Novinky: Červenec 2000



[22.7.2000]
PC Viruses In the Wild 07/2000

Na adrese www.wildlist.org lze stáhnout poslední seznam nejrozšířenějších virů "PC Viruses In the Wild". Mezi naprosto nejrozšířenější podle něj patří: 

  Freq  Name                       Type    Aliases
 ============================================================================
  41  | W32/Ska.A............... | File  | HAPPY99
  36  | W95/CIH.1003............ | File  | Spacefiller
  36  | W97M/Ethan.A............ | Macro |
  33  | W97M/Melissa.A-mm....... | Macro | Maillissa
  31  | VBS/LoveLetter.......... | File  |
  30  | W97M/Marker.C........... | Macro | W97M/Spooky.C
  29  | W32/PrettyPark.A........ | File  |
  28  | O97M/Tristate.C......... | Macro | O97/Crown.B
  28  | WM/CAP.A................ | Macro |
  27  | W32/ExploreZip.......... | File  | Worm.ExploreZip
  24  | VBS/Freelink............ | File  |
  24  | W97M/Class.D............ | Macro |
  21  | JS/Kak.worm............. | File  |
  21  | W97M/Thus.A............. | Macro | W97M/Thursday.A
  16  | AntiCMOS.A.............. | Boot  | Lenart
  16  | W32/ExploreZip.pak...... | File  |
  16  | W32/Fix2001.worm........ | File  |
  16  | X97M/Laroux.A........... | Macro |
  16  | XM/Laroux.A............. | Macro |
 ============================================================================



[21.7.2000]
První makrovirus pro AutoCAD 2000...

Na *-zine se nedávno objevil zdrojový kód prvního makroviru Star pro AutoCAD 2000. Kaspersky Lab dnes vypustil "press release", který se věnuje makroviru Star podrobněji. Naštěstí se nejedná o "press release", který by způsoboval nějaký "humbuk" kolem této novinky. Petr Odehnal z Grisoftu dodal k makroviru Star: "vyzaduje to takove mnozstvi spoluprace na strane uzivatele, ze to nestoji za rec".

Jak už bylo naznačeno, Star je velice primitivní makrovirus, jehož délka je 572 bajtů (21 řádků kódu). Kromě toho, že se snaží šířit obsahuje ještě poznámky: 

'[Autocad2k\Star]
'[A.s.T]
'Big Greetz to some0ne really special
'"You`ll always be a star in my sky"



[19.7.2000]
Nový článek od Bennyho !!!

Benny ze skupiny 29A dodržel slovo a tak lze na "Igiho stránce o virech" najít jeho článek o technikách, které využívají některé viry pro Windows 9x/NT - tj. Win32 viry. Článek se nachází ZDE.

Za příspěvek děkuji !



[18.7.2000]
Antivirus AVP 3.5 bude oficiálně uveden 1. září.

U Kaspersky Lab jsem se zeptal (e-mailem, samozřejmě), jak to vypadá s novou verzí antiviru AVP 3.5. Troufám si tvrdit, že Kaspersky Lab čísluje verze svých produktů nejpomaleji ze všech ostatních antivirových společností. Vždyť verze 3.0 je tu už snad 3 roky ! Zpět však k verzi 3.5. Ta bude podle slov Denise Zenkina oficiálně uvedena 1. září. Prozradil i novinky:

  • Nové grafické prostředí, využití průvodců - "wizárdů".
  • Programy AVP Inspector a AVP Script Checker budou součástí AVP Platinum.
  • K dispozici bude tzv. "AVP Rescue disk". Jedná se o bootovací disketu, která je založena na Linuxu. Díky tomu bude možné odstraňovat viry i z obtížných souborových systémů (NTFS apod.).
  • Novinky postihnou i síťovou část - Network Control Center. Týkat by se to mělo především vzdálené instalace AVP na systémech s Windows NT (WorkStations i Servers).
  • Zajištěna bude plná kompatibilita s Windows 2000.
Dorazila i informace o připravované verzi AVP 4.0 pod označením "Prague" (údajně se na tomto projektu začalo pracovat přímo v Praze, to mám však z jiného zdroje). Bude se jednat o přenositelnou verzi, která bude schopna provozu pod různými procesory, popř. OS.



[17.7.2000]
Nej srovnávací testy antivirů.

  • Obr.V posledním čísle časopisu Virus Bulletin jsem našel odkaz na adresu www.av-test.com, na které lze najít bezkonkurenčně nejlepší srovnávací testy antivirových programů. Nejedná se pouze o přehled plný čísel a procent, ale srovnány jsou zde i jednotlivé vlastnosti antivirů (typu: MÁ/NEMÁ). Velice zajímavý je i test, při kterém se hodnotí úspěšnost "léčení" jednotlivých antivirů. Vše je dostupné v přehledné Excelovské tabulce.



    [17.7.2000]
    Psychologická anketa :-)

    Od soboty je na "Igiho stránce o virech" dostupná tzv. "psychologická anketa" :-)



    [13.7.2000]
    Slevy antivirů !!!

  • U společnosti AEC (www.aec.cz) lze do 30. září zakoupit některé antiviry za velice zajímavé ceny ! Postaraly se o to slevy, které se pohybují v rozmezí 20 % až 50 % !
    • VirusScan lze pořídit se slevou 20%
    • F-Secure - sleva 30%
    • Norman Virus Control - 40%
    • AVP - 50%
    Na stránkách společnosti AEC se dále uvádí: "Akce je určena pro všechny zájemce o software z naší nabídky, tedy pro ty, kteří buď žádný antivirový software dosud nepoužívají nebo by rádi nahradili svůj současný antivirový software. Nebo například i pro ty, kteří by si rádi už používané programy zlegalizovali".

    Bližší informace jsou přesně zde.

  • Za nízkou cenu lze pořídit i "Avast! home" od společnosti Alwil Software (www.asw.cz). Jedná se o verzi antiviru AVAST, která je určena pro nekomerční účely a lze ji pořídit za 499 Kč. Včera byl taky zahájen provoz technologie iAVS naplno (viz. novinka z 4.7.2000).

    Na adrese http://svet.namodro.cz/go/r-art.asp?id=1000708742 lze pravděpodobně najít zajímavý článek. V době psaní této aktuality však nebyl přístupný, každopádně se o něm diskutovalo v e-mailové konferenci AVG, ale i v e-mailové konferenci anti-vir (přihlásit se do ní můžete i vy ! ZDE).



    [12.7.2000]
    "The Evolution of 32-Bit Windows Viruses" v češtině !

    Josef Džubák - autor stránek WORMS Josef Džubák si dal zřejmě dost práce a přeložil tak anglický článek "The Evolution of 32-Bit Windows Viruses" kompletně do češtiny. Českou verzi můžete najít na stránce WORMS a to přesně zde.



    [11.7.2000]
    Nové verze programů Office Protector a Registry AntiVirus.

    Vypustil jsem nové verze programů Office Protector a Registry AntiVirus.

    V obou případech navíc hledám někoho, kdo by byl ochoten je přeložit do angličtiny lépe než já !
    Bližší informace rád poskytnu na     igi@viry.cz.

    Stahovat můžete na stránce DOWNLOAD.



    [11.7.2000]
    Krátce...

  • Společnost Software602 plánuje do konce roku uvést novou verzi proxy serveru 602pro LAN Suite, která by měla spolupracovat s antivirovým programem AVG (www.grisoft.cz) a zajistit tak kontrolu příchozí a odchozí pošty přímo na počítači s jmenovaným proxy serverem.

  • Benny, český autor několika virů pro Windows 9x/NT (a prvního pro Windows 2000), pracující ve "službách" skupiny 29A přislíbil, že pro "Igiho stránku o virech" napíše článek o nových technikách virů (EPO, Fibers, Threads, Process atd.). Máme se na co těšit :-)

    Tucows - logo

  • Při pohledu na ohodnocení antivirů, které se vyskytují na serveru TUCOWS.COM, opravdu nechápu. Oni to snad testují podle designu !!! Nechápu, jak může antivirus Quick Heal (recenze zde) dostat "pět zlatých krav", když kupříkladu nesrovnatelně kvalitnější antivirus AntiViral Toolkit Pro (recenze zde) dostal pouze "čtyři krávy".

    Já bych to viděl spíše takhle: AntiViral Toolkit Pro - 5 krav, Quick Heal - 1 mrtvá kráva...



    [10.7.2000]
    Co bude nového v AVG 7.0 ???

    AVG - logo To je otázka, na kterou odmítají odpovědět členové společnosti Grisoft - výrobce antiviru AVG.

    Z e-mailové konference Grisoftu však "prosáklo" několik náznaků novinek:

    • Kontrola elektronické pošty, nezávislá na použitém e-mailovém klientu.
    • Heuristická analýza na detekci nových makrovirů pro MS Office 97/2000.
    • Plnohodnotný emulátor 32-bitového kódu (lepší emulace PE EXE souborů).
    Za platnost údajů samozřejmě nemůžu ručit. To jestli jsem se strefil ukáže až finální verze AVG 7.0, popřípadě se to časem dozvím od někoho z Grisoftu - pokud "změknou" :-) Druhá otázka zní, "Kdy bude AVG 7.0 ?". Výrobce nechce udávat žádné termíny. Je to možná dobře - verze 5.0 se totiž objevila o několik měsíců později, než udával původní termín...



    [7.7.2000]
    Registry AntiVirus 0.01, aneb můj další program !

    Před chvilkou jsem dokončil nový program Registry AntiVirus 0.01, který dokáže detekovat a odstraňovat následující červi:

    ExploreZIP, Fix2001, Happy99, Irok, NewApt, PrettyPark, VBS/BubbleBoy, VBS/FireBurn, VBS/FreeLink, VBS/Kakworm, VBS/LoveLetter, VBS/Stages.

    Program Registry AntiVirus odstraňuje:

    • informace z registrů, které si tam červ uložil
    • informace z INI souborů, které si tam červ uložil
    • soubory, které si s sebou červ přitáhl
    Bohužel nemám možnost otestovat funkčnost programu Registry AntiVirus na všech červech, které by měl teoreticky detekovat a odstraňovat. Pro detekci a odstraňování některých červů byly použity čistě "teoretické" informace z různých virových encyklopedií, kterých se na Internetu vyskytuje hned několik desítek.

    Stahovat můžete ZDE. Připomínky, objevené nedostatky směřujte na igi@viry.cz, popř. +420 604 691386.



    [7.7.2000]
    Výsledky podruhé...

    Včera jsem se předem omlouval za případné chyby, kterých se tam vyskytlo opravdu dost. Teď by už mělo být vše v pořádku. Opravené výsledky lze získat na původní adrese.



    [6.7.2000]
    Kompletní výsledky srovnávacího testu Virus Bulletin 7/2000 !!!

    VB 100% Award Moje přání se splnilo, kompletní výsledky srovnávacího testu antivirových skenerů lze najít zde. Starší testy pak zde. Výsledky dorazily faxem a tak jsem musel některé údaje doslova luštit. Omlovám se tedy předem za případné chyby, které by se mohly v některých hodnotách vyskytovat. Tabulka s rychlostí skenování nedorazila, když tak ji doplním, až dorazí kompletní papírová verze časopisu Virus Bulletin.



    [6.7.2000]
    Ocenění "VB 100% Award" nedostaly, protože nenašly JS/Unicle.A.

    Jak informuje *-zine, nízká úspěšnost v zisku ceny VB 100% Award byla způsobena několika faktory. Seznam PC Viruses In-the-Wild, podle něhož je srovnávací test Virus Bulletinu sestavován, vyšel pozdě. Antivirové firmy tak neměly dostatek času na to (před uzávěrkou testu), aby ještě mohly zareagovat na překvapivou novinku v dubnovém In-the-Wild list. V něm se totiž objevil virus JS/Unicle.A se kterým opravdu zřejmě nikdo nepočítal (ani já ne). Hlášení o jeho výskytu zaslali dva pánové: z Anglie a Israelu. Další informace zde.



    [6.7.2000]
    The Evolution of 32-Bit Windows Viruses

    Tak zní název celkem nového článku (1.7), který se objevil na serveru Windows 2000 Magazine OnLine. Jelikož ho napsal Peter Szor a Eugene Kaspersky, nelze o jeho kvalitě pochybovat. Škoda, že je anglicky...



    [5.7.2000]
    5 virů v jednom červu !

    Kaspersky Lab informuje o dalším červu Dilber. Jako vždy jen stručně. Červ využívá pro šíření aplikaci MS Outlook. Sám sebe odesílá na prvních 20 adres. Zpráva obsahuje text: "Received your mail, and will send you a reply ASAP. Until then, check out this funny Dilbert Dance (attached)". Přílohu tvoří soubor dilbertdance.jpg.exe. Druhá přípona (.exe) nemusí být při troše štěstí v MS Outlooku viditelná, takže to připomíná pouze JPG obrázek. Červ Dilber si ve svém těle nese s sebou dalších pět (!) virů, které v průběhu měsíce vypouští do systému:

    Win32/Bolzano, Win95/CIH, VBS/FreeLink, Win95/SK, Win32/AOC



    [4.7.2000]
    Nový srovnávací test antivirů časopisu Virus Bulletin.

    VB 100% Award Po dvoj-měsíční pauze (způsobené nevydáním seznamu PC Viruses In-the-Wild) je zde opět další srovnávací test antivirových skenerů, který provádějí pánové z časopisu Virus Bulletin. Antiviry, které dokážou detekovat 100% In-the-Wild virů (tj. nejrozšířenějších virů) dostávají ocenění "VB 100% Award". Tentokrát se stal středem pozornosti operační systém Windows 98 a jmenovanou cenu získaly překvapivě pouze 3 (!!) antiviry:

     Slovenský antivirus NOD (www.eset.sk) je v získávání ocenění "VB 100% Award" prakticky nepřekonatelný. Pokud se nepletu, NOD tuto cenu získal pokaždé, když byl testován.

    Později lze na "Igiho stránce o virech" očekávat kompletní výsledky tohoto srovnávacího testu.




    [4.7.2000]
    Novinky u antiviru AVAST!

    Alwil software - výrobce tuzemského antiviru AVAST! představil novinku, která je součástí červencové verze. Jedná se o vymoženost iAVS, která zrychluje aktualizaci databáze virů. Antivirus AVAST! tak přechází na metodu aktualizace prostřednictvím "dodatků" (odborně inkrementální aktualizace). V podstatě jde o to, že:
    Alwil software vydává (respektive začne vydávat) aktualizace každý týden ve formě "dodatků", díky kterým není nutné stahovat pokaždé celou databanku virů, ale pouze několik posledních KB dat, které v databance přibyly od poslední aktualizace. Podle informací Alwilu by takové dodatky měly měřit max. několik desítek KB. Alwil software tímto navíc přechází z měsíční periody aktualizace databází na týdenní.



    [1.7.2000]
    Jsou tu prázdniny, ale i další viry !

    Kaspersky Lab informuje o novém červu Silver, který patří mezi ty dokonalejší:

  • Šíří se ve formátu klasického PE EXE (kolem 90 KB) souboru, který vznikl v programovacím jazyku Delphi.
  • Využívá dvě metody při odesílání prostřednictvím el. pošty:
    • První: pracuje s klientem Eudora:
        Subjekt zprávy: concerning last week ...
        Tělo zprávy: Please review the enclosed and get back with me ASAP. Double click the Icon to open it.
        Příloha - soubor: silver.exe
    • Druhá: využívá funkcí MAPI - NENÍ závislý na konkretním klientu (MS Outlook apod.):
        Subjekt zprávy: Re: now this is a nice pic :-)
        Tělo zprávy: Thought you might be interested in seeing her
        Příloha - soubor: naked.jpg.exe
  • Šíří se přes IRC kanály.
  • Šíří se v lokální síti přes sdílené disky.
  • V systému se natrvalo usadí.
  • Modifikuje více než 100 položek v registrech !
      To se týká především asociace přípon souborů s programy. Červ Silver totiž řadě příponám přiřadí soubor SILVER.VXD. Pokud je tento soubor smazán, OS Windows se stává prakticky nefunkčním.
  • Svoji přítomnost dává najevo i v menu Start/Ovládací panely/Přidat nebo odebrat programy:
      Zde přibude řádek - program: Silver Rat Virus. Pokud chce uživatel tento "program" odinstalovat, zobrazí se: "I have to return some videos" - American Psycho
  • Silver vypíná některé rezidentní skenery (AVP, Norton, McAfee...) a odmazává virové báze (AVP - *.AVC, McAfee - *.DAT).

    Silver toho dělá daleko více, ale tohle je to nejpodstatnější.