Novinky: Listopad 2000



[30.11.2000]
Recenze antiviru AVX - AntiVirus eXpert 2000 v5.8.3 !!!

Jak² je antivirus AVX, kter² lze p°ekvapiv∞ stßhnout z domΘny WWW.AVP.COM ??? To se m∙₧ete dozv∞d∞t v tΘto recenzi !



[30.11.2000]
DalÜφ recenze v pond∞lφ !

U₧ je to jasnΘ, v pond∞lφ se m∙₧ete t∞Üit na dalÜφ recenzi ! Tentokrßt slφben² NOD 1.51 pro Novell (www.eset.sk) ! "Exemplß°" byl vΦera nainstalovßn na servery St°ednφ Pr∙myslovΘ èkoly ve Dvo°e KrßlovΘ nad Labem (www.spstdk.cz). Nejt∞₧Üφ zkouÜka ho Φekß v pßtek. Recenzi tak lze oΦekßvat ji₧ v pond∞lφ ! Prvnφ dojmy mßm ji₧ te∩: je to skv∞lΘ !



[29.11.2000]
I_Love_You v Guinnessov∞ knize rekord∙ !

Po krßtkΘ pauze jsem op∞t tady:

╚erv I_Love_You (LoveLetter) je v Guinnessov∞ knize evidovßn jako nejvφce rozÜφ°en² virus. Tuto informaci podlo₧ila spoleΦnost Trend Micro, co₧ podle slovenskΘho *-zinu nenφ zrovna nejlepÜφ...

Bli₧Üφ informace na http://www.guinnessworldrecords.com/record_catagories/recordhome.asp?RecordID=52411.



[29.11.2000]
Trochu jinß recenze !

VÜe nasv∞dΦuje tomu, ₧e by se mohla na "Igiho strßnce" objevit pon∞kud netypickß recenze slovenskΘho antiviru NOD pro Novell. VÜe zßle₧φ na lidech z ESET s.r.o. - www.eset.sk :-)



[22.11.2000]
Aktußlnφ tΘma - Φerv I-Worm/Navidad !

Jeliko₧ u nßs °ßdφ Φerv I-Worm/Navidad, vracφm se k n∞mu jeÜt∞ jednou:

Popis Φerva Navidad:

Antivirus, kter² odstranφ Navidad z registr∙ lze stßhnout nap°φklad odsud.



[17.11.2000]
Tentokrßt z Polska !

Z Polska se k nßm dostal dalÜφ Φerv ! Tentokrßt se jmenuje I-Worm/Verona (alias I-Worm/Blebla). V konferenci AVG (www.avg.cz) se velice rychle objevil nßsledujφcφ popis. Autorem je Petr Odehnal:

Jednoduchy cerv polskeho puvodu, ktery se rozesila ve zpravach s temito predmety: 

Romeo&Juliet

:))))))
hello world
!!??!?!?
subject
ble bla, bee
I Love You ;)
sorry...
Hey you !
Matrix has you...
my picture
from shake-beer

Zprava je v HTML formatu a obsahuje skript, ktery otevira prilozeny soubor MYJULIET.CHM. Tento soubor napovedy zustane po svem otevreni na obrazovce minimalizovan a v nem obsazeny kod spousti dalsi prilozeny soubor - MYROMEO.EXE. To je vlastni kod wormu (je napsan v Delphi a komprimovan pomoci UPX), ktery po svem spusteni vyrobi a rozesle infikovane maily na adresy z adresare Outlooku. Jakmile s rozesilanim skonci, tak najde v pameti bezici kopii souboru HH.EXE a ukonci jeji cinnost. Tento program slouzi k zpracovani .CHM souboru a virus tak zrusi proces, ktery poslouzil k jeho spusteni - MYJULIET.CHM. Pro rozesilani mailu se snazi pouzit sest polskych SMTP serveru, ktere jsou spatne nakonfigurovany a mohou komukoliv poslouzit k odeslani zpravy.

Dejde si tedy pozor na p°φlohy elektronickΘ poÜty !



[17.11.2000]
O Φervu Energy jeÜt∞ jednou, tentokrßt hovo°φ p°φmo jeho autor...

Benny dodal bli₧Üφ informace o horkΘ novince - Φervu Energy. Cel² Φlßnek lze najφt ZDE.



[16.11.2000]
I-Worm.Energy - nov² Φerv z Brna...

Benny (29A) z°ejm∞ v∙bec nespφ, proto₧e krßtce po uvedenφ viru Win32/HIV (viz. novinka z 8.11.2000), dokonΦil i novΘho Φerva I-Worm.Energy. Jde o velice malΘho Φerva, kter² se samoz°ejm∞ Üφ°φ elektronickou poÜtou. Pou₧itß technologie znemo₧≥uje chod Φerva pod Windows 9x. Na svΘ si tak p°φjdou pouze p°φznivci Windows 2000. Podrobn∞jÜφ informace dodß (snad) p°φmo Benny...



[15.11.2000]
╚ervφk Win32/Navidad...

Skoro bych zapomn∞l na celkem novΘho Φerva Win32/Navidad. Pokud se u vßs objevil e-mail se souborem NAVIDAD.EXE v p°φloze, v∞°te, ₧e dorazil i k vßm. V nouzi se jist∞ bude hodit univerzßlnφ antivirus (v seznamu ·pln∞ dole).

Dodatek 16.11.2000: Popis Win32/Navidad lze najφt na strßnkßch Grisoftu - p°esn∞ ZDE.



[15.11.2000]
AVX & AVP.

DomΘna www.avp.com byla n∞jak² Φas nedostupnß. Te∩ u₧ funguje, ale p°ekvapiv∞ u₧ nesouvisφ s antivirem AVP (Kaspersky Anti-Virus). Mφsto n∞j se nabφzφ antivirus AVX, RumunskΘ spoleΦnosti SoftWin... AVX se ji₧ brzo stane vhodn²m kandidßtem na recenzi :-)



[13.11.2000]
Slovensk² NOD32 1.49 p°inesl novinku...

Slovensk² antivirus NOD32 1.49 spoleΦnosti ESET s.r.o (www.eset.sk), p°inesl jednu v²znamnou novinku. NOD32 byl rozÜφ°en o modul NOD32 Control Center (NOD32CC). Ten mimo jinΘ umo₧≥uje p°φmΘ stahovßnφ aktualizace z Internetu. Zm∞ny pocφtφ i "sφ¥a°i". Administrßtor toti₧ m∙₧e vytvo°it Üablonu, podle kterΘ se NOD32 instaluje na stanicφch. Nenφ tak nutnΘ dodateΦn∞ konfigurovat jednotlivΘ stanice. NOD32CC je z°ejm∞ p°φpravou i pro budoucφ centrßlnφ administraci stanic, to vÜak nenφ nikde uvedeno, pouze si to myslφm :-)



[13.11.2000]
Zm∞na nßzvu...

Podle tΘto zprßvy je z°ejmΘ, ₧e p°φÜtφ rok u₧ nebudeme kupovat AntiViral Toolkit Pro (AVP), ale Kaspersky Anti-Virus. Pouze zm∞na nßzvu...



[13.11.2000]
I-Worm.Hybris, dalÜφ Φervφk...

SpoleΦnost Kaspersky Lab. (www.kaspersky.com) jeÜt∞ informuje o novΘm Φervu Hybris. Ten si pohrßvß se souborem WINDOWS\SYSTEM\WSOCK32.DLL, dφky Φemu₧ se dokß₧e Üφ°it prost°ednictvφm e-mail∙ na dalÜφ poΦφtaΦe. ╚erv si s sebou nese n∞kolik tzv. "plug-in∙". Ty se mohou liÜit v zßvislosti na variant∞ Φerva. Dφky jednomu "plug-inu" tak Hybris dokß₧e infikovat archivy ZIP/RAR, do kter²ch vklßdß dropper - {p∙vodnφ}.EXE p°ejmenuje na {p∙vodnφ}.EX$ a sebe ulo₧φ do {p∙vodnφ}.EXE. Jednß se tedy zßrove≥ o doprovodn² virus (companion virus). Infikovan² e-mail m∙₧ete poznat nßsledovn∞ (Φerv si vybere jednu z nßsledujφcφch mo₧nostφ):

    From (od):
    Hahaha - hahaha@sexyfun.net

    Subjekt:
    Snowhite and the Seven Dwarfs - The REAL story!
    Branca de Neve porn⌠!
    Enanito si, pero con que pedazo!
    Les 7 coquir nains

    P°φloha - infikovan² soubor:
    enano.exe, enano porno.exe, blanca de nieve.scr, enanito fisgon.exe, sexy virgin.scr, joke.exe, midgets.scr, dwarf4you.exe blancheneige.exe, sexynain.scr, blanche.scr, nains.exe, branca de neve.scr, atchim.exe, dunga.scr, anao porn⌠.scr



[8.11.2000]
Benny a jeho nov² virus Win32/HIV osobn∞ :-)

U p°φle₧itosti uvedenφ novΘho ΦeskΘho viru Win32/HIV na trh (o beta verzi jsem informoval 2.11.2000), si Benny dovolil p°ipravit krßtk² proslov :-)

Vazene publikum,

Igi me pozadal, abych napsal neco (cesky) o mym novym viru Win32.HIV. Binarni verzi tohoto dilka si muzete stahnout z me stranky, jejichz adresu tu nebudu jmenovat; neni ale velky problem ji na inetu najit.

Nuze, Win32.HIV jsem programoval relativne dlouhou dobu, uz od zimy 2000, a kvuli me velke lenosti jsem ho dokoncil az ted v listopadu. Zacinal jako nasledovnik Win2k.Installeru, ktery mel prinest dalsi "podobne" novinky. Opet jsem mel spolupracovat s Darkmanem, mel to byt de-facto nas druhej "co-op project". On nasel zpusob, jak totalne vyradit SFC z provozu, tzn. ze ochrana systemovych souboru pod Win2k/98/ME nebude fungovat a virus bude schopen infikovat opravdu VSECHNY soubory. Mel infikovat soubory nezavisle na jejich priponach, vcetne MSI fajlu, sirit se pres postu, vyuzivat EPO a nejakou tu enkrypci. Vlastne to mel byt jen dalsi maly virus s nejakyma tema novinkama, podobne jako Win2k.Installer.

V hlave se mi uz dlouho honila predstava Win32-kompatibilni multi-process residence. Podarilo se mi naprogramovat rutinu, ktera prohleda vsechny procesy v pameti a napoji se na souborove API funkce ulozene v Kernel32.dll. Tim ovladne souborove operace ve vsech procesech, nejenom v tom aktualnim, ale ve vsech prave spustenych procesech (narozdil od per-process).

Virus jsme s Darkmanem nazvali Win32.HIV - nasim cilem bylo naprogramovat virus, ktery jakymsi zpusobem ochromi "imunitni system" operacniho systemu - a to prave disablovanim SFC.

Napadu zacalo pribyvat, bohuzel Darkman byl dost vytizenej v praci, tudiz se programovani nemohl zucastnit. Pomohl mi tedy alespon naprogramovat SFC rutiny, ktere vymyslel prave on. Taky jsem objevil zpusob, jak to udelat aby se virus mohl sirit pres FTP. Staci jen odchytit si internetova volani, a pokazdy gdyz se negdo konektne na eFTyPko zkopirovat dropper viru do korenoveho adresare.

Projekt se zacal zvetsovat vic a vic. Po ceste za Ratterem (nasledujici dny jsem s nim napsal virus Win2k.Stream) jsem se rozhodl implementovat sireni emailem a infikaci HTML dokumentu pres XML dokumenty. Napad infikovat XML dokumenty patri Rajaatovi, ktery tuto metodu celkem hezky popsal v magazinu 29A#4. Ja jsem se pokusil jeho myslenku zrealizovat prave v tomto viru. Pozdeji pribyly streamy, NTFS komprese a v neposledni rade updatovani pres internet. Virus se zdal byt hotov.

Prvni debug/beta-verzi jsem dal k testovani mnoha lidem, kteri si o ni pozadali. Potreboval jsem vedet, zda virus funguje jak ma a pokud ne, gde presne je chyba. Bohuzel, nejaky nadsenec, pravdepodobne nejaky AV informator odemne taky dostal vzorek a poslal jej do KasperskyLab. Zjistil jsem, ze tato verze mela par much. Virus jsem vylepsil, odstranil jsem chyby co jsem nasel, neco sem pridal a neco odebral a poslal to do KasperskyLab, F-Secure a do Grisoftu. Pred nedavnem byl zverejnen popis Win32.HIV na strankach KasperskyLab. Bohuzel, byl to popis prave one zminene beta-verze.

Od te doby prosel virus testovanim a pribylo par novych funkci. Je to prave ta verze, kterou muzete nalezt na me strance... verim, ze se mi podarilo naprogramovat dobry virus, ktery se muze opet pochlubit uplne novymi funkcemi. Pokud mate jakekoliv pripominky, napiste mi je na benny_29a@privacyx.com.

Dekuji za pozornost :-)



[5.11.2000]
NovΘ testy Virus Bulletinu...

Po dvou m∞sφcφch je tu op∞t dalÜφ srovnßvacφ test antivirov²ch program∙, p°esn∞ji antivirov²ch skener∙. Tentokrßt se testovalo pod Windows NT. Cena "VB 100%" se nakonec rozd∞lila pouze mezi t°i antiviry: CA InoculateIT, CA Vet Anti-Virus, Symantec Norton AntiVirus. Nutno podotknout, ₧e na Üpatn²ch v²sledcφch majφ z°ejm∞ zßsluhu i p°φmo ve Virus Bulletinu. On-access test (test pam∞¥ov∞ rezidentnφch skener∙) se jim toti₧ p°φliÜ nepovedl. ╪ada antivir∙ toti₧ zφskala 0% v detekci boot vir∙, co₧ je ve skuteΦnosti nesmysl. Tuzemsk² antivirus Alwil Avast! (www.asw.cz) nebyli schopni v on-access otestovat prakticky v∙bec. PoprvΘ v historii nedostal ocen∞nφ VB100% slovensk² antivirus NOD32 (www.eset.sk). I kdy₧ m∞l jako jedin² ve vÜech kategoriφch 100% (!!!) a rychlostn∞ skoro vÜechno "p°evßlcoval", cenu nezφskal dφky n∞kolika faleÜn²m poplach∙m.

Kompletnφ v²sledky lze najφt zde. V²sledky starÜφch test∙ zde.



[3.11.2000]
PC Viruses In the Wild 10/2000

Na adrese www.wildlist.org lze stßhnout poslednφ seznam nejrozÜφ°en∞jÜφch vir∙ "PC Viruses In the Wild". Mezi nejvφce rozÜφ°enΘ se samoz°ejm∞ dostal i "mutant" MTX (popis zde, protizbra≥ zde): 

  Freq  Name                       Type    Aliases
 ============================================================================
  38  | W32/Ska.A-m............. | HAPPY99
  36  | VBS/LoveLetter.A-mm..... |  
  34  | W97M/Ethan.A............ |  
  33  | W95/CIH.1003............ | Spacefiller
  32  | W32/PrettyPark-mm....... |  
  31  | W97M/Melissa.A-mm....... | Maillissa
  30  | W97M/Marker.C........... | W97M/Spooky.C
  29  | VBS/Stages.A-mm......... | VBS/ShellScrap
  27  | JS/Kak-m................ |  
  26  | O97M/Tristate.C......... | O97/Crown.B
  25  | VBS/Freelink-mm......... |  
  23  | W32/MTX-m............... | W95/MTX.9244, W32/Apology-B
  23  | WM/CAP.A................ |  
  21  | W97M/Thus.A............. | W97M/Thursday.A
  20  | W32/ExploreZip-m........ | Worm.ExploreZip
  17  | W97M/Class.D............ |  
  16  | W32/Fix2001-m........... |  
  15  | W32/ExploreZip.pak-m.... |  
  15  | W32/Qaz................. |  
 ============================================================================



[2.11.2000]
Novß (beta) specialita z ╚eskΘ kuchyn∞... virus Win32/HIV.

Benny, Φesk² autor n∞kolika populßrnφch vir∙ (z poslednφ doby t°eba W2K/Installer, Φi W2K/Stream), "ukuchtil" dalÜφ lah∙dku v podob∞ viru Win32/HIV. Virus Win32/HIV nebyl zatφm oficißln∞ p°edstaven (na Bennyho strßnkßch o n∞m prakticky nic nenajdete), i tak se vÜak jeho podrobn² popis objevil v AVP Virus Encyklopedii (www.avp.ch/avpve). Nechßpal jsem, ale Benny m∞ telefonicky vysv∞tlil, ₧e v AVP Virus Enc. analyzovali pouze beta verzi viru HIV, kterou Benny daroval ka₧dΘmu zßjemci o beta-testovßnφ (ano, u₧ se najφmajφ i beta-teste°i vir∙ :-).

Zp∞t vÜak k viru Win32/HIV. Jako v₧dy jde o po°ßdnou pecku:

  • je to pam∞¥ov∞ rezidentnφ virus (per-process), kter² infikuje PE EXE soubory (Windows 9x/NT) a relativn∞ novou v∞c - MSI archivy. Soubory infikuje metodou EPO (Entry Point Obscuring - bli₧Üφ informace), co₧ st∞₧uje detekci antivir∙m.
  • podobn∞ jako W2K/Stream si op∞t mφrn∞ pohrßvß se "streamy" (bli₧Üφ informace).
  • aby toho nebylo mßlo, dokß₧e se podobn∞ jako Φerv Üφ°it p°es elektronickou poÜtu. Jeliko₧ vyu₧φvß slu₧by MAPI, je nezßvisl² na pou₧itΘm poÜtovnφm klientu.
  • na zßv∞r perliΦka: dokß₧e sßm sebe "upgradovat" - aktualizovat z Internetu !!!

Detailn∞jÜφ informace lze oΦekßvat p°φmo v Bennyho "proslovu", kter² (snad) napφÜe pro "Igiho strßnku o virech" po oficißlnφm p°edstavenφ tohoto viru :-)



[1.11.2000]
SONIC - Φerv, kter² se "vylepÜuje" p°es Internet...

Kaspersky Lab informuje o novΘm "self-updating" Φervu Sonic, co₧ znamenß, ₧e dokß₧e sßm sebe aktualizovat prost°ednictvφm Internetu. Sonic se sklßdß ze dvou Φßsti:

  • Zavad∞Φ - s touto Φßstφ se u₧ivatel/ob∞¥ setkß osobn∞ - je v souboru GIRLS.EXE, kter² tvo°φ p°φlohu "infikovanΘho" emailu. Zavad∞Φ se po spuÜt∞nφ postarß o sta₧enφ hlavnφ Φßsti, pop°φpad∞ o aktualizaci obou Φßstφ z Internetu (p°esn∞ji ze serveru geocities.com).
  • Hlavnφ Φßst - m∙₧e provßd∞t prakticky cokoliv (zßle₧φ na autoru Φerva). Prvnφ objevenß verze p°ipomφnß chovßnφm backdoor.

Po instalaci hlavnφ Φßsti se rozeÜlou na adresy z WAB (Windows Address Book) e-maily se souborem GIRLS.EXE v p°φloze a textem "Choose your poison" v subjektu.
Otßzkou z∙stßvß, jak dlouho bude dostupnß strßnka, odkud si Sonic stahuje hlavnφ Φßst + aktualizace.