Novinky: ╚ervenec 1999


[24.7.99]
Rozruch kolem Φlßnku o Φervech na serveru Sv∞t Namodro...
Nedßvno jsem napsal pro server Sv∞t Namodro Φlßnek (zde) o poΦφtaΦov²ch Φervech. Kolem Φlßnku se objevil celkem velk² rozruch. Ten zp∙sobilo hlavn∞ tvrzenφ, ₧e Happy99 Φi ExploreZIP jsou Φervi a taky tvrzenφ, ₧e Happy99 je prvnφm Φervem, kter² se usp∞Ün∞ Üφ°il (a stßle Üφ°φ). Za tvrzenφm, ₧e Happy99 Φi ExploreZIP jsou Φervi si budu pevn∞ stßt a₧ do doby, kdy antivirovφ odbornφci vymyslφ pro tyto programy lepÜφ oznaΦenφ. Programy typu Happy99 by si z°ejm∞ zaslo₧ily n∞jakΘ jinΘ oznaΦenφ, proto₧e srovnßvat je s Φervem "od Morrise" je jako srovnßvat Trabanta s Mercedesem...

[16.7.99]
Back Orifice 2000 jeÜt∞ jednou... - infikovßn byl ji₧ originßl !!!
Jak se ukßzalo, program Back Orifice 2000 byl infikovßn virem CIH i na CD, kterΘ nabφzeli p°φmo auto°i na v²stav∞ DefCon ! Auto°i programu to dlouho popφrali, ale vΦera to proniklo na povrch - viz. strßnka http://www.cultdeadcow.net.

[15.7.99]
Back Orifice 2000 + CIH
Petr Odehnal m∞l pravdu, kdy₧ tvrdil (13.7.99), ₧e n∞kterΘ z kopiφ programu BO2000 jsou napadeny virem CIH. Infikovanou verzi bylo mo₧no stßhnout i z velmi kvalitnφ strßnky TheNoMercyTeam (pokud n∞kdo znß n∞jakou lepÜφ, a¥ se ozve). Za n∞jakou dobu se tam vÜak objevil ji₧ neinfikovan² soubor s v²sti₧n²m nßzvem "bo2k_no_cih.zip"...

[13.7.99]
Back Orifice 2000 - n∞kdy u₧iteΦn², n∞kdy nebezpeΦn²...
Jeliko₧ °ada server∙ informovala o tomto novΘm programu, p°idßm se k nim taky. Back Orifice je prost∞ program, kter² n∞komu nasadφte na poΦφtaΦ a prost°ednictvφm internetu m∙₧ete na dßlku provßd∞t s "infikovan²m" poΦφtaΦem prakticky cokoliv (manipulace se soubory apod.) Petr Odehnal z Grisoftu varuje: Bezpochyby se i tady najdou naruzivi hledaci a zkouseci podobnych nesmyslu, takze jenom male varovani: Nektere z kopii BO2000, ktere se potuluji po internetu, jsou infikovany CIHem.

[11.7.99]
Zajφmavosti.
LuboÜ HaÜko napsal krßtce o moji strßnce na serveru ÄIV╠. Tφmto mu d∞kuji !

Na strßnce Symantecu ( www.symantec.com ) lze stßhnout beta verzi antiviru Norton AntiVirus 2000.

Strßnka spoleΦnosti DataFellows ( www.datafellows.com ) mß nov² grafick² design.

Poslednφ aktualizace (build 65) programu AVG 6.0 byla dφky chyb∞ sta₧ena z dosahu u₧ivatel∙. Chyba se projevuje modrou obrazovkou (Blue Screen of Death), kterß se m∙₧e objevit p°i spuÜt∞nφ rychlΘho testu (mn∞ vÜak build 65 pracuje bez problΘm∙).

[7.7.99]
Kompletnφ v²sledky testu Φasopisu Virus Bulletin za Φervenec 99...
lze najφt spolu s dalÜφmi zde. Tomu, kdo mi je poslal pat°φ pod∞kovßnφ...

[7.7.99]
Srovnßvacφ testy antivir∙ v ΦervencovΘm Φasopisu PC Magazine (Czech Edition).
V poslednφm PC Magazφnu se objevil srovnßvacφ test n∞kolika antivirov²ch program∙. Bohu₧el antiviry AVG 6.0 a AVAST 3.0 byly testovßny zcela odliÜn∞ a tak nemohly b²t zahrnuty do hlavnφho "startovacφho pole". To sv∞dΦφ o tom, ₧e tyto testy neprob∞hly u nßs, ale n∞kde v zahraniΦnφm PC Magazinu. Pak vÜak nechßpu, proΦ Norton AntiVirus 5.0 dostal ocen∞nφ "Editors' Choice - PC Magazine - Czech Edition. Pochybuji, ₧e n∞kdo z Φesk²ch redaktor∙ ten test provßd∞l... B∙h vφ, na Φem provßd∞li testy detekce (mo₧nß na t∞ch deseti makrovirem - to se toho hodn∞ poznß...). Odstra≥ovßnφ vir∙ se provßd∞lo pouze na makrovirech, nezapom∞lo se p°itom na to, zda byly/nebyly odstran∞na makra, kterß viru nepat°φ. Pokud by se testovalo i lΘΦenφ souborov²ch vir∙, Norton AntiVirus 5.0 by z°ejm∞ nikdy nevyhrßl (viz. m∙j test). U F-Secure antiviru pak padla hloupß v∞ta o antiviru AVP - "Druh² antivirus AVP p∙sobφ podle naÜeho nßzoru pouze jako dopln∞k programu F-Secure". Jß osobn∞ myslφm, ₧e bez toho "dopl≥ku" by F-Secure dopadnul daleko h∙°e...
PC Magazine je populßrnφ dφky "benchmark∙m" - tj. m∞°enφ nejvyÜÜφho v²konu stupidnφmi programy jako ZD Winstone 99 apod. Bohu₧el se "benchmark" nevyhnul ani srovnßvacφmu testu antivir∙. Tentokrßt m∞°ili zatφ₧enφ procesoru p°i provozu rezidentnφho skeneru... U₧ delÜφ dobu vÜak vφm, ₧e "benchmarky" jsou naprosto na nic. Sv∞dΦφ o tom i moje CD-ROM BTC 40x, kterΘ tehdy nam∞°ili nejvyÜÜφ p°enosovou rychlost ze vÜech testovan²ch mechanik (tuÜφm 1200 n∞Φeho - asi "Winstoun∙"), v praxi je vÜak ta CD-ROM dφky stupidnφ inteligenci nepou₧itelnß (pokud vÜak dosßhne nejvyÜÜφ p°enosovΘ rychlosti je z°ejm∞ nep°ekonatelnß, ale to se stane opravdu jen mßlokdy...).

O nesmyslnosti benchmark test∙ informoval nedßvno i server www.root.cz a jß s autorem textu naprosto souhlasφm.

[7.7.99]
DalÜφ ubo₧ßk, kter² si zaslou₧φ pozornost - virus Win32.HLLC.Nan.
Jednß se o doprovodn² (ale siln∞ omezen²) virus pro Win32 napsan² v Delphi. Mß n∞co kolem 90 kB a obsahuje n∞kolik nep°φjemn²ch Φinnostφ. V lepÜφm p°φpad∞ se postarß o to, aby vÜechny *.URL soubory sm∞°ovaly na adresy: www.hustler.com, www.playboy.com nebo www.penthouse.com. V horÜφm p°φpad∞ p°epφÜe a sma₧e n∞kterΘ soubory. ObΦas taky vypne Windows, nebo vytvo°φ 700 000 000 adresß°∙ s nßhodn²mi nßzvy (takov² disk bych necht∞l vid∞t). Dokonce n∞kdy i vypustφ virus W95/CIH do souboru C:\DAPARTY.EXE a spustφ ho.

SpoleΦnost Kaspersky Lab (AVP) vydala nov² update, kter² dokß₧e tento "virus" detekovat. UrΦit∞ to vÜak nebude z d∙vodu, ₧e se rychle Üφ°φ...

[4.7.99]
NovΘ viry na prßzdniny...
ZaΦßtek m∞sφce je velmi bohat², objevili se toti₧ viry:

W97M/Story & mIRC/Story

Makrovirus pro Word 97. Pokud existuje soubor c:\mirc\mirc32.exe, sma₧e soubor script.ini (z c:\mirc). Pak vytvo°φ nov² soubor script.ini, do kterΘho vlo₧φ skript mIRC - mIRC/Story. Aktivnφ (a infikovan²) dokument Wordu je ulo₧en do souboru c:\windows\story.doc, kter² se pak mIRC/Story sna₧φ odesφlat do aktivnφho kanßlu IRC.

VBS/FreeLinks

K≤dovan² VB Script virus Üφ°φcφ se emailem, p°es sφ¥ovΘ disky a IRC. V emailovΘ zprßv∞ s nßzvem "Check this" se Üφ°φ jako p°φloha. Po spuÜt∞nφ VBS skriptu se zobrazφ zprßva: "This will add a shortcut to free XXX links on your desktop. Do you want to continue ?". Pokud souhlasφte, virus vytvo°φ .URL soubor obsahujφcφ adresu "http://www.sublimedirectory.com/". Virus taky vytvo°φ soubor c:\windows\system\rundll.vbs a modifikuje registry (\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RUN\Rundll) tak, aby se VBS skript spouÜt∞l p°i ka₧dΘm startu Windows. Dφky tomu pak m∙₧e kontrolovat, zda jsou instalovßni klienti mIRC nebo PIRCH IRC a odesφlat svoji kopii ostatnφm u₧ivatel∙m stejnΘho IRC kanßlu. Pokud je poΦφtaΦ instalovßn v sφ¥i, sna₧φ se virus rozmno₧it po sφ¥ov²ch discφch. Prost°ednictvφm emailu se Üφ°φ podobn∞ jako makrovirus W97M/Melissa - svoji kopii odesφlß ve form∞ souboru, kter² je umφst∞n v p°φloze. Odesφlß ji vÜem lidem, kte°φ jsou zapsßni v adresß°i OutLooku.

W97M/Autoexec (alias W97M/JulyKiller)

Dokß₧e se Üφ°it pouze pod Wordem, kter² pou₧φvß vφce bajtovΘ znaky (Japonskß verze...). M∙₧eme b²t tedy v klidu... P°i troÜe Üt∞stφ m∙₧e do soubor AUTOEXEC.BAT umφstit sekvenci "deltree/y c:\", kterß se postarß o smazßnφ vÜech soubor∙ na disku C:.

No a kdy₧ u₧ jsem se tak rozjel, mohl bych se zmφnit o zajφmavΘm makroviru W97M/Heathen, kter² se objevil asi p°ed 20 dny:

W97M/Heathen

Makrovirus pro Word 97, kter² vyu₧φvß DLL knihovnu k zachovßnφ "rezidentnosti" v operaΦnφ pam∞ti. P°i otev°enφ infikovanΘho dokumentu virus vypustφ DLL soubor, kter² se jmenuje HEATHEN.VDL. Pak upravφ soubor EXPLORER.EXE tak, aby se DLL soubor aktivoval p°i ka₧dΘm startu Windows. P°i dalÜφm startu Windows zaΦne DLL soubor hledat vhodnΘ dokumenty pro infekci...

Bli₧Üφ informace najdete nap°φklad na strßnkßch www.datafellows.com Φi www.sophos.com.

[4.7.99]
Srovnßvacφ testy antivir∙ pro Novell NetWare...
provedli redakto°i Φasopisu Virus Bulletin. Snad se mi poda°φ zφskat kompletnφ v²sledky. StarÜφ kompletnφ v²sledky m∙₧ete najφt zde.