Novinky: Leden 2001



[31.1.2001]
AVG 6.0 a vylepÜenß sφ¥ovß aktualizace...

SpoleΦnost Grisoft software (www.grisoft.cz) vydala nov² build 230 svΘho antiviru AVG 6.0, kter² dokß₧e b²t dφky novΘmu AVGADMINu 6.0.20 v sφti daleko "hodn∞jÜφ". T²kß se to sφ¥ovΘ aktualizace, kterß byla doposud vcelku "agresivnφ". Te∩ by se m∞lo vÜe zm∞nit :-)

Zm∞n tak doznala i recenze antiviru AVG 6.0 v sφti. Seznam recenzφ se snad ji₧ brzo rozroste o sφ¥ovou verzi antiviru AVAST32. Bohu₧el vÜak nejsem doposud schopen °φci, kdy to bude :-(



[29.1.2001]
!!! Benny hovo°φ o svΘm Φervu I-Worm.Universe !!!

Benny/29A (benny@post.cz) dodal Φlßnek, ve kterΘm pφÜe o svΘm novΘm Φervu I-Worm.Universe (viz. novinka 25.ledna) a takΘ o v∞cech, kterΘ se dφky n∞mu staly... Cel² Φlßnek lze najφt ZDE !!!.



[28.1.2001]
╚erva Anarxy lze ovlßdat p°es mobilnφ telefon !!!

a nejen to, jde o ΦeskΘ dφlo !!! Postaral se o to Ratter (ratter@atlas.cz)...
╚erv Anarxy je schopen provozu pod OS Windows 9x/ME a NT/2000 (usadφ se ve windows\system32\msiefix.exe). ╚erv Anarxy existuje celkem ve dvou podobßch, o kterΘ se rozhodne u₧ b∞hem kompilace zdrojovΘho k≤du:

  • Podoba prvnφ, komunikace p°es IRC: V tomto p°φpad∞ se Φerv pokouÜφ p°ipojit na IRC server Undernet, kde vytvo°φ kanßl #iworm_anarxy_channel a Φekß tam na rozkazy. "┌toΦφcφ" osoba m∙₧e se vzdßlen²m infikovan²m poΦφtaΦem provßd∞t °adu v∞cφ (jde vlastn∞ o backdoor). Zde je v²pis vÜech rozkaz∙, kterΘ lze Φervu zaslat:

    !login , !quit, !reconnect, !logout, !opme [], !redir , !chg_pswd , !exec , !version, !send , !info, !delete , !leave, !reboot, !email_msg "" "", !email_redir , !email_file "" "" , !email_spread , !ls , !sms_send "" "", !setup_sms , !upgrade , !dl_file , !add_oper , !remove_oper , !list_operz !msg_box "" "", !setup_pop3

    Nebudu popisovat v²znam jednotliv²ch rozkaz∙ (navφc kdy₧ v²znam vÜech neznßm ani jß :-), ka₧dopßdn∞ v²znam n∞kter²ch si lze snadno odvodit (reboot, info, delete...).

  • Podoba druhß, komunikace p°es schrßnku POP3: Tφmto se dostßvßm k tomu, v Φem je Φerv Anarxy unikßtnφ... lze ho toti₧ ovlßdat p°es mobilnφ telefon !!! V podstat∞ jde o to, ₧e "·toΦnφk" poÜle na domluvenou e-mailovou adresu "SMSku" s rozkazy (lze i vφce narßz). K tΘto schrßnce se Φerv p°ipojφ a pomocφ POP3 ji vybere. Pak samoz°ejm∞ provede rozkazy, kterΘ byly v el. poÜt∞ uvedeny (v p°φpad∞ nutnosti odeÜle zp∞t na mobil odpov∞∩).

    Krom∞ toho nßhodn∞ odesφlß Φty°i typy zprßv na SMS brßnu Eurotelu (xxx@sms.eurotel.cz, xxx znaΦφ nßhodnΘ Φφslo). Na svΘ si tak mohou p°ijφt majitelΘ mobilu v sφ¥i Eurotelu. Nßsleduje jejich obsah:

    Zprßva Φ.1:

    This mobile fone has been infected by IWORM.Anarxy by Ratter!
    Zprßva Φ.2:
    Let us arise, let us arise against the oppressors of humanity; all kings,
emperors, presidents of republics, priests of all religions are the true
enemies of the people; let us destroy along with them all juridical, political,
civil and religious institutions.
- Manifesto of anarchists in the Romagna, 1878
    Zprßva Φ.3:
    I know you''re real proud of this world you''ve built, the way it worx, all
the nice little rules and such, but I''ve got some bad news.
I''ve decided to make a few changes.
Ratter - I''m a stranger in the world I haven''t made.
    Zprßva Φ.4:
    I love a flower, becoz it will wither, an animal - becoz it will die; - a human
being, becoz it will pass away and won''t be, becoz it feel''s it will perish
forever; I love - I do more than love - I worship to God, becoz - he is not.
- Karel Hynek Macha

    èφ°enφ t∞la Φerva je pak p°ekvapiv∞ zßvislΘ na knize adres aplikace The Bat! (rusk² emailov² klient - www.ritlabs.com). Prßv∞ odtud si toti₧ bere Φerv Anarxy emailovΘ adresy budoucφch ob∞tφ...

    Ratter dßle pro "Igiho strßnku o virech" dodal, cituji: "Do 2-3 tydnu se xystam vydat dalsi verzi, ve ktere opravim xyby, ktere by se pripadne vyskytly f teto a dale xystam HTTP proxy server a podporu proxy serveru v LAN sitix (nyni by f podsate mel na LAN xodit pouze pokud je nainstalovana ip maskarada) a dalsi vjeci".

    Celkov∞ tedy jde o "technickou lah∙dku", v praxi se s nφ vÜak setkßte jen velice t∞₧ko. Evidentn∞ to vÜak byl ·mysl autora, Ratter cht∞l vytvo°it n∞co dosud nev²danΘho a tak krom∞ ovlßdßnφ mobilnφm telefonem zavedl i Üφ°enφ zßvislΘ na e-mailovΘm klientu The Bat!. Uvidφme, co na to InternetovΘ noviny a antivirovΘ firmy. U₧ vidφm t∞ch Φlßnku typu "nov² virus, kterΘho lze ovlßdat mobilnφm telefonem !!!" :-)



    [28.1.2001]
    ╚erv I-Worm.Universe usmrcen...

    SpoleΦnost Kaspersky Lab. se postarala o to, aby byla Bennyho/29A strßnka na ΦeskΘm serveru hyperlink.cz odstran∞na. Benny se mi s touto zprßvou ozval a p°φliÜ nadÜen z toho nebyl... Ostatnφ se mohou radovat :-) JeÜt∞ aktußln∞jÜφ je zprßva, ₧e Bennymu zruÜili i email benny_29a@hushmail.com. Poslednφ Üancφ je e-mail benny@post.cz.



    [25.1.2001]
    I-Worm.Universe, nov² Φesk² Φervφk od Bennyho/29A

    Br≥ßk Benny/29A dokonΦil svΘ novΘ dφlo, Φerva I-Worm.Universe. Podobn∞ jako p°edchozφ dφlo I-Worm.XTC pou₧φvß i Universe tzv. "plug-iny". Jde o to, ₧e elektronickou poÜtou dorazφ pouze hlavnφ modul, kter² se po spuÜt∞nφ usadφ v systΘmu (soubor windows\system\msvbvm60.exe). Hlavnφ modul neobsahuje ₧ßdnou proceduru, kterß by se starala o Üφ°enφ Φerva. Proto krom∞ "instalace" Φerva dokß₧e stahovat i dalÜφ moduly - "plug-iny" z Internetu (z http://hyperlink.cz). Dφky nim se dokß₧e I-Worm.Universe Üφ°it el. poÜtou (adresy si hledß v html souborech adresß°e "Temporary Internet Files"), posφlat na benny_29a@hushmail.com jmΘno a IP adresu infikovanΘho poΦφtaΦe, Üφ°it se p°es IRC a vklßdat do archiv∙ RAR infikovan² soubor SETUP.EXE. Moduly jsou komprimovanΘ utilitou "tElock" a plug-iny jsou t∞₧ce zaÜifrovanΘ (RSA...). Benny informuje o tom, ₧e jeho kontrola nad jednotliv²mi moduly je velice snadnß, dokonce nenφ problΘm vydat rozkaz (tj. napsat nov² modul), kter² se postarß o znφΦenφ t∞ch star²ch, kterΘ u₧ n∞kde vesele b∞hajφ po sv∞t∞. Jeliko₧ se I-Worm.Universe zavßdφ do systΘmu jako slu₧ba (service), z°ejm∞ bude schopen provozu (podobn∞ jako XTC Φi Energy) pouze pod OS Windows 2000.

    I-Worm.Universe z°ejm∞ nebude v praxi b∞₧n∞ k vid∞nφ, Benny nemß ve zvyku svoje dφla ·mysln∞ rozÜi°ovat. V∞tÜinou to ud∞lß spφÜe n∞kdo, kdo narazφ na jeho webovou strßnku :-(



    [23.1.2001]
    Makrovirus W97M/Melissa.W, medißlnφ hv∞zda ? nebo jen dalÜφ nula ?

    ╪ada antivirov²ch firem informuje o novΘm makroviru W97M/Melissa.W. N∞kterΘ ji "₧erou" a tak Melissu.W p°irovnßvajφ skoro k I_Love_You, ostatnφ o nφ pφÜou z povinosti. O co tedy jde ? W97M/Melissa.W je vlastn∞ _skoro_ p∙vodnφ W97M/Melissa.A, kterß proÜla skrz Word 2001 pro Macintosh.

    Jak prohlßsil Petr Odehnal (www.grisoft.cz), "Problem je v tom, ze Office 2001 pro Macintosh je prekladany jinym kompilatorem nez Office pro Wintel (Windows+Intel, "odbornß" zkratka P. Odehnala, pozn. Igi :-) . Odnesly to nektere binarni struktury, ktere maji trosku jine velikosti. Pri normalnim prenosu dokumentu to nevadi protoze Word tyhle struktury pouziva pouze v ramci jedne platformy a pokud nacita dokument z Macovske verze, tak ho vlastne "importuje" a tyhle struktury si vygeneruje znovu."

    Cel² problΘm se toΦφ kolem toho, ₧e n∞kterΘ antiviry nedokß₧ou takto upraven² makrovirus detekovat. Kup°φkladu u AVG 6.0, lze tento problΘm vy°eÜit sta₧enφm novΘ aktualizace b228 (z www.avg.cz).

    JeÜt∞ struΦn² popis makroviru W97M/Melissa.W:
    Üφ°φ se elektronickou poÜtou (subjekt zprßvy: "Important Message From { jmΘno u₧ivatele }", t∞lo zprßvy: "Here is that document you asked for ... don't show anyone else ;-)", p°φloha - soubor: "anniv.doc"). Po spuÜt∞nφ infikovanΘ p°φlohy se Melissa.W sna₧φ odeslat svoji kopii na dalÜφch 50 adres z "knihy adres" aplikace MS Outlook (ne Outlook Express).

    O dalÜφm ₧ivot∞ makroviru W97M/Melissa.W budu v p°φpad∞ nouze informovat.



    [23.1.2001]
    U Kaspersky Lab. mφsto Melissy: Worm.Linux.Ramen...

    Kaspersky Lab. informuje o Φervu Ramen pro Linux. Nebudu to komentovat, Linux nenφ zrovna moje parketa. Bli₧Üφ informace na:
    http://www.viruslist.com/eng/viruslist.asp?id=4150&key=00001000130000500000



    [23.1.2001]
    Sout∞₧ zaΦφnß u₧ 1. ·nora !!!

    1. ·nora bude na "Igiho strßnce o virech" zahßjena druhß sout∞₧ o v∞tÜφ mno₧stvφ antivirov²ch program∙ ! Tentokrßt vÜak p∙jde o n∞co netypickΘho... Bli₧Üφ informace a₧ 1. ·nora...



    [22.1.2001]
    PC Viruses In the Wild 1/2001

    Prvnφ seznam "PC Viruses In the Wild" (www.wildlist.org/WildList) v tomto tisφciletφ je na svet∞ ! Jde o seznam nejvφce rozÜφ°enΘ "hav∞ti". Na sestavovßnφ v²sledk∙ se podφlφ n∞kolik desφtek odbornφk∙ z celΘho sv∞ta, kte°φ sbφrajφ hlßÜenφ ze sv²ch region∙. V ╚eskΘ Republice se o to starß Pavel BaudiÜ (Alwil Software - www.asw.cz), na Slovensku Miroslav Trnka (ESET - www.eset.sk). 

      Freq  Name                       Type      Aliases
 ============================================================================
  37  | VBS/LoveLetter.A-mm..... | Script  |
  37  | W32/MTX-m............... | File    | Matrix, Apology
  35  | W32/Ska.A-m............. | File    | HAPPY99
  31  | W95/CIH.1003............ | File    | Spacefiller
  31  | W97M/Ethan.A............ | Macro   |
  31  | W97M/Melissa.A-mm....... | Macro   | Maillissa
  30  | VBS/Stages.A-mm......... | Script  | VBS/ShellScrap
  30  | W32/PrettyPark.37376-mm. | File    |
  29  | JS/Kak-m................ | Script  |
  29  | W32/Navidad.A-m......... | File    | Navidad
  29  | W97M/Marker.C........... | Macro   | W97M/Spooky.C
  26  | O97M/Tristate.C......... | Macro   | O97/Crown.B
  24  | W97M/Thus.A............. | Macro   | W97M/Thursday.A
  24  | WM/CAP.A................ | Macro   |
  22  | VBS/Freelink-mm......... | Script  |
  21  | W32/Qaz................. | File    |
  20  | W32/Hybris.B-m.......... | File    | Hybris.23040-m
  19  | W32/ExploreZip-m........ | File    | Worm.ExploreZip
  17  | W97M/Class.D............ | Macro   |
  16  | W32/Fix2001-m........... | File    |
  16  | W32/Funlove.4099........ | File    |
  15  | VBS/LoveLetter.AS-mm.... | Script  | VBS/Plan.A-mm
  15  | VBS/Netlog.A............ | Script  | VBS/Network
 ============================================================================


    [21.1.2001]
    "Press release Φerv Davinia"...

    SpoleΦnost Kaspersky Lab. bohu₧el vypustila dalÜφ "press release", dφky Φemu₧ nastal chaos okolo Φerva Davinia. Toto prohlßÜenφ m∞lo samoz°ejm∞ POUZE natßhnout dalÜφ budoucφ kupce antiviru Kaspersky Anti-Virus (AVP). ╚erv Davinia je toti₧ sßm o sob∞ pouze dalÜφ z °ady zmetk∙. Pravd∞podobnost, ₧e se s nφm setkßte je asi stejn∞ vysokß, jako kdy₧ ve sportce vyhrajete milion :-)

    Z celΘho prohlßÜenφ si lze odnΘst snad jen poznatek, ₧e je vhodnΘ do MS Office 2000 doinstalovat zßplatu z adresy:
    http://officeupdate.microsoft.com/2000/downloadDetails/Uactlsec.htm.



    [15.1.2001]
    Antiviry trochu jinde...

  • Auto°i programu Nero - Burning Rom, urΦenΘho pro pßlenφ CDR / CDRW slibujφ, ₧e plßnovanß verze 5.5 bude mimojinΘ rozÜφ°enß i o antivirovou kontrolu pßlen²ch cΘdΘΦek. Pro tento ·Φel byl vybrßn rusk² Dr.Web. Bli₧Üφ informace p°inesl server www.cdr.cz.

  • NovΘ verze se doΦkß i populßrnφ WinRoute (www.winroute.com) - proxy server (a nejen to) ΦeskΘho p∙vodu. Verze 5.0 bude spolupracovat s antivirem AVG 6.0, kter² se postarß o antivirovou kontrolu p°φchozφ / odchozφ poÜty. Navφc mß WinRoute 5.0 podporovat CVP protokol, dφky Φemu₧ bude mo₧nΘ pou₧φt i dalÜφ antivirovΘ programy.

  • Podobnou podporu (s AVG 6.0) slibuje i druh² Φesk² proxy server - 602pro LAN Suite (www.software602.cz). Zatφm vÜak nic :-(



    [13.1.2001]
    DalÜφ Φesk² Φerv... I-Worm/Hermes !

    I-Worm/Hermes je dalÜφ dφlo (po W97M/Ftip) od ΦeskΘho autora, kter² si °φkß "gl" pop°. "gl_st0rm" (gl_storm@seznam.cz). Bohu₧el n∞kterΘ jinak spolehlivΘ zdroje (Kaspersky Lab. a podobn∞) neuvßd∞jφ kompletnφ informace. JistΘ je, ₧e Hermes se Üφ°φ v p°φloze el. poÜty, kterou tvo°φ n∞kter² z t∞chto soubor∙: 

     Seti@home 3.x to 4.0 upd.exe
 Seti@home_twk.exe
 Seti_patch.exe
 Lunetic!.exe
 CIH.exe
 Energy.exe
 ftip.exe
 Navidat.exe
 Click_ME!.exe
 Cenik.exe
 Lunetic.scr
 fucking.scr
 micro$haft.scr
 matrix.scr
 reboot.scr
 Pamela.scr
 techno.scr
 funny!.scr
 Hermes.scr
 School_in_da_flame.scr
    Jak dodßvß Petr Odehnal (www.grisoft.cz): Za zminku snad jeste stoji, ze vsechny tri zname verze tohoto wormu se snazi nainstalovat na pocitaci soubor User_inf.sah. Pokud na zasazenem pocitaci bezi projekt SETI@home (http://setiathome.ssl.berkeley.edu/), tak bude pocitat dal, ale "body" se zacnou pripocitavat do "ratingu" autora viru (gl_storm@seznam.cz). Asi tim chtel zlepsit svou pozici na zebricku, momentalne je na 564885. miste. :-)

    Jak prozradil sßm autor Φerva I-Worm/Hermes, nem∞l by se s nφm nikdo v reßlu setkat. T∞lo Φerva toti₧ obdr₧eli pouze n∞kte°φ pracovnφci v antivirov²ch firmßch.



    [4.1.2001]
    Konference Φasopisu Virus Bulletin bude v Praze !!!

    Cituji slova Pavla BaudiÜe z Alwil Softwaru (antivirus AVAST! - www.asw.cz), kter² tuto zprßvu dodal:

    Praha bude v zari hlavnim mestem boje proti virum.

    Jak dnes ve svem lednovem cisle oznamil britsky casopis Virus Bulletin, bude se jeho pristi konference konat od 26. do 28. zari 2001 v prazskem hotelu Hilton. Konference se pravidelne ucastni spickovi antivirovi odbornici z antivirovych firem po celem svete, stejne jako rada uzivatelu z velkych firem a statnich instituci.

    Pro Prahu je vyber velka cest, protoze v Evrope se krome Velke Britanie tato konference v jeji desetilete historii konala pouze v Holandsku a Nemecku. Krome poklone Prahy tak jde i o uznani ceskych antivirovych firem, ktere i ve svetovem meritku patri k uzke spicce.



    [2.1.2001]
    Do t°etice... NOD32 v sφti !!!

    Trochu jsem ten slib nedodr₧el, ale nakonec to dopadlo ! T°etφ Φßst serißlu "Antiviry v sφti" je na sv∞t∞ !!! Tentokrßt jsem otestoval slovensk² NOD32 1.54 spoleΦnosti ESET s.r.o. (www.eset.sk). Recenzi a zßrove≥ i nßvod lze najφt ZDE !!!

    Jakß bude dalÜφ "sφ¥ovß recenze", to opravdu nevφm. T°eba se ozve n∞jak² ten distributor / v²robce antiviru sßm :-o