Novinky: Červenec 1999

[24.7.99]
Rozruch kolem článku o červech na serveru Svět Namodro...
Nedávno jsem napsal pro server Svět Namodro článek (zde) o počítačových červech. Kolem článku se objevil celkem velký rozruch. Ten způsobilo hlavně tvrzení, že Happy99 či ExploreZIP jsou červi a taky tvrzení, že Happy99 je prvním červem, který se uspěšně šířil (a stále šíří). Za tvrzením, že Happy99 či ExploreZIP jsou červi si budu pevně stát až do doby, kdy antiviroví odborníci vymyslí pro tyto programy lepší označení. Programy typu Happy99 by si zřejmě zasložily nějaké jiné označení, protože srovnávat je s červem "od Morrise" je jako srovnávat Trabanta s Mercedesem...

[16.7.99]
Back Orifice 2000 ještě jednou... - infikován byl již originál !!!
Jak se ukázalo, program Back Orifice 2000 byl infikován virem CIH i na CD, které nabízeli přímo autoři na výstavě DefCon ! Autoři programu to dlouho popírali, ale včera to proniklo na povrch - viz. stránka http://www.cultdeadcow.net.

[15.7.99]
Back Orifice 2000 + CIH
Petr Odehnal měl pravdu, když tvrdil (13.7.99), že některé z kopií programu BO2000 jsou napadeny virem CIH. Infikovanou verzi bylo možno stáhnout i z velmi kvalitní stránky TheNoMercyTeam (pokud někdo zná nějakou lepší, ať se ozve). Za nějakou dobu se tam však objevil již neinfikovaný soubor s výstižným názvem "bo2k_no_cih.zip"...

[13.7.99]
Back Orifice 2000 - někdy užitečný, někdy nebezpečný...
Jelikož řada serverů informovala o tomto novém programu, přidám se k nim taky. Back Orifice je prostě program, který někomu nasadíte na počítač a prostřednictvím internetu můžete na dálku provádět s "infikovaným" počítačem prakticky cokoliv (manipulace se soubory apod.) Petr Odehnal z Grisoftu varuje: Bezpochyby se i tady najdou naruzivi hledaci a zkouseci podobnych nesmyslu, takze jenom male varovani: Nektere z kopii BO2000, ktere se potuluji po internetu, jsou infikovany CIHem.

[11.7.99]
Zajímavosti.
Luboš Haško napsal krátce o moji stránce na serveru ŽIVĚ. Tímto mu děkuji !

Na stránce Symantecu ( www.symantec.com ) lze stáhnout beta verzi antiviru Norton AntiVirus 2000.

Stránka společnosti DataFellows ( www.datafellows.com ) má nový grafický design.

Poslední aktualizace (build 65) programu AVG 6.0 byla díky chybě stažena z dosahu uživatelů. Chyba se projevuje modrou obrazovkou (Blue Screen of Death), která se může objevit při spuštění rychlého testu (mně však build 65 pracuje bez problémů).

[7.7.99]
Kompletní výsledky testu časopisu Virus Bulletin za červenec 99...
lze najít spolu s dalšími zde. Tomu, kdo mi je poslal patří poděkování...

[7.7.99]
Srovnávací testy antivirů v červencovém časopisu PC Magazine (Czech Edition).
V posledním PC Magazínu se objevil srovnávací test několika antivirových programů. Bohužel antiviry AVG 6.0 a AVAST 3.0 byly testovány zcela odlišně a tak nemohly být zahrnuty do hlavního "startovacího pole". To svědčí o tom, že tyto testy neproběhly u nás, ale někde v zahraničním PC Magazinu. Pak však nechápu, proč Norton AntiVirus 5.0 dostal ocenění "Editors' Choice - PC Magazine - Czech Edition. Pochybuji, že někdo z českých redaktorů ten test prováděl... Bůh ví, na čem prováděli testy detekce (možná na těch deseti makrovirem - to se toho hodně pozná...). Odstraňování virů se provádělo pouze na makrovirech, nezapomělo se přitom na to, zda byly/nebyly odstraněna makra, která viru nepatří. Pokud by se testovalo i léčení souborových virů, Norton AntiVirus 5.0 by zřejmě nikdy nevyhrál (viz. můj test). U F-Secure antiviru pak padla hloupá věta o antiviru AVP - "Druhý antivirus AVP působí podle našeho názoru pouze jako doplněk programu F-Secure". Já osobně myslím, že bez toho "doplňku" by F-Secure dopadnul daleko hůře...
PC Magazine je populární díky "benchmarkům" - tj. měření nejvyššího výkonu stupidními programy jako ZD Winstone 99 apod. Bohužel se "benchmark" nevyhnul ani srovnávacímu testu antivirů. Tentokrát měřili zatížení procesoru při provozu rezidentního skeneru... Už delší dobu však vím, že "benchmarky" jsou naprosto na nic. Svědčí o tom i moje CD-ROM BTC 40x, které tehdy naměřili nejvyšší přenosovou rychlost ze všech testovaných mechanik (tuším 1200 něčeho - asi "Winstounů"), v praxi je však ta CD-ROM díky stupidní inteligenci nepoužitelná (pokud však dosáhne nejvyšší přenosové rychlosti je zřejmě nepřekonatelná, ale to se stane opravdu jen málokdy...).

O nesmyslnosti benchmark testů informoval nedávno i server www.root.cz a já s autorem textu naprosto souhlasím.

[7.7.99]
Další ubožák, který si zaslouží pozornost - virus Win32.HLLC.Nan.
Jedná se o doprovodný (ale silně omezený) virus pro Win32 napsaný v Delphi. Má něco kolem 90 kB a obsahuje několik nepříjemných činností. V lepším případě se postará o to, aby všechny *.URL soubory směřovaly na adresy: www.hustler.com, www.playboy.com nebo www.penthouse.com. V horším případě přepíše a smaže některé soubory. Občas taky vypne Windows, nebo vytvoří 700 000 000 adresářů s náhodnými názvy (takový disk bych nechtěl vidět). Dokonce někdy i vypustí virus W95/CIH do souboru C:\DAPARTY.EXE a spustí ho.

Společnost Kaspersky Lab (AVP) vydala nový update, který dokáže tento "virus" detekovat. Určitě to však nebude z důvodu, že se rychle šíří...

[4.7.99]
Nové viry na prázdniny...
Začátek měsíce je velmi bohatý, objevili se totiž viry:

W97M/Story & mIRC/Story

Makrovirus pro Word 97. Pokud existuje soubor c:\mirc\mirc32.exe, smaže soubor script.ini (z c:\mirc). Pak vytvoří nový soubor script.ini, do kterého vloží skript mIRC - mIRC/Story. Aktivní (a infikovaný) dokument Wordu je uložen do souboru c:\windows\story.doc, který se pak mIRC/Story snaží odesílat do aktivního kanálu IRC.

VBS/FreeLinks

Kódovaný VB Script virus šířící se emailem, přes síťové disky a IRC. V emailové zprávě s názvem "Check this" se šíří jako příloha. Po spuštění VBS skriptu se zobrazí zpráva: "This will add a shortcut to free XXX links on your desktop. Do you want to continue ?". Pokud souhlasíte, virus vytvoří .URL soubor obsahující adresu "http://www.sublimedirectory.com/". Virus taky vytvoří soubor c:\windows\system\rundll.vbs a modifikuje registry (\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RUN\Rundll) tak, aby se VBS skript spouštěl při každém startu Windows. Díky tomu pak může kontrolovat, zda jsou instalováni klienti mIRC nebo PIRCH IRC a odesílat svoji kopii ostatním uživatelům stejného IRC kanálu. Pokud je počítač instalován v síťi, snaží se virus rozmnožit po síťových discích. Prostřednictvím emailu se šíří podobně jako makrovirus W97M/Melissa - svoji kopii odesílá ve formě souboru, který je umístěn v příloze. Odesílá ji všem lidem, kteří jsou zapsáni v adresáři OutLooku.

W97M/Autoexec (alias W97M/JulyKiller)

Dokáže se šířit pouze pod Wordem, který používá více bajtové znaky (Japonská verze...). Můžeme být tedy v klidu... Při troše štěstí může do soubor AUTOEXEC.BAT umístit sekvenci "deltree/y c:\", která se postará o smazání všech souborů na disku C:.

No a když už jsem se tak rozjel, mohl bych se zmínit o zajímavém makroviru W97M/Heathen, který se objevil asi před 20 dny:

W97M/Heathen

Makrovirus pro Word 97, který využívá DLL knihovnu k zachování "rezidentnosti" v operační paměti. Při otevření infikovaného dokumentu virus vypustí DLL soubor, který se jmenuje HEATHEN.VDL. Pak upraví soubor EXPLORER.EXE tak, aby se DLL soubor aktivoval při každém startu Windows. Při dalším startu Windows začne DLL soubor hledat vhodné dokumenty pro infekci...

Bližší informace najdete například na stránkách www.datafellows.com či www.sophos.com.

[4.7.99]
Srovnávací testy antivirů pro Novell NetWare...
provedli redaktoři časopisu Virus Bulletin. Snad se mi podaří získat kompletní výsledky. Starší kompletní výsledky můžete najít zde.