Novinky: Srpen 2000



[29.8.2000]
Virus/červ/backdoor MTX - už málo k dokonalosti...

V AVP Virus Encyclopedia (www.avp.ch/avpve) se objevil popis velice zajímavého viru/červa/backdooru, označeného jako MTX.



[29.8.2000]
Stránky AEC v novém kabátě...

Grafická podoba stránek společnosti AEC - distributora řady antivirových programů, ale i vlastních produktů, změnila radikálně vzhled webovských stránek. Důkaz lze najít na www.aec.cz.

Nová verze 0.16 programu ProgMenu ! Na stažení zde.

[25.8.2000]
PC Viruses In the Wild 08/2000

Na adrese www.wildlist.org lze stáhnout poslední seznam nejrozšířenějších virů "PC Viruses In the Wild". Snad poprvé v historii se v tomto žebříčku neobjevil žádný virus pro starý (...a dobrý) DOS. Mezi naprosto nejrozšířenější podle něj patří: 

  Freq  Name                       Type    Aliases
 ============================================================================
  41  | W32/Ska.A............... | File  | HAPPY99
  36  | W97M/Ethan.A............ | Macro |
  35  | W95/CIH.1003............ | File  | Spacefiller
  33  | VBS/LoveLetter.......... | File  |
  33  | W97M/Melissa.A-mm....... | Macro | Maillissa
  32  | W32/PrettyPark.......... | File  |
  30  | W97M/Marker.C........... | Macro | W97M/Spooky.C
  28  | O97M/Tristate.C......... | Macro | O97/Crown.B
  27  | WM/CAP.A................ | Macro |
  25  | W32/ExploreZip.......... | File  | Worm.ExploreZip
  24  | JS/Kak.worm............. | File  |
  24  | VBS/Freelink............ | File  |
  23  | W97M/Class.D............ | Macro |
  21  | W97M/Thus.A............. | Macro | W97M/Thursday.A
  20  | VBS/Stages.A............ | File  | VBS/ShellScrap
  16  | W32/ExploreZip.pak...... | File  |
  16  | W32/Fix2001.worm........ | File  |
  16  | X97M/Laroux.A........... | Macro |
  16  | XM/Laroux.A............. | Macro |
 ============================================================================



[23.8.2000]
Další soupis novinek.

  • Podle informací je vydání dlouho očekávané verze antiviru AVP 3.5 pro Windows odloženo na 10.září. Důvodem je spousta novinek, které značně zasáhnou i do všech dokumentací a souborů s nápovědou.

  • Benny napsal celkem dlouhý článek o VX-meetingu, který se před nedávnem konal v Brně (viz. novinka z 5.8.2000). Bohužel nakonec dodal článek pouze v angličtině :-( Některé pasáže jsou opravdu zajímavé, třeba vyvolávání GriYa rozhlasem na letišti v Praze... Několik dní po meetingu v Brně začal další, tentokrát v Holandském Amsterdamu. Fotky nedorazily, Benny nemá skener a od návratu z Amsterdamu ani mobil :-( - někdo mu "šlohnul" Nokii 3210. Ještě abych nezapomněl na ten článek - lze ho získat zde.



    [20.8.2000]
    Co je nového od minule ?

    Tak jsem se opět vrátil. Během mé nepřítomnosti se stalo toto:

  • Několik serverů informuje o nové mutaci červa VBS/LoveLetter - o variantě BD. Do popředí se dostala hlavně díky tomu, že se snaží získat data od Švýčarské banky UBS. Jinak nic zvláštního. Červ VBS/LoveLetter.BD se šíří prostřednictvím el. pošty v souboru RESUME.TXT.VBS. Některé antiviry je nutné pro detekci tohoto červa aktualizovat, jedná se totiž o větší modifikaci než je zvykem.

  • Na této adrese lze získat srovnávací test antivirových skenerů. BOHUŽEL JE TO UKÁZKA TOHO, JAK BY TEST NEMĚL NIKDY VYPADAT. Hlavní důvody:
    • Testovat všechno, co se dostane autorům "pod nos" (tzv. zoo test) je velký nesmysl. V testu se tak s největší pravděpodobností vyskytují i viry, které nejsou v dnešní době schopné provozu.
    • Postrádám seznam virů, na kterých byl test proveden (+počet namnožených kopií). Jinak to nemá smysl.
    • Vzhledem k tomu, že se jedná v tomto odvětví o ne příliš známý spolek, tipoval bych, že virová sbírka byla tvořena "na rychlo" za asistence referenčních antivirů (z testu by se mohlo zdát, že se jedná o AVP a F-SECURE).
    • Z předchozího bodu plyne, že skóre ostatních antivirů může být negativně ovlivněno v závislosti na počtu "omylů" (nefunkčně infikovaný soubor, falešný poplach...) referenčních antivirů AVP a F-SECURE.
    Pokud tedy váháte, jaký antivirus pořídit, rozhodně se nenechte ovlivnit tímto srovnávacím testem (i když samozřejmě proti kvalitám AVP a F-SECURE nic nemám).

  • Na podstatně kvalitnější test se lze tešit na serveru av-test.com. Bohužel i "šéf" tohoto projektu se již dopustil několika chyb. Pavel Baudiš z Alwilu - www.asw.cz (AVAST! antivirus) by mohl hovořit - viz. starší test v německém CHIPu, kde byly některé výsledky dosti nesmyslné.

  • V době mé nepřítomnosti se konal v Holandském Amsterdamu další VX-meeting. Přítomen byl i Benny, který snad již brzo dodá článek o VX-meetingu v Brně (viz. zde).

  • Díky tomu, že jsem se v sobotu setkal s Miroslavem Trnkou ze slovenského ESETu - www.eset.sk, znám i několik plánovaných novinek u antiviru NOD32. Příjemnou novinkou je i skutečnost (???), že antivirus NOD32 lze koupit opět u českého distributora. O všech detailech budu informovat až po schválení ze strany ESETu.

  • Stránka o červech, hoaxech a dalších věcech je přihlášena do soutěže o Zlatou Zmiji. Podpořit ji můžete ZDE. Nutno podotknout, že kolega to udělal opravdu mazaně. Svoji stránku totiž do soutěže zaregistroval těsně před uzávěrkou (tj. před půlnocí) a tak se v seznamu nachází úplně nahoře :-)



    [12.8.2000]
    AVG má nové bratříčky...

    Grisoft - výrobce antiviru AVG včera oficiálně vypustil produkty:

    • AVG pro NT Server
    • AVG pro Exchange Server
    Oba dva produkty lze stáhnout     ZDE. Další informace jsou pak dostupné např. v brožuře prod_doc.pdf.



    [12.8.2000]
    I NOD má dalšího bratříčka...

    Slovenská společnost Eset uvolnila k testování druhou beta verzi antiviru NOD pro Novell NetWare. Bližší informace lze získat ZDE.



    [8.8.2000]
    Encyklopedie virů na stažení.

    Na adrese http://www.avp.ch/E/vehelp.htm lze stáhnout po delší době novou verzi encyklopedie virů v HLP podobě.



    [5.8.2000]
    Jak to v pátek vypadalo na VX-meetingu.

    V pátek jsem měl možnost poznat několik lidí, kteří se účastnili VX-meetingu v Brně. Bohužel jsem již neviděl Prizzyho, Morta a Rattera, kteří v Brně byli již v předchozích dnech. "K dispozici" byl pouze člověk, říkající si Benny, který zároveň celou akci organizuje. Jak řekl, pozval ze zahraničí daleko více lidí, ale přijelo jich jen několik. Mezi nimi byli v pátek dostupní: GigaByte a GriYo. "GigaBajtka" je zřejmě jediná aktivní autorKA virů. Pro změnu GriYo je jeden z nejznámějších autorů virů. Pro zajímavost: je mimojiné autorem prvního polymorfního viru pro Windows. Jak dále Benny prozradil, scházejí se členové meetingu každé dopoledne v nejmenované hospodě. Po té se celá parta stěhuje z hospody do hospody. Benny však nezapoměl ani na kulturní vložky (návštěva historických památek apod.). V době mé přítomnosti jsme navštívili i Internetovou kavárnu, kde se "GigaBajtka" napojila prostřednictvím programu mIRC k jednomu kanálu, kde již čekal MGL. MGL takto získává informace o průběhu celého VX-meetingu, které pak umisťuje na slovenský web *-zine.
    Benny mně daroval plakát (A4), který ve čtvrtek rozlepovali po celém Brně. Nezapoměli ani na budovu Grisoftu, kde se těchto plakátů vyskytovalo hned několik. Bez mého vědomí samozřejmě nezapoměli ani na moji přezdívku "IGI". Před budovou Grisoftu se údajně uskutečnilo i dlouhé pózování společně s plakátem s nápisem "GriYosoft" a podpisy všech návštěvníků VX-meetingu.

    Náhled na zmiňovaný plakát (po kliknutí se zvětší):



    [5.8.2000]
    Někdo hacknul službu Mr.Linx !!! Perlička jak má být !!!

    Josef Džubák (www.masters.cz/worms) mě v sobotu dopoledne upozornil, že někdo hacknul službu Mr.Linx (mr.linx.cz). Jedná se o službu, která se stará o vzájemnou výměnu reklamních proužků (bannerů) mezi servery, které jsou v službě Mr.Linx přihlášeny. Osoba, která si říká Coroner "hacknula" server Mr.Linx velice zajímavě. Coroner totiž odstranil zřejmě všechny původní bannery přihlášených serverů a nahradil je vlastním bannerem, který odkazuje na slovenskou variantu služby Mr.Linx - mr.linx.sk. Stránka na této adrese je hacknuta naprosto totálně (tj. nic původního se nezachovalo). A co z toho všeho mimojiné vyplývá ? Na všech serverech, které jsou do akce Mr.Linxe zapojeny (tj. i "Igiho stránka o virech"), zobrazují na svých stránkách POUZE banner Coronera, který směřuje na URL mr.linx.sk. Kolem 11:30 v sobotu byla zřejmě činnost serveru Mr.Linx zastavena.

    Důkazy:

    Dodatek: Je 5.8.2000, 11:30 a server Mr.Linx je dole. Zřejmě již pracují na jeho opravě.



    [2.8.2000]
    Tak jsem se vrátil !

  • Po několika dnech jsem opět tady, abych Vás informoval o novinkách ve světě virů a antivirů. Jak jsem zjistil, o nic jsem během dovolené nepřišel. Snad jen CAI informuje o nové verzi červa VBS/Kakworm.B, který využívá díru v MS Outlooku a dokáže se aktivovat již při pouhém otevření zprávy (červ se šíří přímo ve zprávě - žádný soubor v příloze). Od verze A se liší pouze minimálně.

  • Někde v Brně začal včera probíhat "meeting" lidí, kteří programují viry. Pozvání přijalo i několik zahraničních hostů. Celá akce potrvá až do neděle, a pokud to dobře dopadne, setkám se s nimi i já :-)

  • Na závěr jedna nevirová novinka: na stránce Download lze stáhnout můj nový produkt ProgMenu. ProgMenu slouží k vytvoření přehledného seznamu programů (třeba i her), které se nacházejí na disku (pevném, CD apod.). Z prostředí ProgMenu je možné tyto programy jednoduše spouštět, navíc se u nich zobrazí jejich popis a lze připojit i obrázek s náhledem.