[31.3.2000]
IROK - další z řady _nejen_ červů...
Na některých stránkách informují o novém červu Irok. Šíří se v příloze e-mailových zpráv a prostřednictvím IRC kanálů - v souboru IROK.EXE. Kupodivu
se jedná o původní EXE soubor, který je spustitelný i pod samotným DOSem (nejedná se o PE EXE). Pokud Vám přijde emailová zpráva se subjektem
"I thought you might like to see this." a se souborem IROK.EXE v příloze, máte tu čest se s červem "Irokem" setkat osobně. Pokud dojde ke spuštění
této přílohy, červ se ubytuje v počítači. Vypuštěný soubor IROKRUN.VBS se postará o rozeslání kopie souboru IROK.EXE dalšim 60 lidem, kteří jsou
uvedeni v "knize adres" aplikace MS Outlook. Ve stejnou chvilku začne Irok infikovat i některé soubory na pevném disku. V tomto případě jde
o HLL nerezidentní virus, který napadá COM a EXE soubory, které vyhledává v adresářích, jenž jsou uvedeny v proměnné PATH (např. v AUTOEXEC.BAT).
Při infekci souboru přesune prvním 10 KB dat na konec a do vzniklého prostoru uloží svoje stejně dlouhé tělo. Pro infekci je tak použita zřejmě
nejednoduší metoda - není nutné měnit údaje v hlavičce u EXE. Červ Irok kromě toho maže některé soubory, které antiviry využívají pro
testy typu: "kontrola integrity" a občas zobrazí i nějakou tu zprávu.
[29.3.2000]
Už je tady !
Včera vyšlo nové číslo časopisu CHIP (4/2000) společně s cédéčkem, na kterém lze najít celou řadu antivirových programů:
AVAST32 v.3.0, AVG v.6.0, AVP for MS Exchange, AVP Platinum v.3.0.132.0,
eSafe Protect v.2.2, F-Secure Antivirus v.4.08a, Guard Dog v.2.01, InterScan VirusWall v.3.32,
IronWare Security Suite, Norman v.4.7x, Norton Internet Security 2000, Panda Antivirus Platinum v.6.0,
PC-cillin v.6.0, The Cleaner v.3.0, Trojan Defence Suite v.2.7.5, VirusScan v.4.03,
Antidote v.1.50 Lite, AntiVir Personal Edition v.6.0, F-Prot v.3.06 for DOS, InoculateIT Personal Edition v.5.01.
Lze tedy očekávat, že napíšu další recenzi vybraného produktu. V nebližší době bych to viděl na "Pandu"...
Teď však zpět k CHIPCD: kromě antivirů tam lze najít i několik článků s podobnou tématikou. Konkrétně jde o
článek o vzniku falešných poplachů, o makrovirech, o antiviru NOD32. Jako vždy je k dispozici pravidelný seriál:
"Virové novinky" (tentokrát o viru CIH). Jak je vidět, je toho celkem dost... tři články jsem totiž napsal já :-)
[25.3.2000]
Recenze antiviru McAfee VirusScan 5.01.
Dalo to práci, než jsem přes 56kbps modem stáhnul 11 MB dlouhý soubor... Ale povedlo se a tak si ZDE můžete přečíst novou recenzi.
Přehled všech recenzí antivirových programů můžete najít zde.
[23.3.2000]
Nový McAfee VirusScan 5.0...
Před nedávnem byl oficiálně předveden nový "McAfeeho" antivirus ve verzi 5. Nejde však čistě o produkt pana "McAfeeho", v těle
antiviru totiž "tluče" srdce v podobě ověřeného skenovacího "motoru" antiviru Dr.Solomona, bez něhož by nemohl McAfee VirusScan v dnešní době
konkurovat ostatním antivirům (stačí se podívat na hrůzu, kterou předváděla verze 3, v níž ještě "motor" Dr.Solomona nebyl).
McAfee VirusScan 5 lze stáhnout třeba na serveru Download.
Vzhledem k tomu, že jsem začal tohoto 11 MB dlouhého "macka" stahovat, lze v budoucnu počítat s recenzí tohoto antiviru.
[23.3.2000]
Vyčistěte si počítač od špiónů !
Na ŽIVĚ píšou o inzertním modulu firmy Aureate Media Corporation, jehož
chování připomíná trojského koně. Pokud se chcete modulu zbavit, můžete použít program OptOut.
[22.3.2000]
Virus Win32/Orochi.
V AVP Encyclopedii se objevily informace o viru Win32/Orochi. Není hlášen jako In-the-Wild, není tedy rozšířený, ale je vcelku zajímavý:
Napadá PE EXE soubory pod OS Windows 9x i NT. Svoje kopie odesílá do mIRC kanálů. Vypíná některé antivirové štíty (Amon, AVP monitor, Norton) a maže
řadu souborů, které vytvářejí antivirové programy pro vlastní potřebu. V náhodnou chvilku může aktivovat proceduru, která přepíše pamět CMOS a Flash-BIOS, bez
které není schopen počítač provozu (další informace lze najít u aktuality ze 28.1.2000). Pro přepsání Flash-BIOSu využívá virus Orochi "nachlup" stejnou proceduru z populárního viru CIH (Černobyl).
Autorem viru je osoba, říkající si "HenKy", která patří do relativně nové skupiny "MATRiX". Členem této skupiny je mimojiné i český autor některých virů, jenž si říká Mort.
Možná, že se právě on stane v budoucnu vhodným kandidátem pro rozhovor...
[18.3.2000]
Blížící se konference.
Rád bych upozornil na dvě konference, související s virovou problematikou. První z nich proběhne již 4.dubna v Bratislavě (hotel Forum) - její název je "Bezpečnosť dát 2000". Čistě virová problematika
přijde na řadu až v 15:30 (nejlepší na závěr). Slova se ujme Ing. Petr Odehnal z Grisoftu, po něm Ing. Tomáš Přibyl (AEC) a na závěr Ing. Miroslav Trnka (Eset).
Byl bych velice rád, kdyby se našel někdo, kdo by celou akci pro "Igiho stránku" srhnul, popřípadě zaslal nějakou tu fotografii. K dispozici je můj email: igi@viry.cz.
Další info o konferenci najdete zde.
Další a rozsáhlejší konference se koná 1. a 2. června. Její název je Security2000. Konat se bude v Národním domě na Vinohradech (Praha). Celý první den (9:00 - 17:00) bude věnován virům, druhý pak bezpečnosti (šifrování apod.).
Vrátim se k prvnímu dni. K vidění budou známé osobnosti z této oblasti (přijedou i ze slovenského Esetu ???). Pokud vím, vystoupí i Petr Odehnal,
jehož přednášky jsou, mimo jiné velmi humorné. Tuto akci si pravděpodobně nenechám ujít a rád se tam setkám se čtenáři "Igiho stránky".
Bližší informace lze najít přímo na speciální doméně www.virus2000.cz.
Každá akce samozřejmě něco stojí a pokud máte hluboko do kapsy, můžete se zadarmo zúčastnit alespoň emailové konference o virech & antivirech.
[18.3.2000]
"Igiho stránka o virech" má druhé narozeniny !!!
Právě v těchto dnech oslavuje "Igiho stránka" druhé narozeniny. Trochu z její historie:
"Igiho stránka" se původně jmenovala "Počítačová infiltrace". Tento nic neříkající název ji vydržel až do začátku roku 1999, kdy "MrSap"
vytvořil novou grafickou podobu. Taky vytvořil daleko lepší a výstižnější název - "Igiho stránka o virech", který
zůstal bez změn dodnes. Po několika přesunech jsem se nakonec zabydlel na serveru herního Bonuswebu.
Na konci ledna 2000 jsem obětoval 1600 Kč na zaplacení domény www.viry.cz, přes kterou lze na "Igiho stránku" přistupovat.
Pokud chcete dát "Igiho stránce o virech" dárek, hlasujte pro ni v soutěži "Zlatá Zmije" (odkaz hledejte v poslední třetině seznamu).
[13.3.2000]
Recenze antiviru InoculateIT Personal Edition.
Po delší době je tu další recenze - tentokrát antiviru InoculateIT Personal Edition, který je zcela zadarmo.
[11.3.2000]
Nový červ Melting.
Na www.avp.ch se objevil mimořádný update, který detekuje nového červa (worm) Melting.
Infikovanou emailovou zprávu poznáte podle toho, že v příloze je soubor MeltingScreen.exe a subjekt zprávy
zní "Fantastic Screensaver". Po spuštění souboru MeltingScreen.exe se Melting snaží odeslat svoji kopii dalšim lidem. Adresy obětí
bere z knihy adres aplikace MS Outlook. V adresáři Windows přejmenuje všechny EXE na BIN (proč ?) a pak uvede v činnost screensaver,
který si nese s sebou...
[11.3.2000]
WAP na "Igiho stránce o virech".
Dnes jsem zahájil provoz stránek ve formátu XML. Pokud tedy máte nějaký mobil, který WAP podporuje, můžete zkusit URL:
http://viry.bonusweb.cz/wap/index.wml.
[9.3.2000]
Novinky na "Igiho" stránce.
Na webu Grisoftu lze stáhnout krátký antivirus na odstranění červa PrettyPark.
Stahovat můžete i zde.
V posledním Virus Bulletinu byl dodatečně umístněn test antiviru F-Prot 3.06a, na který se v únorovém srovnávacím testu zapomělo.
Doplněné výsledky lze proto najít zde. Když už mluvím o antiviru F-Prot, na
www.complex.is lze najít již verzi 3.07.
[7.3.2000]
NOD32DOS v novém "kabátu".
Zatímco většina antivirových firem nechává své verze produktů pro DOS "uhnívat" a doplňují do nich pouze
nové databáze virů, NOD32DOS jde jinou cestou. Slovenský antivirus NOD32DOS (Eset),
lze totiž od nové verze 1.32, ovládat v příjemném prostředí (dříve pouze přes příkazový řádek), ve kterém
lze používat i myš. Pokud tedy budou majitelé NODu nuceni nabootovat ze systémové diskety, můžou
se těšit na příjemné uvítání. Další info na www.eset.sk.
[3.3.2000]
PrettyPark je stále rozšířenější !
Zprávy o červu PrettyPark se objevují stále častěji. Není divu, začal se pěkně šířit. PrettyPark se šíří prostřednictvím
emailových zpráv, ke kterým je připojen ve formě souboru PrettyPark.exe. Pokud tedy obdržíte email s tímto souborem, doporučuji
přílohu nespouštět. První varianta (existuje již od poloviny minulého roku) je dlouhá 37376 bajtů. Nová varianta, která vznikla
před nedávnem se šíří v souboru PrettyPark.exe, který je dlouhý 60928 bajtů. Rozdíl délek je způsoben tím, že soubor PrettyPark.exe není
v druhém případě interně komprimován.
K oběma českým antivirům (AVG, AVAST) lze stáhnout mimořádný
update, který novou variantu tohoto červa dokáže detekovat. U obou lze najít i popis tohoto červa - u Grisoftu zde,
u Alwilu zde.