Novinky: Květen 2000

[31.5.2000]
Další tři kamarádi...
Některé společnosti informují o třech nových červech, se kterými se však v praxi asi jen tak běžně nesetkáme (jsou to spíše "Press release" červi). Červi, jak známo, přicházejí k uživatelům v emailových zprávách, které jsou obohaceny o infikovaný soubor v příloze. Nyní však již detailnější informace:

Scrambler
Červ napsaný ve Visual C++. Dokáže se šířit i v kanálech IRC (přes program mIRC). Subjekt infikované zprávy je: "Check this out, it's funny!". Soubor v příloze má název složen náhodně: {5 znaků}.EXE. Pro šíření červa Scrambler je nutná aplikace MS Outlook. Na pevném disku údajně poškozuje soubory MP3.

VBS/CoolNotepad
Tentokrát vytvořen ve formě VBScriptu. Postaven na základech VBS/LoveLetter. Subjekt emailové zprávy: "Cool Notepad Demo", tělo: "Hey check out this text file I sent it will do something neat in notepad. Enjoy :-)", příloha: "COOL_NOTEPAD_DEMO.TXT.vbs". Opět využívá program mIRC pro šíření v IRC kanálech. Pro chod je nutný produkt MS Outlook a podpora VBScriptů - WSH.

VBS/FireBurn
Ke správnému chodu opět potřebuje produkt MS Outlook a podporu VBScriptů - WSH. Subjekt i text zprávy je napsán buď německy, nebo anglicky. Záleží na tom, pod jakou jazykovou mutací je červ FireBurn spuštěn. Německá mutace, subjekt: "Moin, alles klar?", tělo: "Guck dir mal das Photo im Anhang an, ist echt geil ;) bye, bis dann..". Anglická (popř. jiná než německá) mutace, subjekt: "Hi, how are you?", tělo: "Hi, look at that nice Pic attached ! Watching it is a must ;) cu later...". Přílohu tvoří soubor ve tvaru: {jméno}.JPG.VBS. FireBurn se šíří i přes IRC (opět spolupráce s mIRC). 20. června zablokuje klávesnici a myš (zásahem do registrů).

U dalších kamarádů nashledanou ! :-)

[29.5.2000]
Office Protector 0.1 - nový program ! - stahujte !

Office Protector - foto Včera jsem zahájil výrobu programu Office Protector a ještě ve stejný den ho dokončil. Office Protector je jednoduchý program, který na základě informací z registrů Windows dokáže určit, v jakém stavu je zabezpečení aplikace Microsoft Office 97 či 2000. Správně nastavené zabezpečení může výrazně zredukovat šíření makrovirů v prostředí aplikace Word, Excel či PowerPoint. Office Protector stav zabezpečení vypíše a umožní ho jednoduše nastavit na maximální.
Pokud by jste našli nějaké nedostatky či chyby, ozvěte se prosím na e-mail: igi@viry.cz, popř. mobil: 0604/691386.

Stahovat můžete zde (280 KB) !!!

 [27.5.2000]
W97M/Melissa.BG@mm (W97M/Resume.A@mm). Další makrovirus.
Některé servery (většinou pouze zahraniční) informují o novém mass-mailing makroviru W97M/Melissa.BG alias W97M/Resume.A, který se šíří prostřednictvím emailových zpráv. V tomto případě má "infikovaná" zpráva subjekt: "Resume - Janet Simons" a v příloze se nachází infikovaný dokument. Infekci se vyhnete jednoduše, stačí, když si nebudete všímat přílohy této zprávy. Na to však řada lidí ještě nepřišla a tak se tenhle makrovirus vesele rozesílá na další adresy, které "vykrádá" z aplikace MS Outlook postižené osoby... Makrovirus po sobě zanechává pěknou spoušť. Maže totiž soubory na disku A: až Z:. Jak to vypadá, makrovirus maže soubory pouze v hlavním adresáři všech těchto disků. Pouze na C: se zaměřuje speciálně i na:
C:\My Documents\*.*, C:\WINDOWS\*.*, C:\WINDOWS\SYSTEM\*.*, C:\WINNT\*.*, C:\WINNT\SYSTEM32\*.*

 [27.5.2000]
Další srovnávací testy antivirů...
...lze najít na adrese: http://agn-www.informatik.uni-hamburg.de/vtc/en0004.htm. A výsledek ? 500 KB textových souborů, které jsou plné čísel, z nichž nakonec nelze určit žádného vítěze.

[27.5.2000]
Nový makrovirus O97M/Cybernet.A@mm.
Na několika serverech se objevily informace o novém makroviru O97M/Cybernet.A, podle Petra Odehnala z Grisoftu se pravděpodobně nejedná o nic vážného. Cituji část jeho popisu tohoto makroviru:

Napada XLS a DOC soubory, posila se mailem se subjektem:
"You've GOT Mail !!!" a s telem zpravy:
"Please, saved the document after you read and don't show to anyone else. The document is also VIRUS FREE... so DISREGARD the virus protection warning !!!".
Domnivam se mimochodem, ze otevrit prilohu takoveho mailu muze jenom uplny blb a ze sance O97M/Cybernet.A na nejake realne sireni jsou nekde mezi nulou a nulou.
Zobrazuje msgbox nadepsany:
"(C)2000 - CyberNET" a obsahujici:
"Assalamualaikum Li Kulli Muslim...Moslem Power Never End... Nothing Can Stop << CyberNET >> Virus. Your System Has Already Infected !!! Now...I Am Outta Here...".
Predvadi se 17. srpna a 25. prosince kdy zobrazuje nejake pitomosti a prepisuje AUTOEXEC.BAT a CONFIG.SYS. Do autoexecu da formatovani disku a vypis textu:
"Vine...Vide...Vice...Moslem Power Never End... I'm Really Sorry, This System Have Been Recycled By -= CyberNET =- Virus!!! Brought To You From INDONESIA..."
Na zacatku zdrojaku je komentar:
"W97M/CyberNET (C)2000 - Indonesia By AnomOke! I'm NOT Responsible For Any Damage That Posible Cause By My Virus...!!!".

 [25.5.2000]
Kosmetické úpravy...
Na "Igiho stránce o virech" přibylo několik univerzálních antivirů a taky nějaké ty popisy nejrozšířenějších virů.

[24.5.2000]
Konference Security 2000 se blíží !!!
Již 1. a 2. června (čtvrtek, pátek) se v Praze uskuteční konference Security 2000. Celý první den bude věnován virům, druhý pak bezpečnosti (šifrování apod.). Mezi přednášejícími budou lidé z AEC, Alwilu i Grisoftu. Přednášet by měl i nějaký Igi :-)
Přihlášku i další informace lze najít na doméně: www.security2000.cz.

[23.5.2000]
Rozhovor s členem skupiny 29A.
Na serveru ŽIVĚ lze najít rozhovor s autorem několika virů, jehož přezdívka je GriYo a patří do skupiny 29A.

[23.5.2000]
In-the-Wild List 5/2000.
Nový seznam nejrozšířenějších virů lze stáhnout zde. Následuje přehled nejvíce hlášených virů:
  Freq  Name                       Type   Aliases
 ============================================================================
  42  | W32/Ska.A............... | File | HAPPY99
  38  | W95/CIH.1003............ | File | Spacefiller
  36  | W97M/Ethan.A............ | Macro|
  35  | W97M/Melissa.A-mm....... | Macro| Maillissa
  32  | W32/ExploreZip.......... | File | Worm.ExploreZip
  32  | W97M/Marker.C........... | Macro| W97M/Spooky.C
  32  | WM/CAP.A................ | Macro|
  30  | W32/PrettyPark.A........ | File |
  29  | O97M/Tristate.C......... | Macro| O97/Crown.B
  27  | W97M/Class.D............ | Macro|
  21  | VBS/Loveletter...........| File |
  20  | VBS/Freelink............ | File |
  20  | W97M/Thus.A............. | Macro| W97M/Thursday.A
  19  | AntiCMOS.A.............. | Boot | Lenart
  18  | W32/ExploreZip.pak...... | File |
  18  | WM/Concept.A............ | Macro| Prank Macro
  18  | X97M/Laroux.A........... | Macro|
  16  | Form.A.................. | Boot | Form 18
  16  | W32/Fix2001.worm........ | File |
  16  | XM/Laroux.A............. | Macro|
  15  | JS/Kak.worm............. | File |

[21.5.2000]
Web stránka ESETu je v novém kabátu !
Co k tomu dodat. Podívejte se sami...

[19.5.2000]
VBS/NewLove - nový a nebezpečný červ !
Některé antivirové společnosti informují o novém červu VBS/NewLove, který se šíří prostřednictvím souborů, které připojuje k odesílané poště. Subjekt zprávy ani název připojeného souboru nemá stálou podobu. Červ totiž generuje subjekt zprávy zcela náhodně (do maximální délky 30 znaků) a tak často vůbec nedává smysl. Pouze začátek subjektu obsahuje vždy zkratku "FW:" a na konci je připojena jedna z těchto přípon: Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt. Zjištěno později: Pokud jsou v adresáři \Recent (ve Windows) k dispozici soubory, jsou subjekty zpráv a názvy připojených souborů generovány podle názvu souborů ve jmenovaném adresáři. Připojování "FW:" atd. samozřejmě platí i v tomto případě. Připojený soubor má stejný název jako obsah subjektu, je však odstraněn začátek "FW:" a na konci naopak přidaná přípona ".VBS". Pro chod červa je nutná podpora VBScriptů ze strany Windows - Windows Scripting Host. K dalšímu šíření pak potřebuje klienta MS Outlook z jehož "knihy adres" získává emailové adresy dalších obětí, ke kterým ihned odesílá svoji kopii. Pokud používáte jiného poštovního klienta, červ se nedokáže šířit, ale o destruktivní akci nepříjdete. Na všech dostupných discích totiž VBS/NewLove přepisuje všechny soubory tak, že jejich obsah je nenávratně ztracen. Červ VBS/NewLove se snaží být polymorfní. Svoje tělo totiž v každé generaci postupně prokládá několika řádky nesmyslů. Díky tomu je tělo červa stále větší a každá další generace je přibližně o 60% větší než ta předchozí.

 [17.5.2000]
Nový HOAX !
Po českém Internetu se šíří nový HOAX. Jedná se pouze o e-mailovou zprávu plnou nesmyslů, která obsahuje text:
VAROVANI!!! NEBEZPECNY VIRUS!!!
 
Na internetu se objevila dalsi zakerna mutace nedavno rozsireneho viru ILOVEYOU
s nazvem ONLYFORYOU.  Jak zverejnila jista softwarova firma zabyvajici se vyrobou
antivirovych programu, jedna se o mnohem nebezbecnejsi odrudu tohoto viru, protoze
proti puvodni verzi navic prohledava registr napadeneho pocitace a hleda veskera
dostupna hesla, ktera se tam nalezaji. Tyto pak odesila autorovi viru, ktery tak
behem okamziku ziska nepreberne mnozstvi hesel a tim i moznost pristupovat k nekterym
tajnym datum uzivatele, jehoz pocitac napdl tento virus. 
Timto zpusobem se take stalo, ze byl jisty uzivatel pripraven o nemalou castku ze
sveho uctu, ke kteremu se autor viru za pomoci ziskanych hesel dostal. 

Proto vyzyvame vsechny uzivatele internetu a elektronicke posty, aby ve svem
vlastnim zajmu neotvirali mail, ktery ma v predmetu ONLYFORYOU a tento okamzite
smazali. 
 
Nezapomente se o tuto informaci podelit se svymi znamymi, odeslete tento email
vsem svym znamym. Cim drive se o tom dozvi co nejvice lidi, tim snaze se
internet zbavi tohoto zakerneho viru. 
 
Dekujeme za vsechny slusne lidi.

Pokud něco takového dostanete, doporučuji to okamžitě smazat.

 [17.5.2000]
AVG 6.0 & MS Outlook Express...
Brněnská společnost Grisoft (AVG) vypustila první beta verzi (build 148), která zajišťujě automatickou kontrolu příchozí a odchozí pošty v klientu MS Outlook Express. Finální verzi tedy můžeme očekávat za nedlouho.

[15.5.2000]
Aktuální pro každého !
Slovenská společnost Eset s.r.o. konečně vydala aktuální demo verze antivirů řady NOD. Doufejme, že bude tyto demo verze vydávat častěji a ne jen občas, jako tomu bylo dříve. Stahovat můžete zde.

[11.5.2000]
Alwil AVAST! rozšířen o kontrolu elektronické pošty !
Tuzemská společnost Alwil (AVAST! antivirus - www.asw.cz) obohatila svůj antivirus o modul, který dokáže hledat viry a ostatní "havěť" v příchozí i odchozí elektronické poště. Modul má obrovskou výhodu, dokáže totiž pracovat s jakýmkoliv poštovním klientem. Jedinou podmínkou je využívání POP3 a SMTP protokolu. A co z toho plyne pro běžného uživatele ? Na své si hlavně příjdou majitelé i méně používaných poštovních klientů. Ochuzeni nezůstanou ani majitelé problematického produktu MS Outlook Express (viz. AVG & MS Outlook Express).

[11.5.2000]
Heuristika podruhé.
Slovenský antivirus NOD32 (www.eset.sk) už není jediný, který využívá heuristickou analýzu pro detekci VBScriptů. Ve stejný den totiž uvedla společnost Kaspersky Lab (www.avp.ru) produkt AVP Script Checker, který plní podobnou funkci. Ke svému chodu však nepotřebuje žádný jiný produkt s dílny Kaspersky Lab. AVP Script Checker je totiž pouze "filtrem" mezi programem, který VBS používá a "motorem" (např. WSH), jenž skripty zpracovává.

[10.5.2000]
Heuristikou na skripty !!!
Slovenský antivirus NOD32 je od verze 1.36 doplněn snad o první heuristickou analýzu na světě, která dokáže odhalit i nebezpečné Java skripty a Visual Basic skripty. Majitelé NODu se tak nemusí prakticky bát před případným útokem dalších červů, typu VBS/LoveLetter (I_LOVE_YOU) apod. Bližší informace na www.eset.sk.

[10.5.2000]
Nová verze antiviru proti červu VBS/LoveLetter (I_Love_You).
Tak jsem opět vydal novou verzi univerzálního antiviru, který odstraňuje červa VBS/LoveLetter ze systému. Tentokrát již spolehlivě odstraňuje údaje z registrů a doporučuji proto dodatečně projet i počítače, které byly "léčeny" starší verzí tohoto antiviru. Není to však nutné, klíčové soubory červa odstraňovaly všechny verze spolehlivě. Na závěr ještě několik informací:

  • Antivirus lze spouštět i z příkazové řádky - parametry:
    /reg - prohledá i registry Windows.
    {disk:} - vyhledá na vybraném disku infikované, či poškozené soubory.

    Příklad: I_LOVE_YOU_antivirus.exe e: /reg

  • Infikované soubory jsou hledány podle sekvence "rem barok -loveletter(vbe) *i hate go to school*", a nelze tak vyloučit, že některé další mutace červa nebudou zachyceny. Nejrozšířenější varianta VBS/LoveLetter.A je však spolehlivě detekována.

    [8.5.2000]
    Filipíny: policie zatkla muže kvůli ILOVEYOU !
    Policie při razii žádný počítač nenašla, o pachateli však nepochybuje. Detaily zde.

    [6.5.2000]
    Svět Namodro nabízí zdrojový kód červa !
    Při pohledu na server     Svět Namodro jsem se zarazil. V jednom článku se totiž vyskytují i odkazy na zdrojové kódy červa I_LOVE_YOU (LoveLetter) ! Od serveru, který se již dlouhou dobu zajímá o bezpečnost jsem to opravdu nečekal...

    V MF DNES se objevil článek, který vyčíslil škody způsobené červem na 2,6 miliardy dolarů. Některé pasáže bych však nebral příliš vážně, např. "Stačilo by dodržet jen základní pravidla: Neotevírat zprávy, především však přílohy od cizích odesílatelů.". Tohle pravidlo nemusí příliš fungovat. Já dostal přílohu od kámoše !

    [5.5.2000] - aktualizováno !!!

    Nová verze antiviru na červa I_LOVE_YOU.

    Právě jsem dokončil novou verzi univerzálního antiviru na tohoto červa. Novinkou je možnost prohlížet vybrané disky a vyhledávat tak přepsané soubory. Stahovat můžete zde (280 KB).

    [5.5.2000]

    Počítačový svět nic podobného nezažil...

    Nový červ I_LOVE_YOU se dokázal rozšířit po celém světe neuvěřitelnou rychlostí. U Grisoftu se dokonce objevila zpráva:

    "W97M/Melissa potrebovala k celosvetovemu rozsireni tri dny, I-Worm/ExploreZip to zvladnul za den a VBS/Iloveyou na to stacily tri hodiny".

    Některé servery antivirových společností jsou přetížené, vyjímku netvoří ani brněnský Grisoft, kde si na stažení mimořádné aktualizace asi hodně dlouho počkáte. Na web stránkách     Grisoftu se objevil i univerzální antivirus. Pokud se mi ho podaří získat (což je právě teď nemožné), umístím ho i na "Igiho stránku o virech".

    Zřejmě nejaktuálnější přehled variant červa I_LOVE_YOU lze najít na http://www.europe.f-secure.com/v-descs/love.htm.

    Odkazy na další články o červu I_LOVE_YOU:

    http://svet.namodro.cz/go/r-art-neris.asp?id=9753&ident=200005040057.
    http://svet.namodro.cz/go/r-art-neris.asp?id=9739&ident=200005040069.
    http://www.zive.cz/r-art.asp/id=12693.


    [4.5.2000]

    !!! Pozor na červa I_LOVE_YOU !!!


    Šíří se jako lavina !!! Infekci se vyhnete jednoduše: Nespouštějte soubor LOVE-LETTER-FOR-YOU.TXT.VBS, který Vám přijde poštou !!!

    Pokud jste ho již spustili, můžete použít antivirus moji produkce -     I_LOVE_YOU_antivirus.exe (220 KB).


    Detailní informace o červu I_LOVE_YOU:

    Červ I_LOVE_YOU se šíří v e-mailech, ke kterým se připojuje ve formě souboru LOVE-LETTER-FOR-YOU.TXT.VBS (kolem 10 KB). Subjekt "infikované" e-mailové zprávy zní: "ILOVEYOU". V těle zprávy je obsažen text: "kindly check the attached LOVELETTER coming from me.". "Dvojitá" přípona u souboru má za následek, že v některých klientech již neni část za druhou tečkou viditelná. Takový soubor se pak tváří jako obyčejný textový soubor (TXT), ve skutečnosti však obsahuje "zrůdnost" I_LOVE_YOU. Pro šíření potřebuje program MS Outlook (odtud bere e-mailové adresy dalších obětí, na které se automaticky rozešle) a nainstalovanou podporu WSH - Windows Scripting Host (aby bylo možné používat VBS). Po spuštění souboru LOVE-LETTER-FOR-YOU.TXT.VBS se červ "usadí" v systému. Vytvoří nové klíče v registrech:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

    V adresáři C:\WINDOWS\SYSTEM pak vytvoří soubory MSKERNEL32.VBS a Win32DLL.VBS. Na pevných i síťových discích vyhledává soubory s příponou VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, jejichž obsah přepíše svým tělem a příponu změní na VBS. V případě souborů s příponou JPG či JPEG je vytvořena "dvojitá" přípona - původní + .VBS. Jediné soubory s příponou MP2 a MP3 o které se virus zajímá, zůstanou ušetřeny: červ totiž nejprve vytvoří kopie těchto souborů - ty pak následně přepíše vlastním tělem a vytvoří na nich "dvojitou" příponu (původní_název.MP3.VBS). Pokud neexistuje soubor C:\WINDOWS\WINFAT32.EXE, nastaví domovskou stránku Internet Exploreru tak, aby ze serveru http://www.skyinet.net stahoval soubor WIN-BUGSFIX.EXE. Tento soubor obsahuje další výtvor - trojského koně. Po aktivaci se tento trojan usadí právě do souboru WINFAT32.EXE a někam na Filipíny se snaží přes e-mail odesílat nakradená data (uživatelské jméno, IP, hesla atd.). Červ I_LOVE_YOU může dorazit i přes IRC...

    Odkazy na další články o červu I_LOVE_YOU:

    http://www.grisoft.cz/news/iloveyou.htm.
    http://www.asw.cz/czech/wsmacro.htm#lovelet.
    http://www.eset.sk/otazky.htm#LoveLetter.
    http://www.aec.cz/ukazCZ.asp?show=398&Jazyk=CZ.
    http://svet.namodro.cz/go/r-art.asp?id=1000504498.


    [3.5.2000]
    Nová recenze antiviru AVP Platinum CZ !
    Po delší době je tu opět nová recenze antivirového systému. Tentokrát se mi do ruk dostala česká verze antiviru AVP (AntiViral Toolkit Pro), kterou poskytla společnost PCS Software s.r.o.

    [3.5.2000]
    Nikde nic...
    Omlouvám se za menší odmlku, ale není o čem psát. V posledních dnech se totiž nic zvláštního na virové scéně nestalo. Mám pouze několik drbů:

  • Vecna - autor několika kvalitních virů (například Win32/Babylonia, 7.12.1999) byl údajně zadržen policií. Nebylo to za viry, ale za držení trávy...

  • Nová verze antiviru AVP 3.5 by měla být podle plánu k dispozici na konci května či v průběhu června.

  • Pokud je v časopisu Computer nějaký článek o virech / antivirech, snad vždycky obsahuje nějaké nesmysly. V posledním čísle 7/2000 (str.58) je článek "Černobyl a ti druzí" a mimo jiné se v něm píše: "Černobyl dokáže detekovat a odstranit také antivirový program ActiveAntiVirus, který pravidelně zaujímá přední místo v žebříčku nejlepších antivirů Virus Bulletin 100% Awards". To je ve skutečnosti nesmysl - ActiveAntiVirus totiž slouží POUZE na detekci viru CIH - Černobyl a nevím proto, jak by se mohl objevit na předním místě v testu Virus Bulletin 100%.