Novinky: ╚ervenec 2001



[23.7.2001]
I-Worm/Sircam.A letφ sv∞tem !!! - antivirus na sta₧enφ !!!

╚erv I-Worm/Sircam.A ohromnou rychlostφ po celΘm sv∞t∞. ╚esko a Slovensko nejsou vyjφmkou. Pokud se tento Φervφk dostal i na VßÜ poΦφtaΦ, doporuΦuji vyzkouÜet tento jedno·Φelov² antivirus FixSirc.com. StaΦφ ho stßhnout a spustit p°φmo z Windows. Pokud pou₧φvßte Windows 2000/NT, je nutnΘ, aby m∞l u₧ivatel prßva administrßtora. Antivirus toti₧ pot°ebuje p°φstup ke vÜem soubor∙m na disku a k registr∙m Windows.

  • JeÜt∞ jeden dodatek k popisu tohoto Φerva:
    I-Worm/Sircam.A obsahuje n∞kolik Ükodliv²ch rutin. 16.°φjna m∙₧e vymazat vÜechny soubory na disku C:, pop°φpad∞ v adresß°i C:\RECYCLED vytvo°φ soubor sircam.sys, do kterΘho zapisuje text 
    [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
    pop°φpad∞ 
    [SirCam Version 1.0 Copyright (c) 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
    tak dlouho, a₧ dojde k vyΦerpßnφ volnΘho mφsta na disku.



    [21.7.2001]
    Prßzdninov² dßrek: Φerv I-Worm/Sircam.A

    Jsou prßzdniny a "pisßlkovΘ vir∙" se pravd∞podobn∞ flßkajφ podobn∞ jako jß :)

    Slu₧ba Viruseye hlßsφ nadm∞rn² v²skyt novΘho Φerva I-Worm/Sircam.A o kterΘm mimojinΘ informuje i spoleΦnost Grisoft (www.grisoft.cz), v²robce tuzemskΘho antiviru AVG. Dφky tomu mßm usnadn∞nou prßci, nßsledujφcφ informace jsem si dovolil p°evzφt p°φmo od nich :)

    DalÜφ roztomil² mazlφΦek se zaΦal Üφ°it vΦera rßno (naÜeho Φasu). Jde o cca 134kB bubmbrdlφΦka napsanΘho v Delphi.

    Soud∞ dle zaÜifrovan²ch text∙ pochßzφ z Mexika: 

       [SirCam Version 1.0 Copyright (c) 2001 2rP
   Made in / Hecho en - Cuitzeo, Michoacan Mexico]

    Tento text mimochodem obsahuje i v pon∞kud "odtuΦn∞nΘ" verzi:

       [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

    Posφlß se mailem, kter² mß jako subject jmΘno p°ilo₧enΘho souboru a jeho₧ text sestavuje z t∞chto v∞t:

       Hi! How are you?
   See you later. Thanks
   I send you this file in order to have your advice
   I hope you can help me with this file that I send
   I hope you like the file that I sendo you
   This is the file with the information that you ask for

    Pokud mß u₧ivatel ve Windows jako preferovan² jazyk nastavenou Üpan∞lÜtinu, tak se tomu virus p°izp∙sobφ:

       Hola como estas ?
   Nos vemos pronto, gracias.
   Te mando este archivo para que me des tu punto de vista
   Espero me puedas ayudar con el archivo que te mando
   Espero te guste este archivo que te mando
   Este es el archivo con la informacion que me pediste

    P°ilo₧en² soubor je vytvo°en z vlastnφho t∞la wormu, za kter²m je p°ipojen nßhodn∞ vybran² soubor (archφv, dokument, spustiteln² soubor) pochßzejφcφ z infikovanΘho poΦφtaΦe. P∙vodnφ jmΘno je zachovßno, worm si pouze p°ipojφ dalÜφ p°φponu (pif, lnk, bat nebo com).

    Po spuÜt∞nφ se Sircam nakopφruje do n∞kolika r∙zn²ch adresß°∙ pod r∙zn²mi jmΘny:

       SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe,
   Microsoft Internet Office.exe a rundll32.exe

    PotΘ zrekonstruuje kopii dokumentu, pod jeho₧ jmΘnem dorazil a pokud jde o EXE file, tak ho rovnou spustφ (ve snaze neb²t p°φliÜ nßpadn²). Pro ostatnφ typy souboru se pokusφ v

    HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\

    najφt vhodnou aplikaci k otev°enφ: Winzip pro .ZIP soubory, Excel pro .XLS a WinWord (nebo alespo≥ WordPad) pro .DOC.

    SvΘ pravidelnΘ spouÜt∞nφ p°i startu poΦφtaΦe se sna₧φ si zajistit zßpisem do hodnoty Driver32 klφΦe

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

    a modifikacφ klφΦe

    HKCR\exefile\shell\open\command

    (stejn² trik pou₧φvß nap°φklad I-Worm/PrettyPark).

    Jako v∞tÜina nov∞jÜφch vir∙ se i tento umφ Üφ°it po sdφlen²ch discφch v rßmci lokßlnφ sφt∞. Na namapovan²ch discφch preferuje adresß°e \recycled a \windows a svΘ spouÜt∞nφ se pokusφ zajistit vlo₧enφm °ßdky @win a odkazem na virus do \autoexec.bat nebo tφm, ₧e zam∞nφ systΘmov² soubor rundll32.exe svou kopii.

    [13.7.2001]
    NovΘ srovnßvacφ testy Φasopisu Virus Bulletin !!!

    VB V ΦervencovΘm Φasopisu Virus Bulletin (www.virusbtn.com) se objevil srovnßvacφ test antivirov²ch program∙ pro DOS. Jako obvykle p°inßÜφm kompletnφ v²sledky.

    Naprosto dokonalΘ v²sledky (100% ve vÜech kategoriφch) tentokrßt podaly Φty°i antivirovΘ programy: DrWeb, Nod32, Kaspersky AntiVirus a NAI VirusScan. U Nodu32 je to ji₧ celkem b∞₧nß zßle₧itost :), ovÜem pro Kaspersky AntiVirus to znamenß po delÜφ dob∞ perfektnφ nßvrat mezi "elitu" (100% ve vÜech kategoriφch nem∞l ji₧ dlouhou dobu, navφc nezφskal v poslednφ dob∞ ani ocen∞nφ "Virus Bulletin 100%"). Nod32 byl v testu bezkonkurenΦn∞ nejrychlejÜφ (viz. tabulky).

    Na zßv∞r bych m∞l jeÜt∞ vyjmenovat antiviry, kterΘ dokßzaly odhalit vÜechny In-the-Wild viry (ty, kterΘ se ve sv∞t∞ nejvφce Üφ°φ):

  • CA Inocucmd
  • CA Vet Rescue
  • Command AntiVirus
  • DialogueScience DrWeb
  • Eset Nod32DOS
  • FRISK F-Prot
  • F-Secure Anti-Virus
  • Kaspersky Lab AvpDOS32
  • NAI VirusScan
  • Norman Virus Control
  • Symantec Norton AntiVirus
  • VirusBuster

    Ocen∞nφ "Virus Bulletin 100%" nebylo ud∞leno ₧ßdnΘmu antiviru, jeliko₧ nelze pod DOSem testovat kategorii on-access skener∙ (tj. pam∞¥ov∞ rezidentnφch antivir∙ - "Ütφt∙").



    [7.7.2001]
    Klid na bojiÜti...

    Je Φas prßzdnin, Φas klidu :)

  • Den nezßvislosti se stal (4. Φervenec) za velkou lou₧φ terΦem hoaxu MusicPanel. Tato nesmyslnß zprßva, kterou si u₧ivatelΘ mezi s sebou posφlajφ informovala o neexistujφcφm viru, kter² se Üφ°φ v souborech MP3. Prßv∞ 4. Φervence se m∞l tento virus aktivovat a zablokovat posti₧enΘ poΦφtaΦe.
    Pokud si formßt MP3 zachovß v budoucnu podobu jako dnes, nikdy nevznikne virus, kter² by se dokßzal p°es soubory formßtu MP3 Üφ°it.
  • MIONS - jedinß Φeskß VX skupina, zam∞stnßvajφcφ "pisßlky vir∙" je v hlubokΘ krizi. Osoby, °φkajφcφ si Radix16 a Wion ji₧ nejsou Φleny, Worf si dal roΦnφ pauzu a Mimi je na vojn∞.



    [1.7.2001]
    PC Viruses ITW, aneb seznam nejrozÜφ°ejn∞jÜφch vir∙...

    Na adrese www.wildlist.org/WildList lze stßhnout seznam nejvφce hlßÜen²ch vir∙ (a dalÜφ hav∞ti) za m∞sφc Φerven. Jako v₧dy uvßdφm pouze struΦnou verzi. Hodnota pod "Freq" udßvß mno₧stvφ mφst, ze kter²ch byl dan² zmetek hlßÜen. 

    Freq  Name                       Type      Aliases
 ============================================================================
  39  | W32/MTX-m............... | File    | Matrix, Apology
  35  | VBS/LoveLetter.A-mm..... | Script  |
  34  | W32/Hybris.B-mm......... | File    | Hybris.23040-mm
  32  | VBS/VBSWG.J-mm.......... | Script  | Anna K, SST, Kalamar.A,
                                           | I-Worm.Lee.o
  31  | VBS/Stages.A-mm......... | Script  | VBS/ShellScrap-mm
  30  | JS/Kak.A-m.............. | Script  |
  30  | W32/Navidad.A-m......... | File    | Navidad-m
  27  | W32/Ska.A-m............. | File    | HAPPY99
  27  | W95/CIH.1003............ | File    | Spacefiller
  26  | VBS/VBSWG.X-mm.......... | Script  | HomePage, SST
  25  | W97M/Ethan.A............ | Macro   |
  24  | W32/Magistr.A-mm........ | File    | Disembowler
  24  | W32/PrettyPark.37376-mm. | File    |
  24  | W97M/Marker.C........... | Macro   | W97M/Spooky.C
  24  | W97M/Melissa.A-mm....... | Macro   | Maillissa
  22  | O97M/Tristate.C......... | Macro   | O97/Crown.B
  22  | W32/Qaz................. | File    |
  22  | W97M/Thus.A............. | Macro   | W97M/Thursday.A
  20  | W32/Funlove.4099........ | File    |
  18  | VBS/LoveLetter.AS-mm.... | Script  | VBS/Plan.A-mm
  18  | W32/Navidad.B-m......... | File    | Emanuel-m
  18  | WM/CAP.A................ | Macro   |
  17  | W32/Prolin.A-mm......... | File    | Creative.A-mm
  16  | W32/BleBla.B-mm......... | File    | W32/Verona.B-mm
  15  | VBS/Freelink-mm......... | Script  |
 ============================================================================