Freq  Name                       Type   Aliases
 ============================================================================
  37  | W32/Ska.A............... | File  |HAPPY99
  33  | W95/CIH.1003............ | File  |Spacefiller
  33  | WM/CAP.A................ | Macro |
  32  | W97M/Ethan.A............ | Macro |
  30  | W97M/Melissa.A.......... | Macro |Maillissa
  27  | W32/ExploreZip.......... | File  |Worm.ExploreZip
  24  | WM/Concept.A............ | Macro |Prank Macro
  23  | W97M/Class.D............ | Macro |
  22  | W97M/Marker.C........... | Macro |W97M/Spooky.C
  21  | AntiEXE.A............... | Boot  |D3
  19  | AntiCMOS.A.............. | Boot  |Lenart
  17  | Form.A.................. | Boot  |Form 18
  17  | XM/Laroux.A............. | Macro |
  16  | O97M/Tristate.C......... | Macro |O97/Crown.B
  16  | One_Half.mp.3544.A...... | Multi |Dis, Free Love
  16  | Ripper.................. | Boot  |Jack Ripper
  16  | WM/Npad.A............... | Macro |Jakarta
  15  | Empire.Monkey.B......... | Boot  |Monkey 2
  15  | Junkie.mp.1027.A........ | Multi |DrWhite.1027
 ============================================================================

W97M/Suppl - nový makrovirus šířící se emailem.
Tento makrovirus pro Word 97 se šíří v souboru SUPPL.DOC, který tvoří přílohu emailové zprávy. Po spuštění tohoto souboru dochází k infekci systému. Kromě souboru ANTHRAX.INI vytvoří virus i DLL.TMP, který je po restartu počítače přejmenován na WSOCK32.DLL (původní soubor je přejmenován na WSOCK33.DLL). Soubor SUPPL.DOC je "připevněn" ke každé odesílané emailové zprávě (příloha vznikne ze souboru ANTHRAX.INI). V souboru ANTHRAX.HST si tento virus vytváří seznam lidí, kterým byl již soubor SUPPL.DOC odeslán. Po 163 hodinách od infekce se virus pokouší mazat soubory s příponou DOC, XLS, TXT, RTF, DBF, ZIP, ARJ, RAR při každém odeslání pošty. Virus se šíří pod Windows 9x. Pod Windows NT se nedokáže šířit.

[16.9.99]
Nový trojský kůň.
Sophos informuje o trojanu Polyglot, kterého někdo vypustil tak, aby to vypadalo jako zpráva od Microsoftu (soubor v příloze se jmenuje Y2KCOUNT.EXE a je odeslán z adresy support@microsoft.com). Jako každý trojan nepřináší nic nového...

[14.9.99]
"Virový týden"...
...právě probíhá na serveru Svět Namodro. Lze tam najít spoustu zajímavých článků.

[14.9.99]
Hlášení o nalezeném viru.
Pokud jste byli napadeni virem, budu rád, když využijete tento formulář. Získané informace budu průběžně třídit a pokusím se sestrojit tabulku nejrozšířenějších virů v ČR (popřípadě SR).

[12.9.99]
Dva nové viry od stejného autora...
Autorem obou popsaných virů je GriYo - člen skupiny 29A. Viry tohoto autora jsou většinou velmi kvalitní a vždy přinášejí něco zajímavého. Pod Windows 9x již v minulosti napsal třeba viry Win95.Marburg a Win95.HPS. Nyní jsou zde dva další:

Worm.Cholera

Další z řady "červů", který se šíří v příloze emailové zprávy. Tentokrát je přílohou soubor SETUP.EXE (kolem 40 kB dlouhý), který samozřejmě obsahuje červa jménem Cholera. Subjektem zprávy je text: Ok.... Po spuštění souboru SETUP.EXE dochází k infekci systému - červ se uloží do souboru RPCSRV.EXE v adresáři s Windows. Automatické spuštění tohoto souboru si zajistí přidáním instrukce Run= do souboru WIN.INI. Zajímavostí je, že červ Cholera nepoužívá žádnou funkci na zjištění adresáře s operačním systémem Windows, ale prohledává disk na výskyt adresářů Windows, Win95, Win98, Win a WinNT. Pokud se tedy na jednom počítači používá několik operačních systémů, může dojit k infekci několika z nich. Červ se snaží šířit i v počítačové síťi. Při rozmnožování prostřednictvím emailové zprávy využívá protokol SMTP. Cílové emailové adresy na které pak soubor SETUP.EXE posílá hledá na disku v souborech s příponou .HTM, .TXT, .EML, .DBX, .MBX, .NCH, .IDX. Soubor SETUP.EXE je rozeslán naráz maximálně 10 lidem.

Win32.CTX

Jedná se o nerezidentní polymorfní virus pro Win32. Napadá maximálně 5 PE EXE souborů v aktuálním adresáři. Virus se začne viditelně projevovat po spuštění infikovaného souboru, ale až po půl roce od jeho infekce. Během projevu dochází k inverzi barev na pracovní ploše Windows. Při infekce PE EXE souborů virus zvětší velikost poslední sekce souboru, do které se pak uloží. Metoda, kterou virus převezme kontrolu je velmi zajímavá a málo používaná. Samozřejmě se to neobešlo bez chyb... Polymorfní generátor tohoto viru je velmi podobný tomu, co byl použit u starších virů Win95.HPS a Win95.Marburg. Celkově jsou však polymorfní vlastnosti tohoto viru na velmi vysoké úrovni.

Bližší informace o popisovaných virech lze získat například v AVP Virus Encyclopedii.

[7.9.99]
W97M/Sixtieth - další upravená Melissa.
Sophos informuje o novém zajímavém makroviru W97M/Sixtieth. Podobně jako Melissa se tento makrovirus pro Word 97 dokáže šířit v příloze emailové zprávy, kterou odešle šedesáti lidem, kteří jsou uvedeni v "knize adres" aplikace MS OutLook. Subjektem takové zprávy je text Important Message From, za kterým je uvedeno Vaše jméno. Emailová zpráva pak obsahuje text Look what I found....
Do registrů si makrovirus zapisuje "značku", podle které pozná, že svoji rozsáhlou reprodukci již provedl. Makrovirus W97M/Sixtieth navíc vypouští VBScript (C:\SS.VBS), který se automaticky aktivuje při každém startu Windows. Zmiňovaný VBS program se po každém startu snaží znovu infikovat globální šablonu Wordu a tak mírně znesnadnit dezinfekci tohoto makroviru...

Makrovirus W97M/Sixtieth NENÍ podle informací In-the-Wild (nešíří se tedy mezi uživateli).

Další použité názvy tohoto makroviru: W97M_60thSKEPTIC, W97M.Skeptic, W97M.AntiSocial.E

[7.9.99]
Norman Virus Control i v ČR...
...Distributorem se stala společnost AEC s.r.o.

[7.9.99]
W97M/Thus a realita...
Vyjádření Petra Odehnala z Grisoftu (AVG):

Zdaleka nejzajimavejsi je na tomto viru poprask, ktery kolem nej byl rozpoutan a ktery si vubec nezaslouzi. Jde o trivialni W97M infektor, ktery na svych 75 radcich zdrojoveho kodu nepredvadi ani naznak neceho odlisneho od kodu par tisicovek ostatnich viru pro tuto platformu.

[4.9.99]
Makrovirus pro Word 97 - W97M/Thus.
Některé servery informují o novém makroviru Thus (alias Thursday), který je hlášen jako "In-the-Wild" (tj. šíří se mezi uživateli). Makrovirus Thus infikuje globální šablonu a všechny právě otevřené dokumenty Wordu. Infikované dokumenty si označuje značkou "Thus_001". 13.prosince pak tento makrovirus smaže soubory i adresáře z disku C:

[2.9.99] Nové srovnávací testy Virus Bulletin ! Aby toho nebylo málo, jsou tu další srovnávací testy antivirových skenerů. Kompletní výsledky jsou jako vždy zde.

[2.9.99] Perlička... V časopise "Media shop" 9/99 jsem našel zajímavý inzerát, který můžete vidět vlevo. Jen připomínám, že dnes existuje AVG ve verzi 6.0, kterou lze získat za přibližně 2000 Kč. To však není jediná zvláštnost...