Novinky: Červenec 2001



[23.7.2001]
I-Worm/Sircam.A letí světem !!! - antivirus na stažení !!!

Červ I-Worm/Sircam.A ohromnou rychlostí po celém světě. Česko a Slovensko nejsou vyjímkou. Pokud se tento červík dostal i na Váš počítač, doporučuji vyzkoušet tento jednoúčelový antivirus FixSirc.com. Stačí ho stáhnout a spustit přímo z Windows. Pokud používáte Windows 2000/NT, je nutné, aby měl uživatel práva administrátora. Antivirus totiž potřebuje přístup ke všem souborům na disku a k registrům Windows.

  • Ještě jeden dodatek k popisu tohoto červa:
    I-Worm/Sircam.A obsahuje několik škodlivých rutin. 16.října může vymazat všechny soubory na disku C:, popřípadě v adresáři C:\RECYCLED vytvoří soubor sircam.sys, do kterého zapisuje text 
    [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
    popřípadě 
    [SirCam Version 1.0 Copyright (c) 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
    tak dlouho, až dojde k vyčerpání volného místa na disku.



    [21.7.2001]
    Prázdninový dárek: červ I-Worm/Sircam.A

    Jsou prázdniny a "pisálkové virů" se pravděpodobně flákají podobně jako já :)

    Služba Viruseye hlásí nadměrný výskyt nového červa I-Worm/Sircam.A o kterém mimojiné informuje i společnost Grisoft (www.grisoft.cz), výrobce tuzemského antiviru AVG. Díky tomu mám usnadněnou práci, následující informace jsem si dovolil převzít přímo od nich :)

    Další roztomilý mazlíček se začal šířit včera ráno (našeho času). Jde o cca 134kB bubmbrdlíčka napsaného v Delphi.

    Soudě dle zašifrovaných textů pochází z Mexika: 

       [SirCam Version 1.0 Copyright (c) 2001 2rP
   Made in / Hecho en - Cuitzeo, Michoacan Mexico]

    Tento text mimochodem obsahuje i v poněkud "odtučněné" verzi:

       [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

    Posílá se mailem, který má jako subject jméno přiloženého souboru a jehož text sestavuje z těchto vět:

       Hi! How are you?
   See you later. Thanks
   I send you this file in order to have your advice
   I hope you can help me with this file that I send
   I hope you like the file that I sendo you
   This is the file with the information that you ask for

    Pokud má uživatel ve Windows jako preferovaný jazyk nastavenou španělštinu, tak se tomu virus přizpůsobí:

       Hola como estas ?
   Nos vemos pronto, gracias.
   Te mando este archivo para que me des tu punto de vista
   Espero me puedas ayudar con el archivo que te mando
   Espero te guste este archivo que te mando
   Este es el archivo con la informacion que me pediste

    Přiložený soubor je vytvořen z vlastního těla wormu, za kterým je připojen náhodně vybraný soubor (archív, dokument, spustitelný soubor) pocházející z infikovaného počítače. Původní jméno je zachováno, worm si pouze připojí další příponu (pif, lnk, bat nebo com).

    Po spuštění se Sircam nakopíruje do několika různých adresářů pod různými jmény:

       SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe,
   Microsoft Internet Office.exe a rundll32.exe

    Poté zrekonstruuje kopii dokumentu, pod jehož jménem dorazil a pokud jde o EXE file, tak ho rovnou spustí (ve snaze nebýt příliš nápadný). Pro ostatní typy souboru se pokusí v

    HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\

    najít vhodnou aplikaci k otevření: Winzip pro .ZIP soubory, Excel pro .XLS a WinWord (nebo alespoň WordPad) pro .DOC.

    Své pravidelné spouštění při startu počítače se snaží si zajistit zápisem do hodnoty Driver32 klíče

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

    a modifikací klíče

    HKCR\exefile\shell\open\command

    (stejný trik používá například I-Worm/PrettyPark).

    Jako většina novějších virů se i tento umí šířit po sdílených discích v rámci lokální sítě. Na namapovaných discích preferuje adresáře \recycled a \windows a své spouštění se pokusí zajistit vložením řádky @win a odkazem na virus do \autoexec.bat nebo tím, že zamění systémový soubor rundll32.exe svou kopii.

    [13.7.2001]
    Nové srovnávací testy časopisu Virus Bulletin !!!

    VB V červencovém časopisu Virus Bulletin (www.virusbtn.com) se objevil srovnávací test antivirových programů pro DOS. Jako obvykle přináším kompletní výsledky.

    Naprosto dokonalé výsledky (100% ve všech kategoriích) tentokrát podaly čtyři antivirové programy: DrWeb, Nod32, Kaspersky AntiVirus a NAI VirusScan. U Nodu32 je to již celkem běžná záležitost :), ovšem pro Kaspersky AntiVirus to znamená po delší době perfektní návrat mezi "elitu" (100% ve všech kategoriích neměl již dlouhou dobu, navíc nezískal v poslední době ani ocenění "Virus Bulletin 100%"). Nod32 byl v testu bezkonkurenčně nejrychlejší (viz. tabulky).

    Na závěr bych měl ještě vyjmenovat antiviry, které dokázaly odhalit všechny In-the-Wild viry (ty, které se ve světě nejvíce šíří):

  • CA Inocucmd
  • CA Vet Rescue
  • Command AntiVirus
  • DialogueScience DrWeb
  • Eset Nod32DOS
  • FRISK F-Prot
  • F-Secure Anti-Virus
  • Kaspersky Lab AvpDOS32
  • NAI VirusScan
  • Norman Virus Control
  • Symantec Norton AntiVirus
  • VirusBuster

    Ocenění "Virus Bulletin 100%" nebylo uděleno žádnému antiviru, jelikož nelze pod DOSem testovat kategorii on-access skenerů (tj. paměťově rezidentních antivirů - "štítů").



    [7.7.2001]
    Klid na bojišti...

    Je čas prázdnin, čas klidu :)

  • Den nezávislosti se stal (4. červenec) za velkou louží terčem hoaxu MusicPanel. Tato nesmyslná zpráva, kterou si uživatelé mezi s sebou posílají informovala o neexistujícím viru, který se šíří v souborech MP3. Právě 4. července se měl tento virus aktivovat a zablokovat postižené počítače.
    Pokud si formát MP3 zachová v budoucnu podobu jako dnes, nikdy nevznikne virus, který by se dokázal přes soubory formátu MP3 šířit.
  • MIONS - jediná česká VX skupina, zaměstnávající "pisálky virů" je v hluboké krizi. Osoby, říkající si Radix16 a Wion již nejsou členy, Worf si dal roční pauzu a Mimi je na vojně.



    [1.7.2001]
    PC Viruses ITW, aneb seznam nejrozšířejnějších virů...

    Na adrese www.wildlist.org/WildList lze stáhnout seznam nejvíce hlášených virů (a další havěti) za měsíc červen. Jako vždy uvádím pouze stručnou verzi. Hodnota pod "Freq" udává množství míst, ze kterých byl daný zmetek hlášen. 

    Freq  Name                       Type      Aliases
 ============================================================================
  39  | W32/MTX-m............... | File    | Matrix, Apology
  35  | VBS/LoveLetter.A-mm..... | Script  |
  34  | W32/Hybris.B-mm......... | File    | Hybris.23040-mm
  32  | VBS/VBSWG.J-mm.......... | Script  | Anna K, SST, Kalamar.A,
                                           | I-Worm.Lee.o
  31  | VBS/Stages.A-mm......... | Script  | VBS/ShellScrap-mm
  30  | JS/Kak.A-m.............. | Script  |
  30  | W32/Navidad.A-m......... | File    | Navidad-m
  27  | W32/Ska.A-m............. | File    | HAPPY99
  27  | W95/CIH.1003............ | File    | Spacefiller
  26  | VBS/VBSWG.X-mm.......... | Script  | HomePage, SST
  25  | W97M/Ethan.A............ | Macro   |
  24  | W32/Magistr.A-mm........ | File    | Disembowler
  24  | W32/PrettyPark.37376-mm. | File    |
  24  | W97M/Marker.C........... | Macro   | W97M/Spooky.C
  24  | W97M/Melissa.A-mm....... | Macro   | Maillissa
  22  | O97M/Tristate.C......... | Macro   | O97/Crown.B
  22  | W32/Qaz................. | File    |
  22  | W97M/Thus.A............. | Macro   | W97M/Thursday.A
  20  | W32/Funlove.4099........ | File    |
  18  | VBS/LoveLetter.AS-mm.... | Script  | VBS/Plan.A-mm
  18  | W32/Navidad.B-m......... | File    | Emanuel-m
  18  | WM/CAP.A................ | Macro   |
  17  | W32/Prolin.A-mm......... | File    | Creative.A-mm
  16  | W32/BleBla.B-mm......... | File    | W32/Verona.B-mm
  15  | VBS/Freelink-mm......... | Script  |
 ============================================================================