností. Díky "propojenosti" jednotlivých aplikací Microsoftu dokáže využít program OutLook na odeslání své kopie dalším lidem. Makrovirus neobsahuje žádnou škodlivou činnost, pouze za určitých okolností vkládá do dokumentu vlastní kus textu. Jak makrovirus Melissa dokazuje, nedělá mu antivirová ochrana programu Word 2000 žádné problémy, protože ji dokáže zcela vypnout...

[28.3.99]
easyHMVS
Na stránce "Download" si nyní můžete stáhnout můj program, který značně ulehčí manipulaci s antivirem HMVS. Díky nadstavbě easyHMVS už nemusíte k ovládání používat příkazový řádek, nýbrž grafické prostředí. Program je určen pro Windows 95/98/NT.

[24.3.99]
Napadá i soubory s nápovědou HLP !!! - Virus Win95.SK
O virus Win95.SK informuje společnost Kaspersky Lab (AntiViral Toolkit Pro). Jedná se o pamětově rezidentní a polymorfní virus pro Windows 95/98. Zajímavostí však je i to, že virus dokáže pro své šíření využít i soubor s nápovědou (HLP). V HLP souboru totiž lze programovat makra, čehož virus využívá. Win95.SK též vkládá droppery (vypouštěče viru) do některých archivů (RAR,ARJ...). Destrukční akce je velmi nebezpečná - aktivuje se při spuštění některých antivirových programů, a projevý se zníčením dat na disku.
Jak dále Kaspersky Lab informuje, nelze díky některým nedostatkům očekávat nijak závažné rozšíření tohoto zajímavého viru.

[19.3.99]
AVAST32 3.0 je tu !
Nový antivirový systém byl oficiálně představen včera. Na stránkách Alwilu (http://www.asw.cz) lze získat podrobnější informace, ale můžete si tam stáhnout i demo verzi, která má bohužel skoro 10 MB. Takže pokud jste připojeni podobně jako já přes modem, zřejmě máte po radosti...
Na moji recenzi tohoto produktu si budete muset ještě nějakou tu dobu počkat, než se ke mně Avast32 3.0 dostane jinou formou než přes telefoní linku.

[18.3.99]
Březnový In-the-Wild list lze stáhnout zde.

[15.3.99]
VTC již brzo uvede kompletní výsledky testu antivirových skenerů...
Výsledky lze očekávat zde.

[15.3.99]
Jak se dělá špatná reklama...
předvedli pánové z Kaspersky Lab (tvůrci antiviru AVP). Na adrese http://www.kasperskylab.ru/english/news/press/990311-a.html totiž píšou o perfektních výsledcích, které AVP získalo v posledním testu Virus Bulletin. K dispozici je i srovnávací tabulka, která je úmyslně zkrácena tak, aby to vypadalo, že "AVPčko" dopadlo nejlépe ze všech !

Plné výsledky testů Virus Bulletin lze získat přímo na této stránce, přesněji zde.

[15.3.99]
DataFellows informuje o makroviru WM97/Sattelite.
Nejde o žádný nový makrovirus, ale z původního textu lze usoudit, že se šíří více, než je zvykem. Makrovirus (de)kóduje svoje tělo "za-letu" (kódování je založeno na funkci XOR). Navíc modifikuje registry, čímž se postará, že vlastníkem instalace Windows je "ThE wEiRd GeNiUs".

Bližší informace lze získat přímo na adrese http://www.datafellows.com.

[10.3.99]
W97M/Marker alias HSFX.
Jak informuje DataFellows (F-Secure Antivirus), Marker je další makrovirus pro Word97, který shromažďuje informace z Wordu, a zasílá je přes internet (FTP) k organizace CodeBreakers.org (jedná se o skupinu, která píše viry). Virus je v tomto velmi podobný makroviru Caligula (viz. novinka 4.2.99). Na konci těla makroviru je připojen seznam, do kterého se přidávají informace získáné z napadeného počítače (čas, datum, uživ. jméno, adresa).

Bližší informace lze získat přímo na adrese http://www.datafellows.com.

V těchto dnech jsem tu právě rok, co jsem Vás začal o počítačových virech-antivirech informovat. Doufám, že podobnou zprávu budu moci radostně napsat i za rok...

[5.3.99]
Nové testy antivirových skenerů...
provedl časopis Virus Bulletin (pro Windows NT). Vychutnejte si kompletní výsledky tohoto testu, které nejsou a nebudou nikdy zobrazeny ani na samotných stránkách časopisu Virus Bulletin !!! Kompletní výsledky testu najdete přímo zde. Rozcestník na další kompletní výsledky testů (včetně vysvětlení) najdete zde.

[5.3.99]
Dnes je toho hodně...
Nejlépe když začnu u nás doma: "Soubor antivirových programů AVAST32 pro Windows 95/98/NT firmy Alwil Software byl vybrán na internetovou stránku firmy Microsoft jako WUGNET SHAREWARE OF THE WEEK" - o tom podrobně informuje server Živě ze dne 4.3.99. Trochu stručnější jsou přímo na stránkách Alwilu.

Novinka padla i u Grisoftu, tam se totiž objevila nová slibně vypadající beta verze AVG 6.0 b24. Zatím Vám z ní přináším jen následující obrázek...
Ze zahraničí: Na této adrese vyšel nový, únorový InTheWild List.

Příznívci Linuxu si příjdou na své, protože společnost Kaspersky Lab vydala první beta verzi antiviru pro Linux (AntiViral Toolkit Pro). Bližší informace lze najít třeba na http://www.avp.ch, či http://www.avp.ru.

Nemusel bych zapomenout ani na slovenský antivirus NOD32 1.15 (http://www.eset.sk), který zřejmě jako první na světě používá heuristickou analýzu na makroviry aplikace PowerPoint. Jejich výskyt je prakticky nulový, takže se jedná spíše o kosmetický doplněk. NOD si zaslouží velkou pochvalu, protože již popáte z pěti testů Virus Bulletin získal ocenění Virus Bulletin 100% (například AVAST! v posledních dvou testech neuspěl).

[2.3.99]
E-mailová konference Grisoftu, aneb co dokáže způsobit otázka "Kdo pouzivate Outlok Expres ?"...
Když jsem dneska vybíral poštu, byl jsem zděšen. Během jednoho dne mně přišlo přes 20 zpráv (vcelku dost). Po krátkém rozboru jsem zjistil, že zprávy přisly (ve většině případů) z "Konference Grisoft", ve které můžou uživatelé AVGčka pokládat otázky všem ostatním členům konference (i autorům AVGčka).
Teď ale k věci: Vše to začalo o půl jedenácté v noci - 1.března, kdy jeden nejmenovaný člen konference položil otázku "Kdo pouzivate Outlok Expres ?". První odpovědi začaly do konference chodit druhý den ráno, a chodí do teď -do večera. Jsem zvědav, zda podobná smršť bude následovat i zítra...