Otßzky a odpov∞di

Viry & Antiviry v roce 1998 - soupis novinek a udßlostφ

Rok 1998 p°inesl °adu nov²ch vir∙, ale i novinek. Dodßvßm, ₧e v∞tÜina novinek se t²kß operaΦnφho systΘmu Windows 95/98/NT.

Hned v lednu se objevil prvnφ Java virus "StrangeBrew", kter² se dokß₧e Üφ°it prost°ednictvφm dalÜφch *.class soubor∙. Mo₧nosti, kdy se vÜak tento virus m∙₧e Üφ°it jsou znaΦn∞ omezeny, tak₧e se nejednß o ₧ßdnΘ velkΘ nebezpeΦφ. DalÜφ viry podobnΘho typu se ukßzaly sv∞tu a₧ koncem roku. Jsou to viry napadajφcφ soubory VSB (WinScript) a HTML soubory. Oba vyjmenovanΘ typy taktΘ₧ nemajφ v∞tÜφ Üance dosßhnout masovΘho rozmno₧enφ. Jejich replikaci lze toti₧ omezit sprßvn²m nastavenφm browseru (Explorer, Netscape...). Jist²m dalÜφm zbyteΦn²m pokusem jsou i viry napadajφcφ INF soubory, kterΘ se hojn∞ vyu₧φvajφ p°i instalaci nov²ch aplikacφ.

NebezpeΦφ se vÜak postatn∞ zv∞tÜilo u souborov²ch vir∙ napadajφcφ soubory PE EXE (tedy EXE soubory pat°φcφ aplikacφm urΦen²ch pro Windows 95/98/NT). PoΦßtkem roku 1998 toti₧ Griyo - Φlen Üpan∞lskΘ virovΘ skupiny 29A vyvinul prvnφ 32-bitov² polymorfnφ "motor", kter² umo₧≥uje docφlit schopnosti "mutovat" i pod systΘmem Windows 95/98. Griyo takΘ docφlil "rezidentnosti" v pam∞ti bez nutnosti pou₧φvat VXD driver. Ob∞ tyto novinky aplikoval na svΘm viru W95/HPS. DalÜφm zajφmav²m virem se stal W95/Marburg, kter² se v m∞sφcφch srpen-zß°φ objevil na n∞kolika v²znamn²ch CD, vydan²ch jako p°φloha Φasopis∙. Ob∞tφ se staly Φasopisy PC Gamer, PC Power Play. Zavirovßn tφmto virem byl i samotn² CD titul WarGames. Z°ejm∞ nejv∞tÜφm objevem se stal virus W95/CIH, kter² ΦßsteΦn∞ zm∞nil tvrzenφ, ₧e hardware nelze virem zniΦit. Virus CIH toti₧ dokß₧e na n∞kter²ch nov∞jÜφch zßkladnφch deskßch p°epsat pam∞¥ Flash-Bios, jeji₧ obsah je nutn² pro ·sp∞ÜnΘ nastartovßnφ poΦφtaΦe. Virus CIH pochßzφ z Tai-Wanu, a byl zßm∞rn∞ rozÜφ°en spoleΦn∞ s nelegßlnφmi CD. Ani viru CIH se nevyhnuly n∞kterΘ v²znamnΘ firmy. Na Web strßnce "Yamaha" byl necht∞n∞ dostupn² zavirovan² update k ovladaΦi za°φzenφ. Viru CIH se na internetu nevyhlo ani demo novΘ hry SIN a datadisk Secret Ops ke h°e Wing Commander. Virus CIH se navφc stal prvnφm virem pro Windows 95/98, kter² pronikl do tabulky nejrozÜφ°en∞jÜφch vir∙ (In-The-Wild 12/98). DalÜφm hitem byl virus W95/Inca, kter² se stal prvnφm multipartitnφm virem pro Windows 95/98. Jednß se o rezidentnφ virus, kter² navφc vypouÜtφ krßtkΘ a velmi ÜkodlivΘ progrßmky do archiv∙ (ARJ, ZIP, RAR). Poslednφm vßnoΦnφm hitem je virus Remote Explorer, kter² si pod systΘmem Windows NT zajiÜ¥uje svoji pam∞¥ovou rezidentnost pomocφ slu₧eb (service). Virus Remote Explorer je zcela odliÜn² typ viru. Jeho dΘlka je 150 KB (asi 50000 °ßdk∙ zdrojovΘ k≤du). Pro svΘ Üφ°enφ vyu₧φvß p°edevÜφm poΦφtaΦovou sφ¥, ve kterΘ se sßm orientuje, a jak se zdß, jde mu to velmi dob°e. Replikaci provßdφ pozd∞ v noci a brzo rßno, tak aby si sprßvce niΦeho nevÜiml....

DalÜφ zm∞ny nastaly u makrovir∙. Makroviry pro Word a Excel se stßvajφ stßle Φast∞ji polymorfnφmi a znesnad≥ujφ tak svoji anal²zu. Celkem novinkou jsou makroviry pro Word 97 °ady "Class", kterΘ napajφ modul "ThisDocument", a znemo₧≥ujφ tak vid∞t makra v nabφdce Tools/Macro (Nß°adφ/Makro) i bez pou₧itφ stealth technologie (- technologie na "zneviditeln∞nφ" viru). V poslednφ dob∞ se podobnΘ technologie doΦkalo i n∞kolik mßlo makrovir∙ pro Excel 97. Export t∞la makroviru do specißlnφho souboru, a nßsledn² zp∞tn² import do prßv∞ infikovanΘho souboru se stal taky velmi zajφmavou technikou na oklamßnφ heuristickΘ anal²zy. B∞hem roku vzniklo i n∞kolik nov²ch makrovir∙ pro Microsoft Access a koncem prosince se objevil i prvnφ makrovirus pro produkt Microsot PowerPoint 97. Makrovirus pro PowerPoint tak napadß poslednφ aplikaci kancelß°skΘho balφku Microsoft Office 97, kde se m∙₧e makrovirus Üφ°it. Oba posledn∞ jmenovanΘ typy makrovir∙ (Access, PowerPoint), nelze pova₧ovat za reßln∞jÜφ nebezpeΦφ. Naopak reßln∞jÜφ by mohly b²t makroviry pro Microsoft Office 2000. Prvnφ takov² makrovirus vzniknul na konci prosince upravou, ji₧ existujφcφho makroviru. Makroviry pro Office 97 by se m∞ly pod Office 2000 Üφ°it pouze po drobnΘ ·prav∞. èφ°enφ makrovir∙ pro Microsoft Office 2000 by vÜak mohla zabrßnit silnß obrana, kterou Office 2000 disponuje...

V oblasti antivirov²ch program∙ jsem moc zajφmav²ch novinek nezaregistroval. Pouze slovensk² antivirus HMVS p°iÜel na zaΦßtku roku 1998 s technologiφ neuronov²ch sφ¥φ. Dφky tΘto technologii se stßvß heuristickß anal²za velmi spolehlivou, proto₧e technologie "samouΦenφ" (technologie neuronov²ch sφ¥φ) dokß₧e odliÜit, zda se jednß o faleÜn² poplach, Φi o skuteΦn² makrovirus...

No, uvidφme, co p°inese tento rok...

Igi (1.1.1999)

[Kopφrovßnφ obsahu tΘto strßnky je povoleno pouze se souhlasem autora]