Novinky: Leden 2001



[28.1.2001]
╚erv I-Worm.Universe usmrcen...

SpoleΦnost Kaspersky Lab. se postarala o to, aby byla Bennyho/29A strßnka na ΦeskΘm serveru hyperlink.cz odstran∞na. Benny se mi s touto zprßvou ozval a p°φliÜ nadÜen z toho nebyl... Ostatnφ se mohou radovat :-) JeÜt∞ aktußln∞jÜφ je zprßva, ₧e Bennymu zruÜili i email benny_29a@hushmail.com. Poslednφ Üancφ je e-mail benny@post.cz.



[25.1.2001]
I-Worm.Universe, nov² Φesk² Φervφk od Bennyho/29A

Br≥ßk Benny/29A dokonΦil svΘ novΘ dφlo, Φerva I-Worm.Universe. Podobn∞ jako p°edchozφ dφlo I-Worm.XTC pou₧φvß i Universe tzv. "plug-iny". Jde o to, ₧e elektronickou poÜtou dorazφ pouze hlavnφ modul, kter² se po spuÜt∞nφ usadφ v systΘmu (soubor windows\system\msvbvm60.exe). Hlavnφ modul neobsahuje ₧ßdnou proceduru, kterß by se starala o Üφ°enφ Φerva. Proto krom∞ "instalace" Φerva dokß₧e stahovat i dalÜφ moduly - "plug-iny" z Internetu (z http://hyperlink.cz). Dφky nim se dokß₧e I-Worm.Universe Üφ°it el. poÜtou (adresy si hledß v html souborech adresß°e "Temporary Internet Files"), posφlat na benny_29a@hushmail.com jmΘno a IP adresu infikovanΘho poΦφtaΦe, Üφ°it se p°es IRC a vklßdat do archiv∙ RAR infikovan² soubor SETUP.EXE. Moduly jsou komprimovanΘ utilitou "tElock" a plug-iny jsou t∞₧ce zaÜifrovanΘ (RSA...). Benny informuje o tom, ₧e jeho kontrola nad jednotliv²mi moduly je velice snadnß, dokonce nenφ problΘm vydat rozkaz (tj. napsat nov² modul), kter² se postarß o znφΦenφ t∞ch star²ch, kterΘ u₧ n∞kde vesele b∞hajφ po sv∞t∞. Jeliko₧ se I-Worm.Universe zavßdφ do systΘmu jako slu₧ba (service), z°ejm∞ bude schopen provozu (podobn∞ jako XTC Φi Energy) pouze pod OS Windows 2000.

I-Worm.Universe z°ejm∞ nebude v praxi b∞₧n∞ k vid∞nφ, Benny nemß ve zvyku svoje dφla ·mysln∞ rozÜi°ovat. V∞tÜinou to ud∞lß spφÜe n∞kdo, kdo narazφ na jeho webovou strßnku :-(



[23.1.2001]
Makrovirus W97M/Melissa.W, medißlnφ hv∞zda ? nebo jen dalÜφ nula ?

╪ada antivirov²ch firem informuje o novΘm makroviru W97M/Melissa.W. N∞kterΘ ji "₧erou" a tak Melissu.W p°irovnßvajφ skoro k I_Love_You, ostatnφ o nφ pφÜou z povinosti. O co tedy jde ? W97M/Melissa.W je vlastn∞ _skoro_ p∙vodnφ W97M/Melissa.A, kterß proÜla skrz Word 2001 pro Macintosh.

Jak prohlßsil Petr Odehnal (www.grisoft.cz), "Problem je v tom, ze Office 2001 pro Macintosh je prekladany jinym kompilatorem nez Office pro Wintel (Windows+Intel, "odbornß" zkratka P. Odehnala, pozn. Igi :-) . Odnesly to nektere binarni struktury, ktere maji trosku jine velikosti. Pri normalnim prenosu dokumentu to nevadi protoze Word tyhle struktury pouziva pouze v ramci jedne platformy a pokud nacita dokument z Macovske verze, tak ho vlastne "importuje" a tyhle struktury si vygeneruje znovu."

Cel² problΘm se toΦφ kolem toho, ₧e n∞kterΘ antiviry nedokß₧ou takto upraven² makrovirus detekovat. Kup°φkladu u AVG 6.0, lze tento problΘm vy°eÜit sta₧enφm novΘ aktualizace b228 (z www.avg.cz).

JeÜt∞ struΦn² popis makroviru W97M/Melissa.W:
Üφ°φ se elektronickou poÜtou (subjekt zprßvy: "Important Message From { jmΘno u₧ivatele }", t∞lo zprßvy: "Here is that document you asked for ... don't show anyone else ;-)", p°φloha - soubor: "anniv.doc"). Po spuÜt∞nφ infikovanΘ p°φlohy se Melissa.W sna₧φ odeslat svoji kopii na dalÜφch 50 adres z "knihy adres" aplikace MS Outlook (ne Outlook Express).

O dalÜφm ₧ivot∞ makroviru W97M/Melissa.W budu v p°φpad∞ nouze informovat.



[23.1.2001]
U Kaspersky Lab. mφsto Melissy: Worm.Linux.Ramen...

Kaspersky Lab. informuje o Φervu Ramen pro Linux. Nebudu to komentovat, Linux nenφ zrovna moje parketa. Bli₧Üφ informace na:
http://www.viruslist.com/eng/viruslist.asp?id=4150&key=00001000130000500000



[23.1.2001]
Sout∞₧ zaΦφnß u₧ 1. ·nora !!!

1. ·nora bude na "Igiho strßnce o virech" zahßjena druhß sout∞₧ o v∞tÜφ mno₧stvφ antivirov²ch program∙ ! Tentokrßt vÜak p∙jde o n∞co netypickΘho... Bli₧Üφ informace a₧ 1. ·nora...



[22.1.2001]
PC Viruses In the Wild 1/2001

Prvnφ seznam "PC Viruses In the Wild" (www.wildlist.org/WildList) v tomto tisφciletφ je na svet∞ ! Jde o seznam nejvφce rozÜφ°enΘ "hav∞ti". Na sestavovßnφ v²sledk∙ se podφlφ n∞kolik desφtek odbornφk∙ z celΘho sv∞ta, kte°φ sbφrajφ hlßÜenφ ze sv²ch region∙. V ╚eskΘ Republice se o to starß Pavel BaudiÜ (Alwil Software - www.asw.cz), na Slovensku Miroslav Trnka (ESET - www.eset.sk). 

  Freq  Name                       Type      Aliases
 ============================================================================
  37  | VBS/LoveLetter.A-mm..... | Script  |
  37  | W32/MTX-m............... | File    | Matrix, Apology
  35  | W32/Ska.A-m............. | File    | HAPPY99
  31  | W95/CIH.1003............ | File    | Spacefiller
  31  | W97M/Ethan.A............ | Macro   |
  31  | W97M/Melissa.A-mm....... | Macro   | Maillissa
  30  | VBS/Stages.A-mm......... | Script  | VBS/ShellScrap
  30  | W32/PrettyPark.37376-mm. | File    |
  29  | JS/Kak-m................ | Script  |
  29  | W32/Navidad.A-m......... | File    | Navidad
  29  | W97M/Marker.C........... | Macro   | W97M/Spooky.C
  26  | O97M/Tristate.C......... | Macro   | O97/Crown.B
  24  | W97M/Thus.A............. | Macro   | W97M/Thursday.A
  24  | WM/CAP.A................ | Macro   |
  22  | VBS/Freelink-mm......... | Script  |
  21  | W32/Qaz................. | File    |
  20  | W32/Hybris.B-m.......... | File    | Hybris.23040-m
  19  | W32/ExploreZip-m........ | File    | Worm.ExploreZip
  17  | W97M/Class.D............ | Macro   |
  16  | W32/Fix2001-m........... | File    |
  16  | W32/Funlove.4099........ | File    |
  15  | VBS/LoveLetter.AS-mm.... | Script  | VBS/Plan.A-mm
  15  | VBS/Netlog.A............ | Script  | VBS/Network
 ============================================================================


[21.1.2001]
"Press release Φerv Davinia"...

SpoleΦnost Kaspersky Lab. bohu₧el vypustila dalÜφ "press release", dφky Φemu₧ nastal chaos okolo Φerva Davinia. Toto prohlßÜenφ m∞lo samoz°ejm∞ POUZE natßhnout dalÜφ budoucφ kupce antiviru Kaspersky Anti-Virus (AVP). ╚erv Davinia je toti₧ sßm o sob∞ pouze dalÜφ z °ady zmetk∙. Pravd∞podobnost, ₧e se s nφm setkßte je asi stejn∞ vysokß, jako kdy₧ ve sportce vyhrajete milion :-)

Z celΘho prohlßÜenφ si lze odnΘst snad jen poznatek, ₧e je vhodnΘ do MS Office 2000 doinstalovat zßplatu z adresy:
http://officeupdate.microsoft.com/2000/downloadDetails/Uactlsec.htm.



[15.1.2001]
Antiviry trochu jinde...

  • Auto°i programu Nero - Burning Rom, urΦenΘho pro pßlenφ CDR / CDRW slibujφ, ₧e plßnovanß verze 5.5 bude mimojinΘ rozÜφ°enß i o antivirovou kontrolu pßlen²ch cΘdΘΦek. Pro tento ·Φel byl vybrßn rusk² Dr.Web. Bli₧Üφ informace p°inesl server www.cdr.cz.

  • NovΘ verze se doΦkß i populßrnφ WinRoute (www.winroute.com) - proxy server (a nejen to) ΦeskΘho p∙vodu. Verze 5.0 bude spolupracovat s antivirem AVG 6.0, kter² se postarß o antivirovou kontrolu p°φchozφ / odchozφ poÜty. Navφc mß WinRoute 5.0 podporovat CVP protokol, dφky Φemu₧ bude mo₧nΘ pou₧φt i dalÜφ antivirovΘ programy.

  • Podobnou podporu (s AVG 6.0) slibuje i druh² Φesk² proxy server - 602pro LAN Suite (www.software602.cz). Zatφm vÜak nic :-(



    [13.1.2001]
    DalÜφ Φesk² Φerv... I-Worm/Hermes !

    I-Worm/Hermes je dalÜφ dφlo (po W97M/Ftip) od ΦeskΘho autora, kter² si °φkß "gl" pop°. "gl_st0rm" (gl_storm@seznam.cz). Bohu₧el n∞kterΘ jinak spolehlivΘ zdroje (Kaspersky Lab. a podobn∞) neuvßd∞jφ kompletnφ informace. JistΘ je, ₧e Hermes se Üφ°φ v p°φloze el. poÜty, kterou tvo°φ n∞kter² z t∞chto soubor∙: 

     Seti@home 3.x to 4.0 upd.exe
 Seti@home_twk.exe
 Seti_patch.exe
 Lunetic!.exe
 CIH.exe
 Energy.exe
 ftip.exe
 Navidat.exe
 Click_ME!.exe
 Cenik.exe
 Lunetic.scr
 fucking.scr
 micro$haft.scr
 matrix.scr
 reboot.scr
 Pamela.scr
 techno.scr
 funny!.scr
 Hermes.scr
 School_in_da_flame.scr
    Jak dodßvß Petr Odehnal (www.grisoft.cz): Za zminku snad jeste stoji, ze vsechny tri zname verze tohoto wormu se snazi nainstalovat na pocitaci soubor User_inf.sah. Pokud na zasazenem pocitaci bezi projekt SETI@home (http://setiathome.ssl.berkeley.edu/), tak bude pocitat dal, ale "body" se zacnou pripocitavat do "ratingu" autora viru (gl_storm@seznam.cz). Asi tim chtel zlepsit svou pozici na zebricku, momentalne je na 564885. miste. :-)

    Jak prozradil sßm autor Φerva I-Worm/Hermes, nem∞l by se s nφm nikdo v reßlu setkat. T∞lo Φerva toti₧ obdr₧eli pouze n∞kte°φ pracovnφci v antivirov²ch firmßch.



    [4.1.2001]
    Konference Φasopisu Virus Bulletin bude v Praze !!!

    Cituji slova Pavla BaudiÜe z Alwil Softwaru (antivirus AVAST! - www.asw.cz), kter² tuto zprßvu dodal:

    Praha bude v zari hlavnim mestem boje proti virum.

    Jak dnes ve svem lednovem cisle oznamil britsky casopis Virus Bulletin, bude se jeho pristi konference konat od 26. do 28. zari 2001 v prazskem hotelu Hilton. Konference se pravidelne ucastni spickovi antivirovi odbornici z antivirovych firem po celem svete, stejne jako rada uzivatelu z velkych firem a statnich instituci.

    Pro Prahu je vyber velka cest, protoze v Evrope se krome Velke Britanie tato konference v jeji desetilete historii konala pouze v Holandsku a Nemecku. Krome poklone Prahy tak jde i o uznani ceskych antivirovych firem, ktere i ve svetovem meritku patri k uzke spicce.



    [2.1.2001]
    Do t°etice... NOD32 v sφti !!!

    Trochu jsem ten slib nedodr₧el, ale nakonec to dopadlo ! T°etφ Φßst serißlu "Antiviry v sφti" je na sv∞t∞ !!! Tentokrßt jsem otestoval slovensk² NOD32 1.54 spoleΦnosti ESET s.r.o. (www.eset.sk). Recenzi a zßrove≥ i nßvod lze najφt ZDE !!!

    Jakß bude dalÜφ "sφ¥ovß recenze", to opravdu nevφm. T°eba se ozve n∞jak² ten distributor / v²robce antiviru sßm :-o