Mám infikovaný počítač !
Potřebuju zjistit, co je to za havěť!
Potřebuju se té havěti zbavit!

Podejte o tom hlášení ! (níže)
Ohlášení infekce virem:
Pokud jste byli napadeni virem,
podejte o tom hlášení !!!

Můžete se tak podílet na seznamu
nejrozšířenějších virů.
E-konference o anti/virech:
Přidejte se i Vy do velké emailové
konference o virech & antivirech,
v niž je přihlášeno přes 400 lidí,
spolu s řadou odborníků !!!

Přihlaste se ZDE !!!
Kontakt:
Mobil - nejrychlejší:
+420604691386

E-mail - pomalejší:
igi@viry.cz
1. PC Revue:
Mr.Linx:

"Igiho stránka o virech" na Internetu: www.viry.cz !

Novinky ze světa



[23.2.2001]
Recenze knihy "Moderní počítačové viry" !

K recenzi se dostavila i první kniha... "Moderní počítačové viry" - druhé vydání, kterou napsal Josef Jalůvka. Bohužel je to kniha, která poněkud zaspala dobu :-( Recenzi najdete zde !



[23.2.2001]
Nový seznam nejrozšířenějších virů...

Na adrese www.wildlist.org/WildList lze nový únorový seznam nejrozšířenějších (přesněji nejhlášenějších) virů/červů apod. na světě. Nejvíce se tedy po světě šíří (všimněte si, že 19 "hlasů" získala i Anna Kurnikovová):

Freq  Name                       Type      Aliases
 ============================================================================
  37  | W32/MTX-m............... | File    | Matrix, Apology
  36  | VBS/LoveLetter.A-mm..... | Script  |
  32  | W32/Ska.A-m............. | File    | HAPPY99
  29  | VBS/Stages.A-mm......... | Script  | VBS/ShellScrap
  29  | W32/PrettyPark.37376-mm. | File    |
  29  | W95/CIH.1003............ | File    | Spacefiller
  29  | W97M/Ethan.A............ | Macro   |
  28  | JS/Kak-m................ | Script  |
  28  | W32/Navidad.A-m......... | File    | Navidad
  28  | W97M/Marker.C........... | Macro   | W97M/Spooky.C
  27  | W97M/Melissa.A-mm....... | Macro   | Maillissa
  25  | O97M/Tristate.C......... | Macro   | O97/Crown.B
  24  | W32/Hybris.B-mm......... | File    | Hybris.23040-mm
  23  | W97M/Thus.A............. | Macro   | W97M/Thursday.A
  22  | VBS/Freelink-mm......... | Script  |
  22  | WM/CAP.A................ | Macro   |
  21  | W32/Qaz................. | File    |
  19  | VBS/VBSWG.J-mm.......... | Script  | Anna K, SST, Onthefly
  17  | W32/ExploreZip-m........ | File    | Worm.ExploreZip
  16  | VBS/LoveLetter.AS-mm.... | Script  | VBS/Plan.A-mm
  16  | W32/Funlove.4099........ | File    |
  16  | W97M/Class.D............ | Macro   |
  15  | W32/Fix2001-m........... | File    |
  15  | W32/Prolin.A-mm......... | File    | Creative.A-mm
 ============================================================================



[22.2.2001]
Novinky na viry.cz...

  • Trochu jsem upravil skoro všechny články v "Knize o virech". Čas jde rychle dopředu...

    Do stejné knihy jsem přidal i následující články (a jeden starý odmazal):

  • Na mém počítači jsem nalezl havěť a chci se jí zbavit
  • Proc pisu pocitacove viry? (napsal sám autor několika virů - Benny/29A)



    [22.2.2001]
    V konferenci anti-vir@pandora.cz přes 400 lidí !!!

    Do e-mailové konference o virech & antivirech se přihlásilo již přes 400 lidí !!! Přidat se můžete i VY ! Stačí kliknout semhle...



    [16.2.2001]
    Novinky z bojiště...

  • Česká skupina MIONS, kterou tvoří několik členů, kteří vesměs vytvářejí viry, oznámila, že během března vypustí do světa zřejmě první česky ezine. Půjde o "publikaci" v HTML formátu, která bude obsahovat věci, které lze od VX-"grůpy" očekávat...

  • Ratter (autor červa Anarxy, spolupráce na W2K/Stream...) se stal členem skupiny 29A.



    [16.2.2001]
    Chyba ve Virus Bulletinu...

    V poslední době se to stává častěji, že časopis Virus Bulletin zapomíná udělovat všechna ocenění "VB 100%". Tentokrát to odnesl Norman Virus Control. "VB 100%" tak dostává dodatečně...



    [14.2.2001]
    Anna Kurnikovová ještě jednou...

    Viz. http://svet.namodro.cz/go/r-art.asp?id=1010214310&t=security.
    (něco nového o autorovi). Další informace pak v novince z 12.2.2001.



    [14.2.2001]
    Na sald.com opět lžou :-(

    Výrobce ruského antiviru Dr.Web opět lže. Uvádí, že byl v posledním testu Virus Bulletinu (viz. předchozí novinka) nejlepší... NEBYL !!! Takhle to vypadá, když někdo zveřejní jenom část výsledků :-(



    [13.2.2001]
    Srovnávací testy antivirových programů !!!

    Jako vždy vám nabízím kompletní výsledky srovnávacích testu antivirových programů, které provádí časopis Virus Bulletin !
    Řada antivirů nezískala ocenění VB 100% díky tomu, že neprohlížely standardně soubory s příponou CHM.
    Samozřejmě se našly i vyjímky, kupříkladu slovenský NOD32 1.58 (www.eset.sk)... 100% ve všech kategoriích bez falešných poplachů !!!

    Kompletní výsledky lze najít přímo zde !!! Přehled starších pak zde !!!

    [12.2.2001]
    Pozor na tenistky !!! Červ VBS/SST.A se šíří hodně rychle !!!

    Světem se velice rychle šíří nový červ, využívající Visual Basic Script (VBS). Pokud k Vám tedy dorazí e-mail, jehož příloha obsahuje soubor AnnaKournikova.jpg.vbs, doporučuji ho rovnou smazat. Červ je celkově neškodný.

  • Od Miroslava Trnky (ESET s.r.o, www.eset.sk) dorazila zpráva, že VBS/SST.A dosahuje na slovensku prvních velkých úspěchů. V ESETu se díky tomu pracuje (teď je 21:40) na nové verzi antiviru NOD32...

  • Podobně je tomu i v Grisoftu - AVG (www.grisoft.cz) a Alwilu - AVAST (www.asw.cz). Petr Odehnal zveřejnil v avg-cz toto:

    VBS/SST.A je dalsi mass mailing VBS worm, ktery se v tuto chvili velmi dobre siri v USA (zrejme diky sikovne zvolenemu nazvu zasilaneho souboru). Vypuklo to az kdyz v cesku bylo po pracovmni dobe, takze se to u nas vic rozbuji az zitra rano.
    Zaklad viru je vyrobeny starym znamym generatorem VBSWG, ale je to obohaceno o jednoduche zasifrovani tela viru a prislusnou dekryptovaci smycku. Netusim jestli za to muze "rucni" prace pisalka nebo je nekde nova verze toho generatoru.
    Posila se ve zpravach se subjectem: 

      Here you have, ;o)
    a telem: 
      Hi:
  Check This!
    Jmeno pripojeneho souboru s virem je: 
      AnnaKournikova.jpg.vbs
    a pod timto jmenem vyrobi svou kopii v adresari, kde jsou nainstalovane Windows.
    Posila se na vsechny adresy ze vsech adresaru Outlooku a uspesne rozeslani si poznaci v registry do klice: 
      HKCU\software\OnTheFly\mailed
    Skonci v nekonecne smycce, ktera zrejme mela hlidat existenci souboru s virem a v pripade smazani ho obnovit. Chybicka se vloudila, takze se mu to nepovede. :-)
    Do registry jeste vytvori klic: 
      HKCU\software\OnTheFly\Worm made with Vbswg 1.50b
    26. ledna otevre stranku www.dynabyte.nl (pry je to nejaky retezec obchodu s HW).
    Stavajici AVG upozorni na skrytou priponu zasilaneho souboru a na webu je aktualizace cislo 231, ktera ho detekuje.

  • Pavel Baudiš (Alwil software) uvedl: "pro avast32 je nutno vyuzit inkrementalni (Hi Symantec) aktualizace iAVS".
  • IGI dodává: pravou Annu lze najít na adrese www.kournikovasite.org :-)



    [12.2.2001]
    Novinky v AVASTu32...

    Pavel Baudiš (Alwil software - www.asw.cz) dodal informace o novém "buildu" antiviru AVAST32 3.0
    První se týká nového "motoru" (engine) pro detekci makrovirů, cituji:

    Jde o kompletni prepsani enginu pro detekci makroviru pro avast32 verze 3.0. Ten je ted mnohem rychlejsi a je schopen detekovat mnohem vice viru nez ten puvodni (psany v assembleru) - k tomu pouziva radu novych metod. Vyhodou je i to, ze i on muze byt lehce aktualizovan pomoci VPS souboru (a tedy i inkrementalni aktualizace).

    No a ta druhá, cituji:

    Dalsi novinkou unorove verze je implementace pluginu pro Outlook/Exchange primo do avast32 (drive byl na CD jako samostatna beta). Tohle chceme na webu ohlasit az bude vyrobene CD.



    [12.2.2001]
    Nové srovnávací testy časopisu Virus Bulletin...

    V posledním čísle časopisu Virus Bulletin se objevil další srovnávací test antivirových programů. Tentokrát se test uskutečnil pod operačním systémem Windows ME. Detailní výsledky snad přinesu zítra. Prozatím jen krátce, cenu VB100% obdržely antiviry:

  • NOD32 1.58 (100% ve všech kategoriích !)
  • DrWeb 4.22
  • CA Vet AntiVirus 10.2.5.2
  • Fprot v3.08
  • Norton Antivirus v7.50.846



    [11.2.2001]
    CHIP CD 4/2001 věnováno virům a bezpečnosti dat...

    Dubnové cédéčko časopisu CHIP bude věnováno virům a bezpečnosti dat. Teď už se jen těšit...



    [10.2.2001]
    Symantec & patenty & press-release...

    Symantec - www.symantec.com (Norton AntiVirus) si nechal opět patentovat něco, co ostatní antiviry používají již několik let a samozřejmě si neodpustil ani příslušnou "press-release" zprávu, která tuto báječnou novinu oznamuje světu. Bohužel se najde spousta lidí, kteří to dokonale "sežerou". Nelze se pak divit převaze Symantecu za velkou louží nad ostatními antiviry...
    Bohužel se "press-release" zprávy Symantecu objevují i na českých serverech. To by se dalo ještě přežít, ale ten jejich český překlad... to je teda síla ! Jistě si dovede představit jak to vypadá, když to přeloží někdo, kdo viděl počítač tak maximálně v Blesku...

    Zpět však k patentům společnosti Symantec. Týkají se tzv. "inkrementální aktualizace". V případě Symantecu jde o naprostou novinku, ale ostatní antiviry (AVAST, AVG, AVP, NOD, RAV...) ji využívají delší dobu. Co si pamatuji, tak kupříkladu AVP minimálně čtyři roky !!!

    Verdikt: "press-release" zprávy Symantecu jsou absolutně o ničem, stejně jako jejich patenty...



    [9.2.2001]
    Makrovirus na cédéčku časopisu Computer 2/01 ???

    Podle tohoto prohlášení a podle antiviru AVG se nachází na cédéčku časopisu Computer 2/01 makrovirus W97M/Class. Konkrétně jde o soubor:

    COMPUTER\OVLADACE\RADEON\R62k-12-21-2000.zip:R62k\AtiDrive\Read_2k.doc

    Po bližším zkoumání jsem zjistil, že zmiňovaný soubor je zcela nezávadný. Jde tedy pouze o falešný poplach antiviru AVG, který vznikl zřejmě nedokonalým odstraněním makroviru W97M/Class v minulosti. DOC soubor byl tedy opravdu někdy v minulosti infikován (svědčí o tom útržky textů: c:\class.sys, VicodinES /CB /TNN apod.).

    Ještě přesnější vyjádření Petra Odehnala z Grisoftu (www.grisoft.cz):

    Zustal tam kompletni stream s tim Classem, ale je z "_VBA_PROJECT" prejmenovan na "XVBA_PROJECT" (obdobne je stream "Macros" prejmenovan na "Xacros") a jsou odstraneny predkompilovane tvary (t.j. _SRP* streamy) a nektere reference.
    Z takto "odleceneho" souboru se (bez rucni modifikace par bajtu v tom souboru) sirit nemuze, ale AVG ten stream prochazi a kod viru v nem samozrejme najde.
    Ten konkretni vzorek byl naposledy aktivni 3. ledna a pracoval s nim uzivatel "Paddy", ktery pouziva tiskarnu sitovou "HP LaserJet 5L (PCL)" umistenou na \\IGOR-GRISHKA\. Vic se z toho dokumentu vykoukat neda.
    Docela by mne zajimalo, kdo timto zpusobem dokumenty "leci" - neznam takovy produkt a v poslednich letech je to uz podruhe co jsem potkal uplne stejne "opraveny" soubor. :-(

  • Zítra budu hovořit o nových patentech společnosti Symantec (Norton AntiVirus), perličky jako vždycky ! Teď mě omluvte, jdu si patentovat dřevěné kolíčky na prádlo, doufám, že mě Symantec nepředběhl :-)



    [9.2.2001]
    Nový NOD32 1.62 přináší spoustu novinek !

    Slovenská společnost ESET s.r.o. (www.eset.sk) vypustila na svět novou verzi antiviru NOD32. Verze 1.62 je obohacena především o univerzální POP3 skener, který testuje příchozí elektronickou poštu. Lze ho použít s libovolným e-mailovým klientem, který pro stahování pošty využívá protokolu POP3 (tj. Outlook, Outlook Express, The Bat! atd.).
    Od verze 1.62 lze navíc léčit i právě otevřené a spuštěné soubory (v tomto stavu totiž s nimi nelze manipulovat). NOD32 k tomu využívá jednoduchý trik: vyléčí kopii "blokovaného" souboru a tou pak po restartu počítače nahradí původní, dosud blokovaný soubor...



    [9.2.2001]
    Kniha: "Moderní počítačové viry - podstata, prevence, ochrana, 2. aktualizované vydání"...

    Při listování časopisem Computer jsem narazil na nové knihy Computer Pressu. Mimo jiné jsem tam našel knihu "Moderní počítačové viry - podstata, prevence, ochrana, 2. aktualizované vydání". I když bylo původní vydání kritizováno (ukradené pasáže, viz. e-zine Asterix), celkově je to vcelku kvalitní publikace. Jeden kousek je již na cestě, takže to vypadá na první recenzi knihy :-)

    Knihu lze objednat třeba zde:
    http://www.vltava.cz/knihy/kniha/detail.asp?skupina=65&ID=8072264028



    [9.2.2001]
    www.fazole.cz bojuje s červem Hybris...

    WWW.HOAX.CZ informuje o tom, že členové www.fazole.cz mimojiné obdrželi i e-mail s červem Hybris "na palubě". Je však vcelku zajímavé, jak k tomu došlo. Bližší informace zde.



    [31.1.2001]
    AVG 6.0 a vylepšená síťová aktualizace...

    Společnost Grisoft software (www.grisoft.cz) vydala nový build 230 svého antiviru AVG 6.0, který dokáže být díky novému AVGADMINu 6.0.20 v síti daleko "hodnější". Týká se to síťové aktualizace, která byla doposud vcelku "agresivní". Teď by se mělo vše změnit :-)

    Změn tak doznala i recenze antiviru AVG 6.0 v síti. Seznam recenzí se snad již brzo rozroste o síťovou verzi antiviru AVAST32. Bohužel však nejsem doposud schopen říci, kdy to bude :-(



    [29.1.2001]
    !!! Benny hovoří o svém červu I-Worm.Universe !!!

    Benny/29A (benny@post.cz) dodal článek, ve kterém píše o svém novém červu I-Worm.Universe (viz. novinka 25.ledna) a také o věcech, které se díky němu staly... Celý článek lze najít ZDE !!!.



    [28.1.2001]
    Červa Anarxy lze ovládat přes mobilní telefon !!!

    a nejen to, jde o české dílo !!! Postaral se o to Ratter (ratter@atlas.cz)...
    Červ Anarxy je schopen provozu pod OS Windows 9x/ME a NT/2000 (usadí se ve windows\system32\msiefix.exe). Červ Anarxy existuje celkem ve dvou podobách, o které se rozhodne už během kompilace zdrojového kódu:

  • Podoba první, komunikace přes IRC: V tomto případě se červ pokouší připojit na IRC server Undernet, kde vytvoří kanál #iworm_anarxy_channel a čeká tam na rozkazy. "Útočící" osoba může se vzdáleným infikovaným počítačem provádět řadu věcí (jde vlastně o backdoor). Zde je výpis všech rozkazů, které lze červu zaslat:

    !login , !quit, !reconnect, !logout, !opme [], !redir , !chg_pswd , !exec , !version, !send , !info, !delete , !leave, !reboot, !email_msg "" "", !email_redir , !email_file "" "" , !email_spread , !ls , !sms_send "" "", !setup_sms , !upgrade , !dl_file , !add_oper , !remove_oper , !list_operz !msg_box "" "", !setup_pop3

    Nebudu popisovat význam jednotlivých rozkazů (navíc když význam všech neznám ani já :-), každopádně význam některých si lze snadno odvodit (reboot, info, delete...).

  • Podoba druhá, komunikace přes schránku POP3: Tímto se dostávám k tomu, v čem je červ Anarxy unikátní... lze ho totiž ovládat přes mobilní telefon !!! V podstatě jde o to, že "útočník" pošle na domluvenou e-mailovou adresu "SMSku" s rozkazy (lze i více naráz). K této schránce se červ připojí a pomocí POP3 ji vybere. Pak samozřejmě provede rozkazy, které byly v el. poště uvedeny (v případě nutnosti odešle zpět na mobil odpověď).

    Kromě toho náhodně odesílá čtyři typy zpráv na SMS bránu Eurotelu (xxx@sms.eurotel.cz, xxx značí náhodné číslo). Na své si tak mohou přijít majitelé mobilu v síťi Eurotelu. Následuje jejich obsah:

    Zpráva č.1:

    This mobile fone has been infected by IWORM.Anarxy by Ratter!
    Zpráva č.2:
    Let us arise, let us arise against the oppressors of humanity; all kings,
emperors, presidents of republics, priests of all religions are the true
enemies of the people; let us destroy along with them all juridical, political,
civil and religious institutions.
- Manifesto of anarchists in the Romagna, 1878
    Zpráva č.3:
    I know you''re real proud of this world you''ve built, the way it worx, all
the nice little rules and such, but I''ve got some bad news.
I''ve decided to make a few changes.
Ratter - I''m a stranger in the world I haven''t made.
    Zpráva č.4:
    I love a flower, becoz it will wither, an animal - becoz it will die; - a human
being, becoz it will pass away and won''t be, becoz it feel''s it will perish
forever; I love - I do more than love - I worship to God, becoz - he is not.
- Karel Hynek Macha

    Šíření těla červa je pak překvapivě závislé na knize adres aplikace The Bat! (ruský emailový klient - www.ritlabs.com). Právě odtud si totiž bere červ Anarxy emailové adresy budoucích obětí...

    Ratter dále pro "Igiho stránku o virech" dodal, cituji: "Do 2-3 tydnu se xystam vydat dalsi verzi, ve ktere opravim xyby, ktere by se pripadne vyskytly f teto a dale xystam HTTP proxy server a podporu proxy serveru v LAN sitix (nyni by f podsate mel na LAN xodit pouze pokud je nainstalovana ip maskarada) a dalsi vjeci".

    Celkově tedy jde o "technickou lahůdku", v praxi se s ní však setkáte jen velice těžko. Evidentně to však byl úmysl autora, Ratter chtěl vytvořit něco dosud nevýdaného a tak kromě ovládání mobilním telefonem zavedl i šíření závislé na e-mailovém klientu The Bat!. Uvidíme, co na to Internetové noviny a antivirové firmy. Už vidím těch článku typu "nový virus, kterého lze ovládat mobilním telefonem !!!" :-)


    Archiv starších novinek:
    Rok 1998 Rok 1999 Rok 2000 Rok 2001
    Leden-Září 1998
    (bez data)
    Říjen 1998
    Listopad 1998
    Prosinec 1998
    		 Leden 1999
    Únor 1999
    Březen 1999
    Duben 1999
    Květen 1999
    Červen 1999
    Červenec 1999
    Srpen 1999
    Září 1999
    Říjen 1999
    Listopad 1999
    Prosinec 1999
    		 Leden 2000
    Únor 2000
    Březen 2000
    Duben 2000
    Květen 2000
    Červen 2000
    Červenec 2000
    Srpen 2000
    Září 2000
    Říjen 2000
    Listopad 2000
    Prosinec 2000
    		 Leden 2001
    Únor 2001
    Březen 2001
    Duben 2001
    Květen 2001
    Červen 2001
    Červenec 2001
    Srpen 2001
    Září 2001
    Říjen 2001
    Listopad 2001
    Prosinec 2001

    Tato stránka je stále ve vývoji