Archiv novinek

Novinky: Březen 2001

[28.3.2001]

!!! Další specialita z Čech... multi-platformní virus od Bennyho !!!

Benny/29A doslova před okamžikem vydal svoje nové dílo - virus Win32/Linux.Winux. Jako všechny viry od Bennyho, i tento obsahuje některé "vychytávky". V tomto případě se jedná o "vychytávku" se jménem "multi-platform virus", díky které se dokáže šířit v OS Windows 9x/NT/2000, ale i v Linuxu !!! Dokáže tedy napadat spustitelné PE EXE soubory (Windows), ale i ELF soubory pod Linuxem. Nemějte však strach, jde spíše o "výstavní kus", se kterým se v praxi zřejmě nesetkáte !
Jelikož jsem včera odchytil Bennyho přímo na IRC, položil jsem mu několik otázek:

Muzes povedet neco z historie tveho noveho dila ?
no dobre. uz davno jsem chtel zkusit naprogramovat nejaky virus pro linux. ale chtel jsem, aby byl taky svym zpusobem jedinecny. tak jsem se rozhodl, ze to udelam multi-platformni. viru pro linux je uz taky hodne nektere jsou primitivni, nektere jsou hodne slozity a promakany nechtel jsem, aby muj virus, resp. prvni pokus udelat neco v assembleru pod Linuxem bylo prumerny, primitivni a zbytecny.

Jak se muze tento multi-platformni virus dostat z Windows do Linuxu ?
no, tuto otazku jsem cekal :) moc sanci na sireni to nema, kvuli tomu jsem ten virus neprogramoval. ale pokud pouzivate nejaky emulator (treba pod Linuxem - wine, win4lin apod.), neni problem, aby se virus prenesl. nebo pokud mate na jedne partition (treba pod Win32) programy jak pro Win32 tak pro Linux, tak je to taky jednoduchy

Pred nekolika dny si slavil 19 narozeniny. Nedal sis ten virus jako darek ?
svym zpusobem ano.. ale zas tolik jak ty sem nad tim nepremyslel :)

Jak vypada takova oslava VXera ? :-)
uplne "obycejne" jako oslava prumerneho studenta stredni skoly. na diskotece, malem otrava alkoholem (diky spravne "vychytane" mixazi), super lidi kolem sebe a hlavne super zabava. skoda jenom, ze si toho moc nepamatuju :-P

Mas uz nejake plany do budoucna, co bude zac dalsi tvoje dilo ?
no, planuju vydat nejaky clanek a utilitu o jednom "nejmenovanem" triku (neco jako exploit) pod Windows2000. ale prioritou ted pro me je dokoncit skolu.

Takze se po tvoji maturite zrejme muzeme tesit na peknou explozi novych viru, ze ?
no, to vam nemuzu zarucit. moje budoucnost je nejista. mozna pujdu na vejsku, mozna na civilku (a to se potom teste :-), mozna do ciziny nebo zustanu tady a najdu si praci. opravdu ale nevim. samozrejme bych byl ale rad, gdybych mel jeste na VX spoustu casu jak v roce 1999 a 2000.

Jak myslis, ze na tvoje nove dilo zareaguji antivirove spolecnosti ?
no, tusim ze nektere (ty silnejsi) z toho udelaji medialni bombu, ti slabsi, kteri o Linuxu ani nemaji paru se o tom ani nezmini. normalni linuxak zustane vlazny. anebo to dopadne uplne jinak, cert vi..

[27.2.2001]

Nový seznam nejrozšířenějších virů...

Na adrese www.wildlist.org/WildList lze najít nový březnový seznam nejrozšířenějších (přesněji nejhlášenějších) virů/červů apod. na světě. Nejvíce se tedy po světě šíří:

Freq  Name                       Type      Aliases
 ============================================================================
  37  | VBS/LoveLetter.A-mm..... | Script  |
  37  | W32/MTX-m............... | File    | Matrix, Apology
  32  | W32/Ska.A-m............. | File    | HAPPY99
  30  | W32/Hybris.B-mm......... | File    | Hybris.23040-mm
  29  | JS/Kak-m................ | Script  |
  29  | VBS/Stages.A-mm......... | Script  | VBS/ShellScrap-mm
  29  | W32/Navidad.A-m......... | File    | Navidad-m
  29  | W32/PrettyPark.37376-mm. | File    |
  29  | W97M/Ethan.A............ | Macro   |
  28  | W95/CIH.1003............ | File    | Spacefiller
  27  | VBS/VBSWG.J-mm.......... | Script  | Anna K, SST
  27  | W97M/Marker.C........... | Macro   | W97M/Spooky.C
  26  | W97M/Melissa.A-mm....... | Macro   | Maillissa
  25  | O97M/Tristate.C......... | Macro   | O97/Crown.B
  23  | W97M/Thus.A............. | Macro   | W97M/Thursday.A
  21  | VBS/Freelink-mm......... | Script  |
  21  | W32/Qaz................. | File    |
  21  | WM/CAP.A................ | Macro   |
  17  | W32/Prolin.A-mm......... | File    | Creative.A-mm
  16  | VBS/LoveLetter.AS-mm.... | Script  | VBS/Plan.A-mm
  16  | W32/ExploreZip-m........ | File    | Worm.ExploreZip-m
  16  | W97M/Class.D............ | Macro   |
  15  | W32/Fix2001-m........... | File    |
  15  | W32/Funlove.4099........ | File    |
 ============================================================================

[21.3.2001]

Opravdu je Váš antivirus schopen zachytit případný virus ???

Není nic jednoduššího, než to zjistit teď hned !!!

[21.3.2001]

A ještě jedna recenze k tomu - Dr.Web 4.23 !!!

Dr.Web - logo Recenzi ruského antiviru Dr.Web společnosti DialogueScience (www.dials.ru) lze najít ZDE !!!
Distributora pro ČR i SR pak na adrese www.avir.sk...

[20.3.2001]

Jaké nás letos čekají konference ???

Letos je opravdu bohatá úroda konferencí, které budou věnovány virové problematice. Již 3.dubna (úterý) se v Bratislavském hotelu Holiday Inn uskuteční druhý ročník konference "Bezpečnost dát 2001". V poslední sekci konference nazvané "Antivirová ochrana" vystoupí Ing. Miroslav Trnka (www.eset.sk) a Ján Šimko (www.aec.sk). Konference je však hlavně o bezpečnosti, takže se dočkáme i hackerů, elektronického podpisu apod. Bližší informace včetně přihlášky lze najít na www.aec.sk.

Druhého pokračování se dočká i konference Security 2001 (www.security2001.cz), jejíž přesný program ještě není znám. Jisté je, že se bude konat v Praze, 7. června 2001. Pokud však bude program podobný jako před rokem, budeme si "vychutnávat" virovou problematiku celý den :-) Na jevišti se určitě vystřídá plno známých osobností. Bližší informace na jmenované stránce www.security2001.cz.

Virus Bulletin 2001 Vrcholem je však 11. ročník mezinárodní konference Virus Bulletin (www.virusbtn.com), která se poprvé v historii koná i v České Republice (27. - 28. září v hotelu Hilton - Praha) ! Konference se samozřejmě účastní hosté z celého světa (Sophos, NAI, Symantec...), přesný program nebyl zatím zveřejněn, jisté je, že úvodní slovo pronese Eugene Kaspersky (mluvící krásnou angličtinou s "ruským přízvukem"), zakladatel antiviru Doctor Kaspersky (později AVP, dnes Kaspersky Anti-Virus). Bližší informace samozřejmě na www.virusbtn.com.

Nejisté je konání další konference - Viry 2001, kterou jednou začas uspořádá Alwil Software (Avast antivirus - www.asw.cz). Ta se naposledy uskutečnila v roce 1998 v Českých Budějovicích. Celá byla tehdy věnovaná čistě pouze virům & antivirům.

O dalším vývoji budu informovat.

[20.3.2001]

AVX Professional 5.9.1 v recenzi !!!

Tentokrát jsem otestoval další rumunský antivirus AVX (od společnosti SoftWin). Ten se rozšířil hlavně díky zisku domény www.avp.com na které se ještě nedávno nabízel ruský antivirus AVP (Kaspersky Anti-Virus)... Bližší informace lze najít přímo v recenzi.

[19.3.2001]

Co přinese AVG 7.0...

AVG Antivirus Tomáš Hofer zveřejnil na avg-cz@grisoft.cz několik hlavních novinek budoucí verze antiviru AVG 7.0 (www.grisoft.cz). Zde je jejich stručný přehled:

opet dokonalejsi testovaci jadro, coz se muze zdat jako opakovani stareho vtipu, ale je to de-facto vzdy nejdulezitejsi novinka

novy AVGADMIN, ktery pro verzi 6.0 uvolnime v plne funkcni betaverzi, ktera bude jeste pro verzi 7.0 doplnena o nove funkce.

podpora SMS (System Management Server)

doplnovani serverovych komponent (CVP server, WinRoute a dalsi)

podpora Linuxu

prekvapeni v u... ......... (cenzurovano)

heuristika na makro/script viry

misto mega ci stokilovych update bude mozno snadno a casto updatovat, velikosti souboru pro update max par desitek kilo. Automaticky update bude chytrejsi a samostatnejsi

smazneme svuj dlouholety dluh v popisech viru, jako premii dame dokonalejsi leceni WIN32 viru

[16.3.2001]

Nádhera se jménem I-Worm/Magistr !!!

Některé servery informují o novém červu I-Worm/Magister, který je více než dobře vybaven. Je napsán v assembleru, i tak však měří kolem 30 KB (!). Jeho hlavní vlastnosti vyjmenuji v následujících bodech:

Šíří se el. poštou. Subjekt zprávy mimojiné dokáže generovat ze slov, které našel na disku v textových souborech TXT, DOC. Netypicky je červ k souboru v příloze připojen (jde tedy zároveň o virus). Jmenovaným souborem se může stát jakýkoliv PE EXE soubor z pevného disku napadeného uživatele, přičemž musí být kratší než 132 KB. V těle si uschovává některé údaje, které částečně zabezpečí, aby k oběti nepřišel infikovaný e-mail několikrát.

Šíří se v přes sdílené síťové disky. Pokud se dostane na vzdálený počítač, modifikuje na něm WIN.INI (řádek RUN=), čímž se postará o svou aktivaci během dalšího startu Windows na vzdáleném počítači.

Infikuje PE EXE (spustitelné) soubory - tj. jde mimo jiné i o virus. Entry-point souboru (tj. místo na které program "začíná") zůstane zachován, hned za něj si však I-Worm/Magistr "šoupne" polymorfní rutinu, která předá řízení další části viru, která je připojena na konci PE EXE souboru.

Červ/Virus Magistr je velice nebezpečný. Za měsíc od infekce totiž znehodnotí soubory na pevných i síťových discích, přemaže CMOS (tj. paměť, ve které jsou informace o PC - nastavení pevných disků...) a aby toho nebylo málo, tak znehodnotí i obsah Flash-BIOSu. Narušení paměti Flash-BIOS (na základní desce) znamená prakticky vždy zcela nefunkční počítač. Počítač lze uzdravit až po fyzickém zásahu do vnitřností PC (žádný program nepomůže). Dle vlastních zkušeností vím, že stačí šikovné ruce, šroubovák a ještě jeden, stejný typ základní desky :-) Více informací na toto téma lze najít v článku "26.duben je den viru CIH - Černobyl !!!". Občas si také zahrává s pracovní plochou (a uživatelem) Windows, ikony posouvá po ploše tak, že je není možné označit kurzorem myši...

[14.3.2001]

Nové viry snadno a rychle...

Osoba, která vystupuje pod označením [K] vytvořila novou verzi generátoru červů Vbswg 2 beta. Jde o program, který je určen pro naprosté začátečníky a umožňuje jim za pár sekund vytvořit zcela nového červa dle vlastních požadavků. Prostě jen zatrhne funkce, nastaví destruktivní činnost a stiskne tlačítko pro vygenerování nového červa. To už se stalo několikrát a tak tu díky generátoru Vbswg máme např. červa AnnaKurnikovová. Nová verze generátoru Vbswb byla zcela přepsána a obohacena o nové funkce (připojení spustitelného souboru...). Nově vzniklé červy z této verze nedokážou antiviry detekovat (alespoň zatím).

[13.3.2001]

Kaspersky AntiVirus pro Novell 3.5... opět další recenze !!!

Recenzí je teď více, než nových virů :-) Pokud potřebujete něco pro váš Novell, pak může být Kaspersky AntiVirus dobrou volbou...

[13.3.2001]

Don't be fooled into "upgrading" your AVP to AVX !!!

Právě výše uvedený text lze najít na adrese www.avp.com.au (odkaz "AVX WARNING" vpravo nahoře). V překladu to znamená něco jako "Nablázněte s "upgradem" Vašeho AVP antiviru na AVX !"...
Celý problém vzniknul díky tomu, že společnost Command Central (www.avp.com) se zřejmě nedohodla s Kaspersky Lab. (výrobce antiviru AVP) a od jisté doby se tak na www.avp.com nenachází stránka antiviru AVP (jak by se dalo očekávat), ale stránka antiviru AVX. Tento rumunský antivirus společnosti SoftWin byl zjevně navržen tak, aby byl vzhledově (i jménem) co nejvíce podobný antiviru AVP. To je zřejmě i hlavní důvod, proč někteří upgradují z "ošklivého" prostředí AVP na krásné prostředí plné grafických tlačítek a posuvných lišt antiviru AVX. Nutno však podotknout, že grafické prostředí je jedinou věcí, ve které AVX před AVP vyniká. O detekčních vlastnostech a o dalších věcech se to již zdaleka říci nedá...

[12.3.2001]

AVAST32 3.0 v síti aneb další recenze !!!

Po delší době je tu čtvrtý díl "síťové recenze". Tentokrát jsem otestoval na několika počítačích tuzemský antivirus AVAST32 3.0. Detailní informace lze najít zde.

[9.3.2001]

Norton AntiVirus 2001 - recenze !!!

Další recenze antivirového systému je zde ! Tentokrát se obětí stal Norton AntiVirus. Jak dopadl se dozvíte přímo zde.

[8.3.2001]

Červ I-Worm/Naked...

Mluví o něm všichni, takže se přidávám i já. Hlášen je především z USA, v ČR/SR panuje klid. Napadený e-mail lze poznat např. podle toho, že v příloze obsahuje soubor NakedWife.exe. Bližší popis lze najít například na: http://www.avg.cz/news/naked.htm.

[7.3.2001]

RAV AntiVirus 8.1.5.31 - recenze !!!

Po delší době je tu opět recenze antivirového systému ! Tentokrát jde o rumunský RAV AntiVirus. Jde o první recenzi, kterou jsem vypracoval zcela odlišným stylem. Podobně budu postupovat i v budoucích recenzích. Postupně se pokusím předělat i stávající recenze a ty neplatné zcela odstranit. Další příliv recenzí lze očekávat až za měsíc s příchodem nového CHIPu. Příloha tohoto časopisu - cédéčko, totiž bude plné antivirových programů :-) Dříve se dočká pravděpodobně jen Norton AntiVirus 2001, pokud zůstane trochu času, tak i Dr.Web, NOD32, AVG 6.0, AVP 3.5...

[6.3.2001]

Antivirus Dr.Web už i v ČR a SR !!!

Díky smlouvě mezi společností DialogueScience (www.dials.ru) a AVIR (www.avir.sk) je možné zakoupit ruský antivirový program Dr.Web (+ ADinf) i v České a Slovenské republice. Ceny tohoto produktu jsou opravdu pohádkové !!! Podívejte se kupříkladu na www.avir.sk/multilicencie/drweb.htm.

[1.3.2001]

I-Worm/Myba, něco na probuzení...

Po delší odmlce jsem opět tu i s novinkou, o které informuje Kaspersky Lab. Jde o červíka I-Worm/Myba, který se šíří e-mailem v souboru mybabypic.exe. Subjekt takové zprávy obsahuje text My baby pic !!! a tělo Its my animated baby picture !!. Po spuštění přílohy samozřejmě nic animovaného neuvidíme, maximálně trochu "zachroustá" pevný disk a čev Myba se na něm usadí. Kromě toho likviduje některé soubory tím, že k nim přidá další příponu EXE a přepíše jejich obsah vlastním tělem. V závislosti na čase vypíná/zapíná klávesy NumLock, CapsLock a ScrollLock. Taky plní buffer klávesnice sekvencí ". IM_BESIDES_YOU_". Podrobnější informace o této zrůdě lze najít přímo na http://www.avp.ch/avpve/worms/email/myba.stm.

Obecně platí: "Nedoporučuji spouštět žádné přílohy e-mailů" - chytrá to věta, škoda jen, že ji čtou pouze ti, kteří ji už znají... :-(