Prvykrat som sa stretol s virusom priamo na svojom pocitaci v praci pred mnohymi rokmi, ked som sa nakazil
boot virusom PingPong z diskety. Este sa mi podarilo byt nakazeny nejakym variantom Cascade.1701 a za
poslednych par rokov sa mi vdaka nepozornosti dostal do pocitaca BackOrifice, a OneHalf. O virusy som sa
zacal zaujimat az po osobnom stretnuti s Miroslavom Trnkom pred asi 10 rokmi a moja praca v oblasti antivirusov
zacala pred 5 rokmi, ked som pre ESET mal moznost pracovat na detekcii virusov s vyuzitim specialnych nastrojov
vyvinutych touto firmou. Od roku 1996 sa prakticky venujem iba makrovirusom, a to najma heuristickej analyze,
identifikacii a dekompilatorom WordBasic a VBA.
Kdo a kdy prisel s napadem vytvorit HMVS ?
Impulz prisiel zaciatkom roka 1996 od Miroslava Trnku, ktory sa vtedy mna a mojho kamarata Jana Valkyho spytal,
ci by sme si netrufli urobit heuristicku analyzu WM virusov. Vtedy sme nemali ani ponatia kde a ako zacat. Ked
vsak J. Valky urobil asi za dva mesiace analyzu OLE2 formatu a exportovanie tabuliek z OLE2 do suboru, mohli
sme sa konecne pozriet na to, ako take makro vyzera v binarnej podobe. Vtedy som prisiel s napadom urobit
samostatny heuristicky skener. Spolu s J. Valkym sme urobili analyzu WordBasic tokenov a navrhli sme heuristiku.
Asi po troch tyzdnoch prac sme vydali prvu verziu programu HMVS, ktoru vyvijame az dodnes, pricom od verzie
3.00 do timu pribudol Richard Marko, ktoreho zasluhou sa podarilo vyriesit najzlozitejsie casti programu (napr.
Access 97 engine ...)
Byli jste prekvapeni dobrymi vysledky ve VTC, nebo jste to cekali ?
Necakali sme vobec, ze budeme zaradeni do testov. Pani z VTC totiz nikdy neodpovadali ani na jeden E-mail, takze
v sucasnosti sa uz vobec neunuvame im nejake verzie posielat na test. Vysledky testov nas samozrejme potesili.
Co bys vzkazal odpurcum heuristicke analyzy ?
Nech aj nadalej vytrvale vzdoruju heuristickej analyze a vsetkym novym technologiam :)
Kde ziskavate nove makroviry, a podle ceho je pojmenovavate ?
Najviac ich mame z volne dostupnych zdrojov na internete, nieco sme dostali e-mailom priamo od ich autorov
alebo pouzivatelov nasho programu a taktiez mame dobru spolupracu s firmou ESET, kde mam na starosti okrem
ineho aj udrzovanie zbierky makro virusov (doplnovanie, triedenie a pomenovavanie)
Jak to momentalne s makroviry na slovensku vypada ?
Nastastie je znamych iba 5 slovenskych makrovirusov. Styri su pre Word 6 - WM.Slow.A, WM.Slow.B,
WM.Uglykid.A a WM.Navrhar.12888 a jeden pre Excel - XM.Laroux.HA
Mas nejaky makrovirus, ktery se ti zda nejzajimavejsi ?
Tazko povedat. Za zaujimave sa da povazovat vsetko, co prinasa nejaku novu technologiu. V tom pripade sem
patria predovsetkym novinky od autora, ktory si dal prezyvku VicodinES. V kazdom pripade zatial neexistuje
ziaden makrovirus, ktoreho detekcia by robila nejake vacsie problemy. Makro virusy sucasnych autorov totiz
ani zdaleka nevyuzivaju moznosti, ktore im jazyk VBA poskytuje a podla mna sila jazyka VBA nebola ani v
jednom viruse vyuzita na viac ako 5%
Znas na slovensku nejakou osobu, ktera pise makroviry ?
Nie.
Jak bys charakterizoval ceske produkty AVAST, AVG ?
Nebolo by korektne aby som ich hodnotil. Doporucem pozriet vysledky testov vo Virus Bulletin, kde su oba
produkty zhodnotene
Jaky je tvuj oblibeny antivirus ?
AVP(DOS verzia) , NOD32 (32-bitova DOS verzia) a samozrejme HMVS :)
Jaky antivirus bys naopak nikomu nedoporucoval (proc?) ?
Nechcem nikoho menovat, nebolo by to korektne
HMVS zatim vychazel dosti nepravidelne, zlepsi se to ?
Radi by sme robili aktualizaciu 1x za 4 az 6 tyzdnov. Keby bol HMVS produktom, do ktoreho sa iba doplnuju
vzorky novych virusov, potom by update mohli vychadzat aj kazdy den. HMVS vsak takmer v kazdej verzii
prinasa nove technologie, ktorych implementacia vzdy vyzaduje urcity cas.
Kolik mate dnes registrovanych uzivatelu ?
Toto je obchodne tajomstvo. Prezradim vsak, ze 90% registracii je z USA
Co chystate do budoucnosti ?
V najblizsej buducnosti to bude Office 2000 engine (Word 9.0, Exce 9.0 a Access 9.0 skener/heuristika/generator
zdrojakov), VBA5 dekompilator a o nieco neskor Excel Formula dekompilator a heuristika.
A co tvuj nazor na moji stranku ?
Je rozhodne najkvalitnejsia v oblasti problematiky virusov/antivirusov aku som kedy na ceskych a slovenskych
strankach videl. Doporucujem ju naozaj kazdemu, kto sa zaujima o novinky v oblasti virusov a hodnotenie
antivirusovych programov.
Po tom co som rad prisiel o data na disku po Dark Avengerovi.
Neformuje se u vas nejaka nova skupina, kdyz SVL zanikla ?
Nic o tom neviem, no vylucit sa to neda.
Jak to na slovensku v dnesni dobe s viry vypada ?
Siria sa :). Ludia su skratka stale dost blby ...
Jaky je tvuj nazor na generatory viru a na makroviry ?
Generatory su pre par neshopnych idiotov co nevedia ako na vec. Pre
autorov je to urcita vyzva, vid posledne On line Virus Generator ....
Macrovires suxxx. Ked si Micro$oft nevie poriesit vlastne problemy, tu
ma nasledok. A este stastie ze priemerny autor makrovirusu nie je riadne
v obraze, co mu vlastne M$ dal k dispozici za tools.
Jake viry maji podle tebe nejvetsi sance na sireni ?
Bug free s premyslenou strategiou sirenia a ziadnym prejavom.
Kolik tipujes lidi, co na slovensku pisou viry ?
No idea.
Mas nejaky oblibeny antivirus ? a proc ?
Solomon - tradicia a kvalita, co potesi, ale asi sa na to vykaslem, ked
to kupil NAI.
AVP - dobry, lepsi, sovietsky, najlepsi v testoch
NOD - kupujte slovenske vyrobky :) Tento je jeden z mala, co sa oplati
kupova, navyse su v obraze, co mozete mat na svojej masine
par free utilitiek od SAC - su dobre a hlavne freee, co dodat, riesa tie
najhnusnejsie vajry uplne zadarmo
HMVS - tento mam dost rad
Jaky antivirus bys naopak nedoporucil (proc ?) ?
V kazdom pripade taky, kde vyrobca sedi dalej ako v susednom state (cize
nema ponatie o regionalnej vajrusovej situacii), vydava obrovske peniaze
na advertising a ma na <-> programatorov...
Muzete neco rici o Vasem prvnim kontaktu s virem ?
Okolo roku 1988 jsem se potkal s nejakou variantou viru
Yankee_Doodle, ale moc mne to tehdy nezaujalo.
Jak a kdy jste se k antivirum dostal ?
V roce 1992 jsme zacali s Petrem Zahradnickem psat
vlastni antivirovy system a po par letech prace jsme
meli v rukou vcelku pouzitelny engine, ale ten byl sam o
sobe k nicemu - nemeli jsme spoustu dulezitych veci
okolo (interface, verze pro Windows, instalace ...).
Tak jsme se v roce 1995 domluvili s Honzou Gritzbachem
(majitelem Grisoftu) a zacali spolupracovat na vyvoji
nove verze 5.0, ktera byla dokoncena nekdy v roce 1997.
Co by jste vzkazal odpurcum heuristicke analyzy ?
S obema obcas zajdu na pivo, takze jim asi nic vzkazovat
nemusim. :-)
Ale vazne. Spory o tom zda heuristika ano ci ne uz
proste nejsou aktualni. Ted ma smysl se dohadovat spise
o tom jak realizovana heuristika a s jakymi schopnostmi
a vlastnostmi.
Mohl byste rici nejake ciselne udaje o Vasi sbirce
viru ?
Hlavni cast sbirky, kde je po par vzorcich od kazdeho
viru, ma dnes 18 tisic adresaru ve kterych je 97 tisic
souboru. Dalsich par stovek tisic souboru je
v namnozenych polymorfnich virech, sadach na testovani
leceni a v archivu veci casto se vyskytujicich na
internetu.
Inspiroval Vas nekdy k nejake nove funkci bezny
uzivatel AVGcka ?
K nejakym zmenam a vylepsenim detekcniho enginu ne, ale
spousta doprovodnych malickosti a veci v rozhrani je
ovlivnena pozadavky uzivatelu.
Jaky virus je od Vasich uzivatelu v dnesni dobe
nejvice hlasen ?
Makroviry vseho druhu (nejcasteji nejake varianty viru
W97M/CAP, W97M/Class, XM/Laroux a X97M/Laroux). Pak uz
stoji za zminku snad jenom Win/CIH.
Je samozrejme jista relace mezi tim, jak casto je virus
hlasen a tim jak moc je doopravdy rozsiren, ale neni to
zcela presne. Lide volaji predevsim kvuli virum, ktere
jsou nejak nove a zajimave, nebo se kterymi narazili na
obtize. Nikdo nezvedne telefon aby radostne oznamil, ze
potkal a vylecil treba Helloween.1376.A.
To je take duvod, proc soucasny WildList trosku ztraci
vypovidaci schopnost a proc se nyni hodne mluvi o
zmenach zpusobu jeho vytvareni.
Jaky virus Vas nejvice zaujal ?
Tezko muzu mluvit o nejakem jednom konkretnim viru.
Predevsim mne zajimaji viry, ktere poprve (a dobre)
realizuji nejaky napad. Treba rusky virus 3APA3A, ktery
infikuje IO.SYS nebo slovensky virus TMC, ktery je
polymorfni vyrazne inteligentnejsim zpusobem, nez
obvyklym "promenne dekryptovaci smycka a za ni sice
zakodovane, ale prece jenom konstantni, telo viru".
Stalo se Vam nekdy, ze se nejaky virus nekontrolovane
siril ve Vasi spolecnosti ?
Pred par lety jsem nechal v mechanice disketu infikovanou
virem Aragon a odesel na obed. V dobe obeda probehl kratky
vypadek proudu a ja mel Aragona na disku.
Nemam ale pocit, ze by se to dalo oznacit za
"nekontrolovane sireni".
Kolik odhadujete, ze se v Cechach vyskytuje lidi,
kteri pisou viry ?
Par desitek, ale zadnou presnou predstavu nemam.
Neplanujete nejakou novou publikaci o virech ? Od
vydani knihy "Prakticka sebeobrana proti virum" se toho
hodne zmenilo...
Urcite ne. Tu knizku jsme s Petrem rozepsali jeste
v dobe, kdy jsme nepracovali pro zadnou antivirovou
firmu. V teto situaci ale nemohu psat o antivirech, to
by proste nebylo fer.
Ostatne pokud mi nahodou zbude chvilka volneho casu, tak
ji radeji venuji detem, prectu si nejakou knizku
z nekolikametrove (a zvolna se prodluzujici) zasoby
titulu, ktere jsem si zatim nestihnul ani prolistovat
nebo zajdu s kamarady na par Plzni a trosku toho
mariase.
Pokud se ale nekdo pusti do tohoto nevdecneho ukolu, tak
mu rad poskytnu informace, ktere mam k dispozic (a jsem
si jist, ze lide z ostatnich antivirovych firem take).
Mate nejaky oblibeny antivirus (krome AVG) ?
Jaky antivirus naopak nemate v oblibe (proc?) ?
Na kazdem antiviru (AVG v to pocitaje) najdu veci ktere
se mi libi i veci, ktere se mi nelibi. O nejake "oblibe"
bych ale v teto souvislosti asi nemluvil.
...A co Vas nazor na moji www stranku ?
Urcite je to nejlepsi nekomercni stranka na toto tema,
ktera existuje v cestine. Otazkou zustava jak dlouho Vas
to jeste bude bavit a jak dlouho si budete moci dovolit
venovat spoustu casu takovemu konicku.
Muzete neco rici o Vasem prvnim kontaktu s virem ?
To uz je hodne davno... Na jare 1988 jsem dostal disketu s virem
Vienna-648, pujcil jsem si na vikend domu PC a behem soboty a nedele jsem
ho zanalyzoval a napsal prvni antivirovy program...
Jak a kdy jste se k antivirum dostal ?
To uz je hodne davno... :-) Viz vyse. V te dobe jsem mel v praci k
dispozici PC od Olivetti (to byl stroj!), mel jsem spoustu casu a ucil jsem
se assembler, takze ten vyvoj byl docela logicky.
V roce 1994 byl AVAST poprve v testech casopisu Virus Bulletin - byl jste
prekvapen vysledky, nebo jste je cekal ?
Dobre vysledky jsem cekal, protoze jsme interne porovnavali AVAST s
konkurencnimi produkty uz predem a vedeli jsme, ze je to kvalitni program.
S prvnimi testy ve Virus Bulletinu vsak byl jeden problem - nepodarilo se
jim z nejakeho duvodu otestovat detekci boot viru, jinak bychom byli
nejlepsi uz tehdy. Takhle to jeste nejaky cas trvalo. AVAST se vsak o neco
pozdeji stal prvnim antivirovym programem, ktery chytil vsechny viry v
testech...
Byl jste (nebo jeste jste) odpurcem heuristiky - jak se na ni divate dnes ?
Heuristika je jedna z metod, jak chytat viry. Kazda metoda ma nektere
vyhody a nevyhody. Hlavni vyhodu heuristiky vidim v marketingu - zni to
samozrejme krasne - chytat nezname a dosud nenapsane viry... Praxe je vsak
casto trochu jina. Problemem je zejmena to, ze detekce nemusi byt 100%
spolehliva (muzete skoncit se vsemi napadenymi programy, ktere ale nejsou
detekovany), ze vznika spousta falesnych poplachu a ze prumernemu uzivateli
casto neni jasne, co mu antivirovy program sdeluje a co ma delat...
Z techto duvodu jsme heuristiku (tj. analyzu chovani programu a nasledne
rozhodovani, zda muze jit o virus nebo ne) neimplementovali a zamerili jsme
se na kvalitni detekci jiz znamych viru (a jejich "rodin").
Mohl byste rici nejake ciselne udaje o Vasi sbirce viru ?
Cisla nejsou prilis zajimava, ale presto: v soucasne dobe mame v hlavni
virove databazi asi 44 000 souboru infikovanych klasickymi viry, 3000
bootviru a 6700 infikovanych dokumentu. Presny pocet unikatnich viru je
tezke urcit a cisla se navic meni kazdym dnem. Udrzba takove databaze neni
samozrejme jednoducha a vyzaduje spoustu znalosti, casu a usili...
Jaky virus je od Vasich uzivatelu v dnesni dobe nejvice hlasen ?
V soucasne dobe jsou to zejmena makroviry (CAP, Laroux, Class, Ethan,
Tristate), klasikou pak i po letech zustavaji One Half, Jimmi a Form. Od
26. dubna se stale jeste ozyvaji uzivatele postizeni virem CIH, velmi
rozsireny je stale Happy99...
Jaky virus Vas nejvice zaujal ?
Vetsina viru je naprosto nezajimavych, autori kopiruji metody jeden od
druheho a nova idea se objevuje jen zridka. Nic, co by mne opravdu
zaujalo, jsem uz hodne dlouho nevidel.
Stalo se Vam nekdy, ze se nejaky virus nekontrolovane siril ve Vasi
spolecnosti ?
Ne, nestalo. Mame striktni pravidla, ktera stanovuji, kdo ma k virum vubec
pristup a jak s nimi zachazet. Pocitace, na kterych se viry mnozi, jsou
fyzicky oddeleny od ostatnich. Neumim si vubec predstavit, ze bychom bez
takovych opatreni mohli fungovat.
Mate nejaky oblibeny antivirus (krome AVASTu) ?
Pouzivame nekolik konkurencnich produktu (DOSove verze) pro referenci a
pojmenovavani nove doslych viru. Patri mezi ne napr. Findvirus (DrSolomon),
F-Prot, Scan, Sweep a TBAV - proste klasika. Na identifikaci makroviru je
docela dobry F-MACROW. Nejaky specialne oblibeny ale nemam...
Jaky antivirus naopak nemate v oblibe (proc ?) ?
Rutinne krome AVASTu nepouzivam jiny antivirovy program, takze na tuto
otazku neumim odpovedet. Obecne lze rici, ze spatny je kazdy antivirovy
program, ktery neni pravidelne aktualizovan ci je pouzivan chybnym
zpusobem. V uzivateli to pak muze vyvolavat falesny pocit bezpeci a to je
horsi, nez kdyby antivirovy program nepouzival vubec.
...A co Vas nazor na moji www stranku ?
Pekna :-) Myslim, ze navstevnici zde muzou najit spoustu informaci, ktere
by jinde hledali jen tezko (a v cestine uz vubec ne). Preji Vam, aby Vase
nadseni a usili vydrzelo co nejdele!