Co přinesl tento týden.
Na serveru ŽIVĚ lze najít článek o prvním viru
pro Windows 2000, který se jmenuje Installer (viz. 11.1.2000). Obzlášť zajímavé jsou reakce k tomuto článku (zde).
Benny - český spoluautor viru Installer by se zřejmě mohl po přečtení reakcí rozčílit...
Symantec (Norton AntiVirus) informuje o novém patentu STRIKER na detekci polymorfních virů.
V podstatě se jedná o článek plný keců, který slouží pouze pro nalákání budoucích uživatelů Norton Antiviru. Ti co tomu rozumí se jen zasmějou - podobnou technologii
využívá řada antivirů již několik let (a vůbec k tomu nepotřebují žádné patenty).
Zde lze najít nový (1/2000) seznam nejrozšířenějších virů - In The Wild List. Podle něj patří mezi nejrozšířenější viry tyto:
Freq Name Type Aliases
============================================================================
43 | W32/Ska.A............... | File |HAPPY99
38 | W95/CIH.1003............ | File |Spacefiller
36 | W97M/Melissa.A-mm....... | Macro |Maillissa
35 | W97M/Ethan.A............ | Macro |
35 | WM/CAP.A................ | Macro |
32 | W32/ExploreZip.......... | File |Worm.ExploreZip
28 | W97M/Marker.C........... | Macro |W97M/Spooky.C
26 | O97M/Tristate.C......... | Macro |O97/Crown.B
25 | W32/PrettyPark.A........ | File |
25 | W97M/Class.D............ | Macro |
24 | WM/Concept.A............ | Macro |Prank Macro
20 | AntiCMOS.A.............. | Boot |Lenart
20 | AntiEXE.A............... | Boot |D3
18 | X97M/Laroux.A........... | Macro |
18 | XM/Laroux.A............. | Macro |
17 | Form.A.................. | Boot |Form 18
17 | W32/ExploreZip.pak...... | File |
16 | W97M/Class.Q............ | Macro |
16 | W97M/Thus.A............. | Macro |W97M/Thursday.A
15 | One_Half.mp.3544.A...... | Multi |Dis, Free Love
============================================================================
Získal jsem další (druhou) cenu...
[15.1.2000]
Win32/Plage2000
Několik serverů informuje o novém červu Plage2000, který však není hlášen jako In-the-Wild (tj. nešíří se mezi uživateli).
Červ Plage2000 odpovídá na došlou poštu (Reply). K odpovědi připojuje svoje tělo - soubor, který může mít několik různých názvů:
pics.exe, images.exe, joke.exe, PsPGame.exe, news_doc.exe, hamster.exe, tamagotxi.exe, searchURL.exe, SETUP.EXE, Card.EXE, billgt.exe, midsong.exe, s3msong.exe, docs.exe, humor.exe, fun.exe.
Po spuštění této přílohy - souboru dochází k infekci systému, při které simuluje EXE-archiv WinZipu. Svoje tělo zkopíruje
do souboru INETD.EXE do adresáře Windows. Pak změní WIN.INI či registry (podle toho, zda jde o Win9x nebo WinNT) tak, aby se stal aktivním po každém startu Windows. Pokud je středa a hodiny ukazují 0:00 až 2:00,
červ zobrazí text Fight against the plage of inhumanity. This is Plage 2000 coded by Bumblebee/29a._Plage 2000 a obrázek Hitlera s čerstvě vystřeleným mozkem...
[11.1.2000]
Virus Win2000/Installer
Win2000/Installer je prvním virem, který je určený výhradně pro operační systém Windows 2000. Pod jinými OS se nedokáže šířit.
Virus "Installer" napsal Benny/29A a Darkman/29A. "Installer" vyhledává PE EXE soubory na aktivním disku a
svoje tělo vkládá do prázdných míst v souboru. Důsledkem jsou stejně dlouhé soubory před i po napadení.
Kromě několika dalších typů souborů napadá i MSI (Microsoft Windows Installer). V těchto souborech infikuje vložené PE EXE.
Bližší informace lze získat třeba zde. Nevím proč, ale u KasperskyLab
se virus jmenuje opět jinak - Inta...
[11.1.2000]
Win32/H4.1852
Na CAI informují o viru H4. V podstatě nejde o nic zajímavého.
Snad jen to, že virus se snaží proniknout do systému během surfování po webu. Virus H4 totiž napadá HTML soubory
(je v nich vložen ve formě VBScriptu) a pokud je ochrana u IE nastavena na "low" může při troše štěstí počítač opravdu napadnout.
Virus není podle informací In the Wild, takže se ho nemusíte obávat.
[10.1.2000]
AVG pro MS Office 2000, přehled červů.
Po delší době jsem opět zde. Od poslední novinky se toho celkem moc nestalo. Dnes však přece jen ano:
Brněnská společnost Grisoft dnes uvedla první beta verzi antiviru AVG, který se jako modul
připojí k Microsoft Office 2000, kde automaticky hledá makroviry při otevírání dokumentů. Pokud nebudou problémy, příští
týden bude k dispozici oficiální verze.
Na adrese www.tady.cz/worms lze najít aktuální přehled wormsů - červů, se kterými
se můžete setkat.
[3.1.2000]
Co nového ?
Prizzy/29A velice rychle zareagoval a tak si můžete zde přečíst článek o rezidentních virech pro Windows 9x/NT.
Prizzy taky nedávno dokončil nový virus Crypto (viz. aktualita z 28.12.99) - bližší informace o tomto viru lze najít na stránkách Symantecu (přesněji zde).
Hlas "nalitého" (jak sám píše) Bennyho (29A) by měl být slyšet na slovenské TV Luna dne 11.1.2000 v 18:05 ("Svět počítačů").
Na *-zinu (slovensko) informují o problému Y2K antiviru AVPDOS32. Pokud totiž zapnete zápis do LOG souboru, lze v něm najít nesmyslné datum: např. "AVPDOS32 Start 01-01-100 14:54:18".
Dodatek na konci článku "happy hunting these bugs" jsem uposlechl... -> Zjistil jsem, že AVG 6.0 (testován build 115) má podobný problém. Do LOGu (Reportu) totiž
zapisuje něco podobného: např. "Test spusten 100-01-03 14:10:28". To je zatím vše.
[1.1.1900]
Nový rok je tady !
Vítám Vás u prvního čtení tohoto magického roku. Takže co je nového ?
Hned na začátek tohoto roku jsem připravil jeden nový článek o skenerech. K úplnosti
dopomohl slovenský ezine Asterix 2 a hlavně článek, který napsal Flush (dík!). Dále jsem pak vytvořil FAQ stránku, na které
lze najít "to nejlepší" z konference o virech & antivirech. Budu ji postupně doplňovat.
Na dalším článku teprve pracuju, měl by to být souhrn událostí za poslední půl rok. Zřejmě ho pak pošlu na server "Svět Namodro" a sem hodím link.
Taky už plánuju jednu akci, která mě bude něco stát, ale Vy ušetříte několik úderů do klávesnice :-).
Virus CIH (někdy označován jako "Černobyl") je paměťově rezidentní virus, který se šíří pod OS Windows 9x. Napadá PE EXE soubory,
přičemž jejich délka zůstává stejná jako před infekcí (svoje tělo ukládá do volných "ostrovů" v PE souborech). Nejrozšířenější varianta,
která měří 1003 bajtů se aktivuje právě 26.4 (ve stejný den se "aktivovala" i elektrárna v Černobylu), kdy se snaží přepsat na základní
desce paměť Flash-BIOS. Tato paměť obsahuje důležité informace, bez kterých není počítač schopen provozu.
Pokud se viru podaří Flash-BIOS přepsat, většinou to končí katastrofou. Největší problém můžou pocítit zejména
majitelé některých notebooků, kde pak občas oprava desky příjde na víc, než koupě nové. 26.4.1999 bylo podobným problémem postiženo
několik stovek tisíc počítačů. Na některých základních deskách lze
přepisu Flash-BIOSu zabránit jumperama, které zápis blokují. Pokud ale už k přepsání Flash-BIOSu došlo, existuje většinou
jednoduchá možnost nápravy: sehnat stejnou základní desku, z ní "vyďoubnout" funkční Flash-BIOS (špendlíkem), umístit ho
do "nefunkční" desky (ne ten špendlík). Pak počítač nastartovat na cizí Flash-BIOS, za chodu ho opět "vyďoubnout", opět nasadit
nefunkční Flash-BIOS a ještě před vypnutím počítače ho přeprogramovat (pomocí upgradu, který lze získat na web stránkách výrobce desky).
Popisovaná metoda je odzkoušená, neznám nikoho, komu by to nevyšlo. Ale teď zpět k 26.4: Po přepsání Flash-BIOSu se ještě virus CIH
snaží přepsat data na pevném disku. Při troše štěstí lze část z nich ještě zachránit (obzvlášť, když je disk rozdělen na několik částí). Dokonce
existují i speciální utility na obnovení dat: např. MRecover, působit
by měly i produkty typu Lost&Found či Tiramisu. Co se týče prevence, neexistuje snad antivirus, který by nebyl schopen tento virus detekovat
(není divu, virus se objevil v červnu 1998). Zde můžete stáhnout krátký antivirus, který dokáže aktivního"CIHa"
v systému detekovat. Jak se později ukázalo, autor viru - taiwanec Čen Jing-chau (na obrázku) ani nevěděl, že 26.4. nějaká elektrárna Černobyl vybuchla (odtud pochází
"novinářský" název viru), prostě chtěl jen oslavit "narozeniny" svého viru (který vzniknul ve stejný den). Autora viru si před nedávnem najmula nějaká
společnost (bohužel si už její název nepamatuji), která využívá jeho schopnosti.