Novinky: Listopad 2000 |
| [30.11.2000] |
Recenze antiviru AVX - AntiVirus eXpert 2000 v5.8.3 !!!
Jaký je antivirus AVX, který lze překvapivě stáhnout z domény WWW.AVP.COM ??? To se můžete dozvědět v této recenzi !
| [30.11.2000] |
Další recenze v pondělí !
Už je to jasné, v pondělí se můžete těšit na další recenzi ! Tentokrát slíbený NOD 1.51 pro Novell (www.eset.sk) ! "Exemplář" byl včera nainstalován na servery Střední Průmyslové Školy ve Dvoře Králové nad Labem (www.spstdk.cz). Nejtěžší zkouška ho čeká v pátek. Recenzi tak lze očekávat již v pondělí ! První dojmy mám již teď: je to skvělé !
| [29.11.2000] |
I_Love_You v Guinnessově knize rekordů !
Po krátké pauze jsem opět tady:
Červ I_Love_You (LoveLetter) je v Guinnessově knize evidován jako nejvíce rozšířený virus. Tuto informaci podložila společnost Trend Micro, což podle slovenského *-zinu není zrovna nejlepší...
Bližší informace na http://www.guinnessworldrecords.com/record_catagories/recordhome.asp?RecordID=52411.
| [29.11.2000] |
Trochu jiná recenze !
Vše nasvědčuje tomu, že by se mohla na "Igiho stránce" objevit poněkud netypická recenze slovenského antiviru NOD pro Novell. Vše záleží na lidech z ESET s.r.o. - www.eset.sk :-)
| [22.11.2000] |
Aktuální téma - červ I-Worm/Navidad !
Jelikož u nás řádí červ I-Worm/Navidad, vracím se k němu ještě jednou:
Popis červa Navidad:
| [17.11.2000] |
Tentokrát z Polska !
Z Polska se k nám dostal další červ ! Tentokrát se jmenuje I-Worm/Verona (alias I-Worm/Blebla). V konferenci AVG (www.avg.cz) se velice rychle objevil následující popis. Autorem je Petr Odehnal:
Jednoduchy cerv polskeho puvodu, ktery se rozesila ve zpravach s temito predmety:
Romeo&Juliet :)))))) hello world !!??!?!? subject ble bla, bee I Love You ;) sorry... Hey you ! Matrix has you... my picture from shake-beer
Zprava je v HTML formatu a obsahuje skript, ktery otevira prilozeny soubor MYJULIET.CHM. Tento soubor napovedy zustane po svem otevreni na obrazovce minimalizovan a v nem obsazeny kod spousti dalsi prilozeny soubor - MYROMEO.EXE. To je vlastni kod wormu (je napsan v Delphi a komprimovan pomoci UPX), ktery po svem spusteni vyrobi a rozesle infikovane maily na adresy z adresare Outlooku. Jakmile s rozesilanim skonci, tak najde v pameti bezici kopii souboru HH.EXE a ukonci jeji cinnost. Tento program slouzi k zpracovani .CHM souboru a virus tak zrusi proces, ktery poslouzil k jeho spusteni - MYJULIET.CHM. Pro rozesilani mailu se snazi pouzit sest polskych SMTP serveru, ktere jsou spatne nakonfigurovany a mohou komukoliv poslouzit k odeslani zpravy.
Dejde si tedy pozor na přílohy elektronické pošty !
| [17.11.2000] |
O červu Energy ještě jednou, tentokrát hovoří přímo jeho autor...
Benny dodal bližší informace o horké novince - červu Energy. Celý článek lze najít ZDE.
| [16.11.2000] |
I-Worm.Energy - nový červ z Brna...
Benny (29A) zřejmě vůbec nespí, protože krátce po uvedení viru Win32/HIV (viz. novinka z 8.11.2000), dokončil i nového červa I-Worm.Energy. Jde o velice malého červa, který se samozřejmě šíří elektronickou poštou. Použitá technologie znemožňuje chod červa pod Windows 9x. Na své si tak příjdou pouze příznivci Windows 2000. Podrobnější informace dodá (snad) přímo Benny...
| [15.11.2000] |
Červík Win32/Navidad...
Skoro bych zapomněl na celkem nového červa Win32/Navidad. Pokud se u vás objevil e-mail se souborem NAVIDAD.EXE v příloze, věřte, že dorazil i k vám. V nouzi se jistě bude hodit univerzální antivirus (v seznamu úplně dole).
Dodatek 16.11.2000: Popis Win32/Navidad lze najít na stránkách Grisoftu - přesně ZDE.
| [15.11.2000] |
AVX & AVP.
Doména www.avp.com byla nějaký čas nedostupná. Teď už funguje, ale překvapivě už nesouvisí s antivirem AVP (Kaspersky Anti-Virus). Místo něj se nabízí antivirus AVX, Rumunské společnosti SoftWin... AVX se již brzo stane vhodným kandidátem na recenzi :-)
| [13.11.2000] |
Slovenský NOD32 1.49 přinesl novinku...
Slovenský antivirus NOD32 1.49 společnosti ESET s.r.o (www.eset.sk), přinesl jednu významnou novinku. NOD32 byl rozšířen o modul NOD32 Control Center (NOD32CC). Ten mimo jiné umožňuje přímé stahování aktualizace z Internetu. Změny pocítí i "síťaři". Administrátor totiž může vytvořit šablonu, podle které se NOD32 instaluje na stanicích. Není tak nutné dodatečně konfigurovat jednotlivé stanice. NOD32CC je zřejmě přípravou i pro budoucí centrální administraci stanic, to však není nikde uvedeno, pouze si to myslím :-)
| [13.11.2000] |
Změna názvu...
Podle této zprávy je zřejmé, že příští rok už nebudeme kupovat AntiViral Toolkit Pro (AVP), ale Kaspersky Anti-Virus. Pouze změna názvu...
| [13.11.2000] |
I-Worm.Hybris, další červík...
Společnost Kaspersky Lab. (www.kaspersky.com) ještě informuje o novém červu Hybris. Ten si pohrává se souborem WINDOWS\SYSTEM\WSOCK32.DLL, díky čemuž se dokáže šířit prostřednictvím e-mailů na další počítače. Červ si s sebou nese několik tzv. "plug-inů". Ty se mohou lišit v závislosti na variantě červa. Díky jednomu "plug-inu" tak Hybris dokáže infikovat archivy ZIP/RAR, do kterých vkládá dropper - {původní}.EXE přejmenuje na {původní}.EX$ a sebe uloží do {původní}.EXE. Jedná se tedy zároveň o doprovodný virus (companion virus). Infikovaný e-mail můžete poznat následovně (červ si vybere jednu z následujících možností):
| [8.11.2000] |
Benny a jeho nový virus Win32/HIV osobně :-)
U příležitosti uvedení nového českého viru Win32/HIV na trh (o beta verzi jsem informoval 2.11.2000), si Benny dovolil připravit krátký proslov :-)
Vazene publikum,
Igi me pozadal, abych napsal neco (cesky) o mym novym viru Win32.HIV. Binarni verzi tohoto dilka si muzete stahnout z me stranky, jejichz adresu tu nebudu jmenovat; neni ale velky problem ji na inetu najit.
Nuze, Win32.HIV jsem programoval relativne dlouhou dobu, uz od zimy 2000, a kvuli me velke lenosti jsem ho dokoncil az ted v listopadu. Zacinal jako nasledovnik Win2k.Installeru, ktery mel prinest dalsi "podobne" novinky. Opet jsem mel spolupracovat s Darkmanem, mel to byt de-facto nas druhej "co-op project". On nasel zpusob, jak totalne vyradit SFC z provozu, tzn. ze ochrana systemovych souboru pod Win2k/98/ME nebude fungovat a virus bude schopen infikovat opravdu VSECHNY soubory. Mel infikovat soubory nezavisle na jejich priponach, vcetne MSI fajlu, sirit se pres postu, vyuzivat EPO a nejakou tu enkrypci. Vlastne to mel byt jen dalsi maly virus s nejakyma tema novinkama, podobne jako Win2k.Installer.
V hlave se mi uz dlouho honila predstava Win32-kompatibilni multi-process residence. Podarilo se mi naprogramovat rutinu, ktera prohleda vsechny procesy v pameti a napoji se na souborove API funkce ulozene v Kernel32.dll. Tim ovladne souborove operace ve vsech procesech, nejenom v tom aktualnim, ale ve vsech prave spustenych procesech (narozdil od per-process).
Virus jsme s Darkmanem nazvali Win32.HIV - nasim cilem bylo naprogramovat virus, ktery jakymsi zpusobem ochromi "imunitni system" operacniho systemu - a to prave disablovanim SFC.
Napadu zacalo pribyvat, bohuzel Darkman byl dost vytizenej v praci, tudiz se programovani nemohl zucastnit. Pomohl mi tedy alespon naprogramovat SFC rutiny, ktere vymyslel prave on. Taky jsem objevil zpusob, jak to udelat aby se virus mohl sirit pres FTP. Staci jen odchytit si internetova volani, a pokazdy gdyz se negdo konektne na eFTyPko zkopirovat dropper viru do korenoveho adresare.
Projekt se zacal zvetsovat vic a vic. Po ceste za Ratterem (nasledujici dny jsem s nim napsal virus Win2k.Stream) jsem se rozhodl implementovat sireni emailem a infikaci HTML dokumentu pres XML dokumenty. Napad infikovat XML dokumenty patri Rajaatovi, ktery tuto metodu celkem hezky popsal v magazinu 29A#4. Ja jsem se pokusil jeho myslenku zrealizovat prave v tomto viru. Pozdeji pribyly streamy, NTFS komprese a v neposledni rade updatovani pres internet. Virus se zdal byt hotov.
Prvni debug/beta-verzi jsem dal k testovani mnoha lidem, kteri si o ni pozadali. Potreboval jsem vedet, zda virus funguje jak ma a pokud ne, gde presne je chyba. Bohuzel, nejaky nadsenec, pravdepodobne nejaky AV informator odemne taky dostal vzorek a poslal jej do KasperskyLab. Zjistil jsem, ze tato verze mela par much. Virus jsem vylepsil, odstranil jsem chyby co jsem nasel, neco sem pridal a neco odebral a poslal to do KasperskyLab, F-Secure a do Grisoftu. Pred nedavnem byl zverejnen popis Win32.HIV na strankach KasperskyLab. Bohuzel, byl to popis prave one zminene beta-verze.
Od te doby prosel virus testovanim a pribylo par novych funkci. Je to prave ta verze, kterou muzete nalezt na me strance... verim, ze se mi podarilo naprogramovat dobry virus, ktery se muze opet pochlubit uplne novymi funkcemi. Pokud mate jakekoliv pripominky, napiste mi je na benny_29a@privacyx.com.
Dekuji za pozornost :-)
| [5.11.2000] |
Nové testy Virus Bulletinu...
Po dvou měsících je tu opět další srovnávací test antivirových programů, přesněji antivirových skenerů. Tentokrát se testovalo pod Windows NT. Cena "VB 100%" se nakonec rozdělila pouze mezi tři antiviry: CA InoculateIT, CA Vet Anti-Virus, Symantec Norton AntiVirus. Nutno podotknout, že na špatných výsledcích mají zřejmě zásluhu i přímo ve Virus Bulletinu. On-access test (test paměťově rezidentních skenerů) se jim totiž příliš nepovedl. Řada antivirů totiž získala 0% v detekci boot virů, což je ve skutečnosti nesmysl. Tuzemský antivirus Alwil Avast! (www.asw.cz) nebyli schopni v on-access otestovat prakticky vůbec. Poprvé v historii nedostal ocenění VB100% slovenský antivirus NOD32 (www.eset.sk). I když měl jako jediný ve všech kategoriích 100% (!!!) a rychlostně skoro všechno "převálcoval", cenu nezískal díky několika falešným poplachům.
Kompletní výsledky lze najít zde. Výsledky starších testů zde.
| [3.11.2000] |
PC Viruses In the Wild 10/2000
Na adrese www.wildlist.org lze stáhnout poslední seznam nejrozšířenějších virů "PC Viruses In the Wild". Mezi nejvíce rozšířené se samozřejmě dostal i "mutant" MTX (popis zde, protizbraň zde):
Freq Name Type Aliases ============================================================================ 38 | W32/Ska.A-m............. | HAPPY99 36 | VBS/LoveLetter.A-mm..... | 34 | W97M/Ethan.A............ | 33 | W95/CIH.1003............ | Spacefiller 32 | W32/PrettyPark-mm....... | 31 | W97M/Melissa.A-mm....... | Maillissa 30 | W97M/Marker.C........... | W97M/Spooky.C 29 | VBS/Stages.A-mm......... | VBS/ShellScrap 27 | JS/Kak-m................ | 26 | O97M/Tristate.C......... | O97/Crown.B 25 | VBS/Freelink-mm......... | 23 | W32/MTX-m............... | W95/MTX.9244, W32/Apology-B 23 | WM/CAP.A................ | 21 | W97M/Thus.A............. | W97M/Thursday.A 20 | W32/ExploreZip-m........ | Worm.ExploreZip 17 | W97M/Class.D............ | 16 | W32/Fix2001-m........... | 15 | W32/ExploreZip.pak-m.... | 15 | W32/Qaz................. | ============================================================================
| [2.11.2000] |
Nová (beta) specialita z České kuchyně... virus Win32/HIV.
Benny, český autor několika populárních virů (z poslední doby třeba W2K/Installer, či W2K/Stream), "ukuchtil" další lahůdku v podobě viru Win32/HIV. Virus Win32/HIV nebyl zatím oficiálně představen (na Bennyho stránkách o něm prakticky nic nenajdete), i tak se však jeho podrobný popis objevil v AVP Virus Encyklopedii (www.avp.ch/avpve). Nechápal jsem, ale Benny mě telefonicky vysvětlil, že v AVP Virus Enc. analyzovali pouze beta verzi viru HIV, kterou Benny daroval každému zájemci o beta-testování (ano, už se najímají i beta-testeři virů :-).
Zpět však k viru Win32/HIV. Jako vždy jde o pořádnou pecku:
Detailnější informace lze očekávat přímo v Bennyho "proslovu", který (snad) napíše pro "Igiho stránku o virech" po oficiálním představení tohoto viru :-)
| [1.11.2000] |
SONIC - červ, který se "vylepšuje" přes Internet...
Kaspersky Lab informuje o novém "self-updating" červu Sonic, což znamená, že dokáže sám sebe aktualizovat prostřednictvím Internetu. Sonic se skládá ze dvou části:
Po instalaci hlavní části se rozešlou na adresy z WAB (Windows Address Book) e-maily se souborem GIRLS.EXE v příloze a textem "Choose your poison" v subjektu.
Otázkou zůstává, jak dlouho bude dostupná stránka, odkud si Sonic stahuje hlavní část + aktualizace.