In-the-Wild List 11/99 je tady !
Zde lze najít nový ItW List - tj. seznam nejrozšířenějších virů. Následuje přehled nejvíce hlášených virů:
Freq Name Type Aliases
============================================================================
41 | W32/Ska.A............... | File |HAPPY99
35 | WM/CAP.A................ | Macro |
34 | W95/CIH.1003............ | File |Spacefiller
34 | W97M/Ethan.A............ | Macro |
33 | W97M/Melissa.A.......... | Macro |Maillissa
28 | W32/ExploreZip.......... | File |Worm.ExploreZip
25 | WM/Concept.A............ | Macro |Prank Macro
24 | W97M/Class.D............ | Macro |
24 | W97M/Marker.C........... | Macro |W97M/Spooky.C
23 | O97M/Tristate.C......... | Macro |O97/Crown.B
20 | AntiEXE.A............... | Boot |D3
20 | W32/PrettyPark.A........ | File |
18 | AntiCMOS.A.............. | Boot |Lenart
18 | XM/Laroux.A............. | Macro |
16 | Form.A.................. | Boot |Form 18
15 | One_Half.mp.3544.A...... | Multi |Dis, Free Love
15 | X97M/Laroux.A........... | Macro |
[22.11.99]
W97M/Prilissa.A - údajně se celkem rychle šíří !
Dost serverů informuje o novém makroviru W97M/Prilissa.A, který se dokáže šířit v dokumentech Wordu 97, ale
i prostřednictvím emailových zpráv. "Infikovaná" emailová zpráva má subjekt "Message From" a obsahuje text "This document is very Important and you've GOT to read this !!!".
Kromě toho se samozřejmě v příloze zprávy nachází i dokument infikovaný makrovirem Prilissa. Pokud je tento dokument spuštěn, makrovirus se snaží
odeslat svoji kopii na dalších 50 adres, které hledá v "knize adres" aplikace MS Outlook.
Prilissa si pohrává s barvou textu v aktuálním dokumentu a 25.prosince přepisuje soubor C:\AUTOEXEC.BAT tak, že při dalším startu počítače
dojde k formátování disku C:. Makrovirus Prilissa využívá polymorfní generátor VAMP, jehož autorem se slavný (díky makroviru Melissa) autor VicodinES.
[18.11.99]
Nový CollectionMaker 0.61.
Právě dnes jsem dodělal novou verzi programu CollectionMaker, který umožňuje jednoduše setřídit viry ve Vaši sbírce.
Českou verzi můžete "sosat" zde, anglickou pak zde.
NEdoporučuji stahovat přes programy typu Getright - někdy to předčasně spadne...
[15.11.99]
Pro příznivce antiviru AVP (AntiViral Toolkit Pro)...
Na adrese http://cedic.bonusweb.cz lze najít češtinu do jmenovaného antiviru. I když
autor překladu uvádí, že je určena do verze 3.0 build 131, bez problémů jsem ji aplikoval i do verze 3.0 build 132. Instalaci doporučuji
spouštět z nouzového režimu, protože AVP "drží" některé soubory a instalace by se nemusela podařit. Přeložit tenhle antivirus nebyl špatný nápad,
těžko však říci, jak to snese distributor AVP pro ČR - společnost AEC s.r.o..
[11.11.99]
Virus Win32/FunLove.4099.
Několik serverů informuje o viru pro Win32, který je údajně In-the-Wild (tj. šíří se mezi uživateli). Virus FunLove je paměťově rezidentní
a napadá PE EXE soubory. Virus se dobře vyzná i v počítačové síti a dokáže se v ní šířit. Po spuštění infikovaného PE EXE soubory dochází k napadení dalších souborů
na disku. Virus FunLove hledá a infikuje na všech discích (C: až Z:) soubory s příponou OCX, SCR a EXE. Svoje tělo zapisuje do poslední sekce PE EXE souborů - odskok na svoje tělo zajistí instrukcí skoku.
Virus FunLove neinfikuje některé soubory antivirových programů.
[10.11.99]
A je to tady ! Dlouho se o tom mluvilo a teď je to skutečností !
Nový "emailový červ" BubbleBoy je totiž první červ, který se aktivuje pouhým otevřením infikované zprávy. Infikovaná emailová zpráva neobsahuje
žádnou přílohu - červ je přímo součástí zprávy. MS Outlook (nutná část, bez které se BubbleBoy nedokáže šířit) totiž umožňuje odesílat emailové zprávy
v HTML formátu. Toho červ (worm) BubbleBoy využívá a je ve struktuře HTML připojen jako VBScript. Po aktivaci červa (tj. otevření infikované emailové zprávy) dochází
k infekci systému. V adresáři C:\WINDOWS\START MENU\PROGRAMS\STARTUP je vytvořen soubor UPDATE.HTA. Ten obsahuje "zdroják" červa, který se automaticky
spouští při každém startu Windows. Po spuštění souboru UPDATE.HTA se potajnu spustí i MS Outlook a BubbleBoy odešle svoji kopii všem lidem, kteří jsou uvedeni
v knize adres aplikace MS Outlook (zpráva má subjekt "BubbleBoy back!"). Modifikací registrů si zajistí, aby neodesílal infikovanou emailovou zprávu vícekrát na jednu adresu.
Vlastníka "woken" mění na "BubbleBoy", organizaci na "Vandelay Industries".
Červ BubbleBoy není hlášen jako In-the-Wild. V praxi se s ním tedy setkáte jen těžko, za to na informačních serverech se toho o něm dozvíte požehnaně :-(
Doufejme, že se k tomu nevyjádří ČTK - aby to nedopadlo jako minule :-(
Je to neuvěřitelné, ale sotva jsem to dopsal, tak na Sophosu už informujou o druhé variantě BubbleBoy ! To zas bude aféra !
[9.11.99]
Win95/Tip - další malý "Černobyl".
NAI před nedávnem informoval o dalším viru, který využívá části viru CIH (Černobyl). Virus Win95/Tip tak 26.4 přepisuje podobně jako CIH paměť flash-bios a může
při troše štěstí zablokovat počítač.
[8.11.99]
DALŠÍ ROZHOVOR S ČLENEM 29A !!!
Tentokrát mi odepsal Benny, druhý čech "ve službách" španělské skupiny 29A, která píše viry.
[6.11.99]
NOVÝ MEGA-ROZHOVOR S ČESKÝM ČLENEM VIROVÉ SKUPINY 29A !!!
Prizzy - čech "ve službách" španělské skupiny 29A, která píše viry. Právě s touto osobu jsem udělal rozhovor. Na další rozhovor se můžete pravděpodobně těšit zanedlouho.
Na řadu totiž příjde druhý čech ve službách skupiny 29A - Benny. Taky již hodně dlouho čekám na odpovědi od slovenského "virologa" Miroslava Trnky (ESET, NOD antivirus).
[4.11.99]
Nové výsledky srovnávacích testů antivirových skenerů...
V časopise Virus Bulletin 11/99 se objevily nové srovnávací testy antivirových skenerů. Díky laskavosti jednoho nejmenovaného člověka lze najít kompletní výsledky testu zde.
[4.11.99]
První uspěch...
"Igiho stránka o virech" byla v soutěži o "Zlatou Zmiji" vysoce oceněna.
Všem hlasujícím tímto děkuji...