Firmy ALWIL Software (<a href="http://www.asw.cz" target=_blank>www.asw.cz</a>) a ALWIL Trade, kterΘ vyvφjejφ a distribuujφ antivirov² systΘm Avast! po°ßdajφ antivirovou konferenci u p°φle₧itosti desßtΘho v²roΦφ od zalo₧enφ.
Konference se konß 12. zß°φ 2001 od 13 hodin v hotelu DUO, Praha 9 - Prosek, Teplickß 12.
</p>
<p>
Program:
</p>
<pre>
13.00 Zahßjenφ
13.05 Michal KovaΦiΦ - avast! 4
zejmΘna jeho struktura a rozd∞lenφ, popis nßvrhu sφ¥ovΘ verze a p°φklady pou₧itφ na sφtφch r∙znΘ velikosti
13.30 Michal KovaΦiΦ - Podpora ostatnφch OS
zejmΘna Linux, ale takΘ jinΘ operaΦnφ systΘmy
13.45 Roman èvihßlek - ╪φzenφ programu avast! WEBov²m rozhranφm - novinka
podrobnΘ p°edstavenφ a ukßzka jak administrovat sφ¥ovou instalaci programu avast! z www browseru, vΦetn∞ praktickΘ ukßzky
14.00 Ing. Pavel BaudiÜ - viry v roce 2001
14.15 Vojt∞ch Peterka - Heuristickß anal²za obsahu poÜty
p°edstavenφ projektu EPIDEM-x, kter² bude logicky zpracovßvat obsah poÜty a na zßklad∞ u₧ivatelem definovan²ch pravidel informovat u₧ivatele o problΘmech
14.30 P°estßvka
15.00 Ond°ej VlΦek - ServerovΘ produkty programu avast! - novinka
p°edstavenφ verzφ pro ISA server a dalÜφ, vΦetn∞ praktickΘ ukßzky
15.30 Diskuse
16:00 Raut
18.00 hra o exklusivnφ ceny - bowlingov² turnaj ve sportovnφm centru hotelu DUO
hlavnφ cena: IPAQ Pocket PC
</pre>
<p>
┌Φast lze zajistit vhodn²m e-mailem na adresu <a href="mailto:mtomiskova@alwil.com">mtomiskova@alwil.com</a> :)
</p>
<p>
P°i pohledu do programu mn∞ zaujalo hned n∞kolik v∞cφ: Avast! verze 4, podpora dalÜφch OS, °φzenφ p°es web, heuristickß anal²za...
Snad se doΦkßm n∞jak²ch podrobn∞jÜφch informacφ, zatφm ₧ßdnß odpov∞d :(
Benny/29A se po delÜφ dob∞ rozhodl ukßzat sv∞tu svΘ novΘ dφlo, Φerv/virus <b>I-Worm/WM2k.NeXT</b>. DelÜφ pauza byla zp∙sobena rozruchem,
kter² zp∙sobil jeho p°edchozφ virus WINUX. Jeliko₧ se tento virus dokßzal jako prvnφ na sv∞t∞ Üφ°it pod Windows i Linuxem zßrove≥, byly
toho tehdy plnΘ noviny...
</p>
<p>
Zp∞t vÜak k novince. Virus je rozd∞len do dvou Φßstφ, dφky kter²m se dokß₧e Üφ°it jak p°es dokumenty MS Wordu (podobn∞ jako makroviry),
tak i p°es MS Outlook. V p°φpad∞ MS Outlooku odeÜle svoji kopii na vÜechny e-mailovΘ adresy z "knihy adres". V tomto p°φpad∞ jde o "Φisto-krevn²" EXE soubor, nikoliv dokument MS Wordu.
EXE soubor obsahuje ikonku WinZIPu (...tak₧e se m∙₧e zdßt, ₧e jde o archiv) a je komprimovßn programem tElock 0.80.
Na adrese <a href="http://www.wildlist.org/WildList" target=_blank>www.wildlist.org/WildList</a> lze stßhnout seznam nejvφce hlßÜen²ch vir∙ za srpen. Jako v₧dy uvßdφm pouze
struΦnou verzi. Hodnota pod "Freq" udßvß mno₧stvφ mφst, ze kter²ch byl dan² zmetek hlßÜen. Za povÜimnutφ stojφ <i>Win32/Sircam.A</i> (Freq:16), kter² se pomalu tlaΦφ nahoru.
Wildlist nenφ bohu₧el natolik "pru₧n²" aby zachytil aktußlnφ stav zcela p°esn∞. Typoval bych, ₧e <i>Win32/Sircam.A</i> by byl daleko v²Üe.
<li>Na adrese <a href="http://www.root.cz/clanek.phtml?id=796" target=_blank>www.root.cz/clanek.phtml?id=796</a> lze najφt recenzi antivirovΘho systΘmu GeCAD RAV pro LinuxovΘ servery.
Hlavnφ pozornost si zaslou₧φ p°edevÜφm zp∙sob licencovßnφ. Produkt je toti₧ licencovßn na poΦet domΘn. P°i troÜe Üt∞stφ lze n∞kolik tisφc zam∞stnanc∙ firmy ochrßnit za sm∞Ün²ch 295 dolar∙ (cena za dv∞ domΘny) !!!
U jin²ch antivir∙ by se nemuseli doplatit...
</p>
<p>
<li>Peter "Doktor" KovßΦ informoval na <a href="http://www.itnews.sk/buxus/generate_page.php3?page_id=3453" target=_blank>www.itnews.sk/buxus/generate_page.php3?page_id=3453</a> o zatΦenφ
mu₧e, kter² ·dajn∞ napsal Φerva Win32/Leave.
</p>
<p>
<li>╚eskou skupinu MIONS, kterß "zam∞stnßvß" n∞kolik "pisßlk∙" vir∙, opustil i Φlov∞k, °φkajφcφ si Wion.
N∞kterΘ Φßsti jeho zprßvy:<br>
<i>...na vojnu sice asi nepujdu, ceka me spis civilni
sluzba, ale i presto se nebudu asi nijak zvlast ukazovat na
internetu.Nekoncim sice zatim na Vx scene, ale v mions uz dal byt nemuzu....</i><br>
<i>...kdyby mi nevysla ta civilka, tak je mozne ze se rok neuvidime...</i>
V podstat∞ jde o ISAPI filtr, kter² se p°idß mezi ostatnφ ISAPI filtry WWW serveru.
Zmi≥ovan² filtr by m∞l zabrßnit pr∙nik∙m variant Φerva "Code Red". Jak °ikß sßm "boss" Eugene Kaspersky, p°i pou₧itφ
tohoto filtru nenφ pot°eba instalovat zßplatu od Microsoftu. Budoucφ verze filtru bude obsahovat ·dajn∞ i
heuristiku pro detekci neznßm²ch Φerv∙ kte°φ vyu₧φvajφ "Buffer Overflow", podobn∞ jako "Code Red".
</p>
<p>
Bli₧Üφ informace lze zφskat na adrese <a href="http://www.kaspersky.com/news.asp?tnews=0&nview=8&id=214&page=0]" target=_blank>http://www.kaspersky.com/news.asp?tnews=0&nview=8&id=214&page=0]</a>.
Filtr m∙₧ete sosat z <a href="ftp://ftp.kaspersky.com/utils/KAVISAPI.ZIP" target=_blank>ftp://ftp.kaspersky.com/utils/KAVISAPI.ZIP</a>.
Na adrese <a href="http://www.wildlist.org/WildList" target=_blank>www.wildlist.org/WildList</a> lze stßhnout seznam nejvφce hlßÜen²ch vir∙ (a dalÜφ hav∞ti) za m∞sφc Φervenec. Jako v₧dy uvßdφm pouze
struΦnou verzi. Hodnota pod "Freq" udßvß mno₧stvφ mφst, ze kter²ch byl dan² zmetek hlßÜen.
<IMG SRC="ukazatel.gif" ALIGN="LEFT"><FONT SIZE="2" face="arial"><B>VGREP po roce a p∙l op∞t ₧ije !</B></font>
<p>
"Virov² slovnφk synonym" po roce a p∙l op∞t o₧il ! Aplikace VGREP (<a href="http://www.virusbtn.com/VGrep" target=_blank>http://www.virusbtn.com/VGrep</a>) umo₧≥uje
zjistit, jak kter² antivirus nazve dan² virus. ╚lov∞k by nev∞°il, co lze v nßzvech vir∙ vÜechno najφt :) MenÜφ ·kßzka:
<IMG SRC="ukazatel.gif" ALIGN="LEFT"><FONT SIZE="2" face="arial"><B>Novß varianta, CodeRedII (CodeRed.c) je tu !</B></font>
<p>
V sobotu 4.8. 2001 se na Internetu objevila novß varianta wormu <a href="popisy_viru/virw32.html#codered" target=window2>CodeRed</a>. Tato varianta pou₧φvß pro svoje Üφ°enφ stejnou bezpeΦnostnφ dφru jako p∙vodnφ worm. Napadß
poΦφtaΦe, na nich₧ je instalovßn Microsot IIS Web Server bez opravnΘ zßplaty (patch). Z infikovanΘho poΦφtaΦe se posφlß intenzivn∞ji ale po kratÜφ dobu. Nov² worm je
nebezpeΦn² zejmΘna tφm, ₧e do napadenΘho poΦφtaΦe instaluje jin² program: trojskΘho kon∞, kter² pak m∙₧e fungovat jako zadnφ vrßtka a m∙₧e umo₧nit neautorizovan²
vstup do napadenΘho systΘmu. O p∙lnoci dne 1. °φjna se worm nav₧dy deaktivuje. Worm na rozdφl od p∙vodnφ varianty nepodstrkßvß u₧ivatel∙m modifikovanΘ WWW
strßnky, neprovßdφ distribuovan² ·tok na jedin² poΦφtaΦ (Bφl² d∙m), jeho jedin²m cφlem je dostateΦn∞ rozÜφ°it poΦet poΦφtaΦ∙ se zadnφmi vrßtky do systΘmu. Pokud se mu
poda°φ napadnout podobn² poΦet poΦφtaΦ∙ jako p∙vodnφmu wormu (kolem 300 000), pak m∙₧e b²t vß₧n∞ ohro₧ena integrita Internetu: tak velk² poΦet server∙, nad nimi₧
m∙₧e mφt kontrolu t°etφ strana, znamenß obrovskΘ bezpeΦnostnφ riziko. Sprßvci takov²ch systΘm∙ navφc nemohou mφt jistotu, zda jim pomocφ t∞chto zadnφch vrßtek n∞kdo
nep°idal do systΘmu n∞co dalÜφho. A tak zatφmco proti p∙vodnφmu wormu staΦilo uplatnit p°φsluÜnou zßplatu a server p°estartovat, v tomto p°φpad∞ je nejspolehliv∞jÜφ
metodou p°eformßtovßnφ disku a novß kompletnφ instalace systΘmu.
╚erv Sircam.A se Üφ°φ stßle velice vesele. Zatφmco populßrnφ Φerv "I_love_you" (VBS/LoveLetter.A) byl zßle₧itostφ doslova na n∞kolik hodin, Φerv Sircam.A obt∞₧uje
statisφce lidφ ji₧ n∞kolik dnφ. Od objevenφ tohoto Φerva mi bez p°estßvek chodφ den co den mimimßln∞ jeden infikovan² e-mail. NovΘ nßvÜt∞vnφky upozor≥uji, ₧e
"posti₧en²" e-mail obsahuje hned na zaΦßtku text "<i>Hi! How are you?</i>". Pokud jste n∞jakou takovou zprßvu obdr₧eli, doporuΦuji se ji vyhnout, pop°φpad∞ ji rovnou smazat.
</p>
<p>
Jedno·Φelov²ch antivir∙ proti Φervu Sircam.A rapidn∞ p°ibylo, zatφm na mn∞ nejlΘpe zap∙sobil ten od Symantecu (<a href="antiviry/FixSirc.com">FixSirc.com</a>).
</p>
<p>
Mimochodem, u₧ k Vßm Sircam.A p°itßhl n∞jak² ten dokument s d∙le₧it²m, Φi tajn²m obsahem ? Sircam.A na mn∞ zatφm zap∙sobil pouze s dokumentem MS Wordu: <i>Minipivovar Vietnam.doc.pif</i> :)
╚erv "Code Red" jednoznaΦn∞ dokazuje obrovskou pracovitost n∞kter²ch novinß°∙. Ti v∞tÜinou dostupnΘ informace (potud jeÜt∞ zcela pravdivΘ) upravujφ
tak, aby jim sami rozumn∞li. V²sledkem je nap°φklad:
</p>
<p>
<li>"<i>Code Red napadß poΦφtaΦe s operaΦnφmi programy Windows 2000 a Windows NT firmy Microsoft.</i>"<br>
<b>Igi/SPR┴VN╠:</b> Üφ°φ se na systΘmech Windows NT a 2000 <u>s nainstalovan²m IIS, kterΘ nemajφ pßr m∞sφc∙ starou zßplatu na jednu dφru</u> (cituji p. TomßÜe HolΦφka, <a href="http://www.zive.cz" target=_blank>www.zive.cz</a>).
V praxi to znamenß asi to, ₧e u₧ivatel, vyu₧φvajφcφ Windows NT/2000 pro spouÜt∞nφ oblφbenΘho textovΘho editoru MS Word a surfovßnφ po Internetu prost°ednictvφm modemu m∙₧e b²t v klidu.
</p>
<p>
<li>"<i>Program Code Red je vir Φervφho typu.</i>"<br>
<b>Igi:</b> Tak tohle je opravdu vrchol. Virus je virus a Φerv je Φerv. Nelze tedy prohlßsit, ₧e jde o "vir Φervφho typu". Rozdφl mezi Φervem a virem je vφce ne₧ patrn² (vφce <a href="kniha_o_virech/deleni.html" target=window2>zde</a>).
V dneÜnφ dob∞ se v∞tÜinou pojmem "Φerv" (pon∞kud nesprßvn∞) oznaΦuje typ infiltrace, kterß do poΦφtaΦe pronikß prost°ednictvφm elektronickΘ poÜty. V∙Φi Φervu Code Red je to trochu nefΘr, metoda Üφ°enφ Code Red je toti₧ zcela odliÜnß (dφrß v IIS).
Vzhledem k tomu, ₧e prvnφm populßrnφm Internetov²m Φervem se stal (tuÜφm, ₧e n∞kdy v roce 1988) tzv. "Morris∙v Φerv", kter² se v n∞kter²ch ohledech podobß "rudΘmu k≤du", dovolil bych si "Morris∙v Φerv" a Red Code oznaΦit za PRAV╔ ╚ERVY a "hav∞¥" Üφ°φcφ
se elektronickou poÜtou pouze za <u>"Φervy" v uvozovkßch</u>.
</p>
<p>
Za vrchol pova₧uji rozhovor s ing. MiluÜφ èubrtovou (pravd∞podobn∞ v po°adu "21" na ╚T2). Jen n∞kterΘ nesmysly:
<li><b>Redaktor:</b> <i>Dß se krßtce °φci, v Φem je rozdφl mezi Φervem a virem ?</i><br>
<b>ing. MiluÜe èubrtovß:</b> <i>Vir je pouze p∙sobφcφ na °ekn∞me Φßst souboru, kter² se vlastn∞ pohybuje jen v tΘto Φßsti, kde₧to Φerv je v podstat∞ souΦßstφ n∞kolika soubor∙, kter² majφ charakteristiku t°eba svojim jmΘnem vstoupit do n∞kolika systΘm∙ narßz a tφm je v podstat∞ poÜkodit.</i>
</p>
<p>
<b>Igi:</b> Kdo to pochopil, a¥ dß v∞d∞t na <a href="mailto:igi@viry.cz">igi@viry.cz</a>. DoporuΦuji radÜi navÜtφvit <a href="kniha_o_virech/deleni.html" target=window2>Knihu o virech</a> :)
</p>
<p>
<li><b>Redaktor:</b> <i>Mß u₧ Code Red n∞jakΘho p°edch∙dce ?</i><br>
<b>ing. MiluÜe èubrtovß:</b> <i>Mß, ve svΘ podstat∞ jsou to vÜechny °ady vir∙, Φerv∙ typu I Love You, I Form, Melissa...</i>
</p>
<p>
<b>Igi:</b> Za p°edch∙dce lze pova₧ovat tak maximßln∞ "Morris∙v Φerv". Vysv∞tlenφ jsem uvedl naho°e.
</p>
<p>
<li>Kompletnφ rozhovor ve formßtu MP3 lze stßhnout z <a href="http://pws.prserv.net/fpl/miluse.mp3">http://pws.prserv.net/fpl/miluse.mp3</a>, p°φjemnou zßbavu :)
╚erv <i>I-Worm/Sircam.A</i> ohromnou rychlostφ po celΘm sv∞t∞. ╚esko a Slovensko nejsou vyjφmkou. Pokud se tento Φervφk dostal i na VßÜ poΦφtaΦ,
doporuΦuji vyzkouÜet tento jedno·Φelov² antivirus <a href="antiviry/FixSirc.com">FixSirc.com</a>. StaΦφ ho stßhnout a spustit p°φmo z Windows.
Pokud pou₧φvßte Windows 2000/NT, je nutnΘ, aby m∞l u₧ivatel prßva administrßtora. Antivirus toti₧ pot°ebuje p°φstup ke vÜem soubor∙m na disku a k registr∙m Windows.
</p>
<p>
<li>JeÜt∞ jeden dodatek k popisu tohoto Φerva:<br>
<i>I-Worm/Sircam.A</i> obsahuje n∞kolik Ükodliv²ch rutin. 16.°φjna m∙₧e vymazat vÜechny soubory na disku C:, pop°φpad∞ v adresß°i C:\RECYCLED vytvo°φ soubor sircam.sys, do kterΘho zapisuje text
<pre>
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
</pre>
pop°φpad∞
<pre>
[SirCam Version 1.0 Copyright (c) 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
</pre>
tak dlouho, a₧ dojde k vyΦerpßnφ volnΘho mφsta na disku.
mimojinΘ informuje i spoleΦnost Grisoft (<a href="http://www.grisoft.cz" target=_blank>www.grisoft.cz</a>), v²robce tuzemskΘho antiviru AVG. Dφky tomu mßm usnadn∞nou prßci, nßsledujφcφ informace jsem si dovolil
p°evzφt p°φmo od nich :)
</p>
<i>
<p>DalÜφ roztomil² mazlφΦek se zaΦal Üφ°it vΦera rßno (naÜeho Φasu).
Jde o cca 134kB bubmbrdlφΦka napsanΘho v Delphi.
</p>
<p>Soud∞ dle zaÜifrovan²ch text∙ pochßzφ z Mexika:
</p>
<pre> [SirCam Version 1.0 Copyright (c) 2001 2rP
Made in / Hecho en - Cuitzeo, Michoacan Mexico]
</pre>
<p>Tento text mimochodem obsahuje i v pon∞kud "odtuΦn∞nΘ" verzi:</p>
V ΦervencovΘm Φasopisu Virus Bulletin (<a href="http://www.virusbtn.com" target=_blank>www.virusbtn.com</a>) se objevil srovnßvacφ test antivirov²ch program∙ pro DOS.
<a href="kniha_o_virech/vb0107.html" target=window2>Jako obvykle p°inßÜφm kompletnφ v²sledky</a>.
</p>
<p>
Naprosto dokonalΘ v²sledky (100% ve vÜech kategoriφch) tentokrßt podaly Φty°i antivirovΘ programy:
<i>DrWeb, Nod32, Kaspersky AntiVirus a NAI VirusScan</i>. U Nodu32 je to ji₧ celkem b∞₧nß zßle₧itost :), ovÜem pro
Kaspersky AntiVirus to znamenß po delÜφ dob∞ perfektnφ nßvrat mezi "elitu" (100% ve vÜech kategoriφch nem∞l ji₧ dlouhou dobu, navφc nezφskal v poslednφ dob∞ ani ocen∞nφ "Virus Bulletin 100%").
Nod32 byl v testu bezkonkurenΦn∞ nejrychlejÜφ (viz. tabulky).
</p>
<p>
Na zßv∞r bych m∞l jeÜt∞ vyjmenovat antiviry, kterΘ dokßzaly odhalit vÜechny In-the-Wild viry (ty, kterΘ se ve sv∞t∞ nejvφce Üφ°φ):<br>
<i>
<li>CA Inocucmd
<li>CA Vet Rescue
<li>Command AntiVirus
<li>DialogueScience DrWeb
<li>Eset Nod32DOS
<li>FRISK F-Prot
<li>F-Secure Anti-Virus
<li>Kaspersky Lab AvpDOS32
<li>NAI VirusScan
<li>Norman Virus Control
<li>Symantec Norton AntiVirus
<li>VirusBuster
</i>
</p>
<p>
Ocen∞nφ "Virus Bulletin 100%" nebylo ud∞leno ₧ßdnΘmu antiviru, jeliko₧ nelze pod DOSem testovat kategorii on-access skener∙ (tj. pam∞¥ov∞ rezidentnφch antivir∙ - "Ütφt∙").
Na adrese <a href="http://www.wildlist.org/WildList" target=_blank>www.wildlist.org/WildList</a> lze stßhnout seznam nejvφce hlßÜen²ch vir∙ (a dalÜφ hav∞ti) za m∞sφc Φerven. Jako v₧dy uvßdφm pouze
struΦnou verzi. Hodnota pod "Freq" udßvß mno₧stvφ mφst, ze kter²ch byl dan² zmetek hlßÜen.
