“Nowe Technologie w Świecie Wirusów i Antywirusów”

Wstęp

Wraz z rozwojem wirusów rozwijają się także programy antywirusowe. Autorzy wirusów wykorzystując nowe systemy operacyjne i ich nowe możliwości piszą coraz to nowsze wirusy. W ciągu ostatniego roku znacznie wzrosła ilość nowo powstających Backdoorów oraz robaków internetowych.

W ostatnim roku powstały nowe wirusy Visio. Sensacją ostatnich dni lipca stał się pierwszy wirus napisany w języku skryptowym AutoCAD 2000.

Wirusy a nowoczesne telefony komórkowe

Firmy antywirusowe coraz częściej zastanawiają się na problemem zagrożenia nowoczesnych telefonów komórkowych oraz możliwościami ewentualnego powstania wirusów infekujących pamięci telefonów komórkowych.

4 sierpnia firma Kaspersky Lab poinformowała o pojawieniu się nowego niebezpiecznego programu mogącego spowodować wielkie trudności w przesyłaniu informacji przez przenośne telefony.

W ciągu kilku ostatnich miesięcy twórcy wirusów zwiększają ciągle swoje zainteresowanie telefonami przenośnymi. Niejaki "HSE" stworzył program, który uniemożliwiał wysyłanie wiadomości SMS pod numery wybrane z klawiatury.

Program napisany w języku MS Visual Basic 5.0, wykorzystuje publiczne serwisy umożliwiające wysyłanie wiadomości SMS: www.free-sms.com, sms-link.btn.de, www.nm-info.de, www.pcteam.de, www.mobidig.net, www.lycos.de.

Specjaliści z firmy Kaspersky Lab zakwalifikowali ten program jako szkodliwy ale nie jest on sam w sobie niebezpieczny gdyż nie wyrządza szkód i nie ma możliwości rozmnażania się. Obszar działania programu został też ograniczony do terytorium Niemiec gdyż wymienione powyżej bramki SMS umożliwiają wysyłanie wiadomości tekstowych tylko na obszarze tego kraju.

Istnieje jednak niebezpieczeństwo, że SMS-Flooder jest pierwszym krokiem na drodze do stworzenia konia trojańskiego zdolnego do atakowania telefonów przenośnych.

9 sierpnia 2000 została opublikowana wiadomość o stworzeniu pierwszego w świecie programu antywirusowego dla bezprzewodowych urządzeń informacyjnych (telefony komórkowe, komunikatory i PDA). Program F-Secure for EPOC jest programem antywirusowym działającym w systemie operacyjnym Symbian. F-Secure dla EPOC jest produktem oferującym zabezpieczenie w czasie rzeczywistym przed wirusami, wirusami skryptowymi, koniami trojańskimi i bombami pocztowymi. Produkt używa technologii przenośnego skanera. Produkt jest optymalizowany dla mniejszej pamięci urządzeń radiowych. Użytkownicy będą otrzymywać aktualizacje drogą radiową w chwili gdy są dostępni.

W drugiej połowie sierpnia została opublikowana wiadomość o udostępnieniu Wireless Security Center przez McAfee.com. Jest to usługa mająca chronić i zarządzać przenośnymi urządzeniami uruchamianymi pod kontrolą Palm OS, Pocket PC (Windows CE) i systemem operacyjnym EPOC.

Omówienie ciekawszych wirusów

Win95.Babylonia

8 grudnia 1999 roku odkryty został nowy wirus nazwany Babylonia. Nie jest to typowy wirus. a mutacja wirusa, robaka internetowego i konia trojańskiego. Istnieje kilka objawów pozwalających wykryć istnienie wirusa w systemie:

plik KERNEL32 znajduje się w katalogu /Windows/ z rozszerzeniem .EXE, a nie w katalogu /Windows/System/ z rozszerzeniem .DLL.

w katalogu głównym dysku C: znajduje się plik BABYLONIA.EXE

W kluczu rejestru HKLM\Software\Microsoft\Windows\CurrentVersion\Run znajduje się plik KERNEL32.EXE

Aby uniknąć infekcji należy nie otwierać załączników poczty jeśli są to pliki

X-MAS.EXE. 2KBUG-MIRCFIX.EXE, 2KBUGFIX.INI. Zaleca się natychmiastowe ich usunięcie.

Wirus jest rezydentnym wirusem systemu Windows. Posiada cechy robaków i backdoorów. Infekuje komputery pracujące w systemie Windows 9x. Infekuje pliki wykonywalne Windows (PE) a także pliki pomocy HLP, oraz biblioteki zawierające procedury obsługi Internetu (w celu umożliwienia wirusowi rozsyłania własnych kopi, a także pobierania dodatkowych pluginów kodu wirusa). Wirus posiada zdolność aktualizacji swojego kodu poprzez sieć Internetu. Stwarza to olbrzymie zagrożenie. Początkowo nie agresywny wirus może zostać „uzbrojony”. Wirus nie działa w systemach Windows NT z powodu wykorzystywania odwołań do sterowników VxD dopuszczalnych tylko w systemie Windows 9x. Zaimplementowany w wirusie mechanizm rozsyłania się przez internet używa metod znanych z robaka internetowego I-Worm.Happy, infekowanie plików pomocy jest podobne do wirusa WinHLP.Demo, a instalacja w pamięci podobna do wirusa Win95.CIH znanego także pod nazwą Czarnobyl. Wirus posiada także procedury wyłączające znane rezydentne monitory antywirusowe podczas instalacji kodu wirusa w pamięci systemu.

I-Worm.LoveLetter

4 maja 2000 został odkryty nowy robak internetowy I-Worm.LoveLetter. Wirus został wykryty na wolności i bardzo szybko poprzez pocztę elektroniczną rozprzestrzenił się po całym świecie. Użytkownik otrzymuje przesyłkę o temacie "ILOVEYOU" i treści "kindly check the attached LOVELETTER coming from me.."

Do wiadomości był załączony plik o nazwie LOVE-LETTER-FOR-YOU.TXT.vbs. Do chwili otwarcia załącznika komputer nie jest zainfekowany. W chwili otwarcia zostaje uruchomiony kod skryptu robaka. Robak, po otwarciu załącznika przegląda lokalne i zmapowane dyski sieciowe w poszukiwaniu plików o rozszerzeniach VBS, VBE, JS, JSE, CSS, VSH, HST, HTA, JPG, JPEG i nadpisuje te pliki swoim kodem co uniemożliwia ich odzyskanie. Robak I-Worm.LoveLetter tworzy dwie swoje kopie pod nazwą Win32.dll.vbs oraz MSKernel32.vbs oraz umieszcza je w katalogu Windows. Modyfikuje rejestr systemowy, przez co uruchamia się podczas każdego startu Windows. Gdy wirus jest aktywny przegląda książkę adresową i rozsyła swoje kopie do wszystkich znalezionych adresatów.

Aby uchronić się przed tym i innymi tego typu robakami należy przede wszystkim NIE OTWIERAĆ PODEJRZANYCH ZAŁĄCZNIKÓW DO POCZTY (ZWŁASZCZA JEŚLI JEST TO PLIK Z ROZSZERZENIEM VBS)

I-Worm.NewLetter

19 maja odkryta została nowa, bardziej niebezpieczna mutacja robaka internetowego LoveLetter. Został on nazwany I-Worm.NewLove. Po rozesłaniu przez pocztę elektroniczną kopii swojego kodu wirus niszczy wszystkie dane na dyskach lokalnych i sieciowych.

ACAD.Star

18 lipca został odkryty pierwszy wirus atakujący program AutoCAD 2000. Poza opublikowanie jego kodu w internecie przez autora brak jest informacji o występowaniu wirusa na wolności. Infekcja AutoCAD stała się możliwa ponieważ firma Autodesk zakupiła licencję na stosowanie języka skryptowego VBA (Visual Basic for Application). Język ten jest stosowany w pakiecie MS Office i właśnie w tym języku powstaje obecnie najwięcej wirusów. ACAD.Star jest bardzo prymitywnym wirusem. Na dodatek zawiera szereg błędów. Stad też do rozmnażania potrzebuje specjalnych warunków. Stanowi on jednak pierwszy krok. Po nim mogą zostać napisane następne wirusy.

Omówienie programów antywirusowych

W czasie ostatniego roku większość firm antywirusowych wprowadziła na rynek nowe wersje swoich programów skuteczniej walczących z nowymi wirusami. Oglądając te programy zauważa się trend który można nazwać “Outlook-omanią“ i “2000 - mania“. Dużo spośród testowanych programów antywirusowych posiada wygląd badzo mocno przypominający program Outlook. Także ukazujące się w tym roku wersje programów zamiast kolejnego numerku często otrzymują w nazwie 2000.

Avast32 (ALWIL Software - Czechy)

Program posiada dość nietypowy interfejs użytkownika. Mogą stad wynikać problemy z konfiguracją programu. Jednak po głębszej analizie można zauważyć duże możliwości konfiguracji. Program zawiera listę znanych wirusów wraz z bardzo prostym opisem. Podczas testów program nie wykrył kilkudziesięciu próbek zainfekowanych wirusem Hare.7786. Także kilka próbek plików SYS zainfekowanych wirusem Nutcracker.AB2.7008.B zostalo uznanych za niezainfekowane. Program nie wykrywa żadnych robaków mIRC w plikach INI.

AVK (G-DATA - Niemcy)

Znany na polskim rynku niemiecki program AntiViruen Kit (AVK) używający silnika znanej firmy Kaspersky Labs. ukazał się w nowej, dziewiątej wersji. Podobnie jak inne program antywirusowe tak i nowa wersja AVK przypomina program Outlook. W porównaniu z wersją 8 w nowej dziewiątej wersji znacznie poprawiono instalacje i deinstalację programu z komputera. Program AVK został uzupełniony o możliwość aktualizacji baz antywirusowych przez internet. Aktualizacja jest możliwa po wykupieniu odpowiedniej usługi. Dostęp do baz jest wówczas możliwy dla zarejestrowanych osób po podaniu użytkownika i hasła.

Nieco problemów sprawił program podczas testowania próbek Backdoorów zaarchiwizowanych głównie metodą ZIP. Program określił liczbę przetestowanych archiwów, a nie liczbę fizycznie przetestowanych plików wykonywalnych. Utrudniło to mocno określenie wykrywalności programu w tej kategorii.

Użycie silnika firmy Kaspersky Labs. w programie powoduje że wykrywalność programu AVK jest bardzo zbliżona do wykrywalności programu AVP.

Należy także odnotować fakt że firma G-DATA wprowadziła kolejną wersję programu antywirusowego AVK dla sieci Novell NetWare.

AVP (Kaspersky Labs. - Rosja)

Firma Kaspersky Lab poza ciągłym ulepszaniem wykrywalności programu nie wprowadziła ostatnio na rynek nowej wersji. Jednak od dłuższego czasu zapowiadana jest nowa wersja (prawdopodobnie o numerze 3.5). Istotnymi zmianami ma być zmiana wyglądu programu (zgodnie z modą ouutlook), a także wprowadzenie zgodności z coraz popularniejszym Windows 2000.

Kilka dni po złapaniu wirusa LoveLetter firma udostępniła darmowy moduł zabezpieczający przed robakami skryptowymi. Moduł po instalacji w systemie przesyła wszystkie skrypty VBS przed ich uruchomieniem do rezydentnego monitora antywirusowego w celu sprawdzenia skryptu na obecność znanych i nieznanych robaków i/lub wirusów VBS.

Doctor Turbo AntiVirus (Omegas - Niemcy)

Jest to nowy program antywirusowy dostępny na polskim rynku. Jednak przetestowanie programu pod kontem wykrywalności wirusów było poważnie utrudnione. Program nie umożliwia skanowania wyłącznie wybranego folderu czy pliku, a jedynie całych dysków. Nie jest także możliwe proste zaznaczenie w konfiguracji testowania wszystkich plików. Aby przetestować wszystkie pliki trzeba dodać dodatkowe rozszerzenie do listy testowanych.

Niewielka wersja instalacyjna programu była jedyną, która podczas instalacji i deinstalacji nie wymagała restartu komputera.

Dr.Web (DialogNauka - Rosja)

Jest to kolejny program antywirusowy zza wschodniej granicy. Program charakteryzuje się doskonałą wykrywalnością ciągle podwyższaną przez autorów programu. Najnowsza wersja programu jest kompatybilna z systemem Windows 2000. Dodano prosty scheduler. Bazy antywirusowe programu aktualizowane są przez internet raz w tygodniu, ale w przypadkach specjalnych, jak LoveLetter, firma jeszcze tego samego dnia udostępniła odtrutkę. Do zalet programu należy wysoki poziom skuteczności heurystycznego wykrywania nieznanych wirusów. W wersji 4.20 SP1 program został wyposażony w możliwość wykrywania nieznanych wirusów napisanych w językach wysokiego poziomu tzw. wirusów HLL.

DrWeb otrzymał kilkakrotnie nagrodę angielskiego czasopisma Virus Bulletin.

Spider Guard (rezydentny monitor) jako pierwszy w świecie posiada zaimplementowaną metodę monitorowania wirusów w pamięci opartą na sztucznej inteligencji.

F-Prot (Frisk Software International - Islandia)

Doskonały program antywirusowy doczekał się poza wersja dla systemu DOS także wersji dla Windows. Program korzysta z tych samych baz antywirusowych co F-Secure. Bazy aktualizowane są codziennie. Program wykrywa bardzo precyzyjnie odmiany poszczególnych wirusów. Nazwy wirusów stosowane przez program są zgodne z nazwami CARO (nieformalna organizacja skupiająca najbardziej znanych badaczy wirusów z całego świata).

Ciekawostką może być zaimplementowana w programie F-MacroW opcja /AUTOSORT pozwalająca posortować posiadane okazy wirusów.

F-Secure (Datafellows - Finlandia)

W Finlanii został napisany program F-Secure. Poraz pierwszy w świecie zastosowano w nim technologie Gatekeeper. Polski dystrybutor posiada obecnie w sprzedaży wersję 4.08. Jednak producent oprogramowania oferuje już wersje 5.12. Jest to kolejny etap kompleksowej ochrony komputerów przed wirusami. W wersji 4 program F-Secure wyposażony jest w dwa silniki skanujące F-Prot i AVP. Nowa 5 wersja programu posiada aż trzy silniki: F-Prot, AVP, oraz Orion. Dwa pierwsze silniki są doskonale znane z programów antywirusowych F-Prot i AVP, trzeciego silnika nie udało się zidentyfikować.

Ponieważ wersja 5 nie jest jeszcze dostępna w wersji trial (testowej) do testów użyta została wersja 4.08 (najnowsza wersja dostępna po polsku). Ze względu na wysoką cenę jest to program głównie do zastosowań korporacyjnych.

InoculateIT Personal Edition (Computer Associates - USA)

Firma Computer Associates udostępniła darmowy program antywirusowy. Jest to VET firmy CYBEC z Australii występujący w nieco starszej wersji. Ze strony internetowej firmy można pobrać także aktualizacje baz antywirusowych.

MkS_vir (Marek Sell - Polska)

Jest to jedyny w testach polski program antywirusowy. Obecnie MkS doczekał się wersji dla systemów Windows. Program niestety nie posiada tak doskonałej wykrywalności jak konkurencyjne programy zagraniczne coraz łatwiej dostępne na polskim rynku także w wersji polskojęzycznej. Program MkS zarówno w przestarzałej wersji DOS jak i Windows najlepiej radzi sobie w wirusami makr Word, Excel. Jednak także wśród wirusów makr program nie rozpoznaje wirusów PowerPoint, Access, Visio.

Norton AntiVirus (USA)

Znany od wielu lat na całym świecie program antywirusowy doczekał się kolejnej wersji 2000. Wersja instalacyjna programu mocno przewyższała wielkością inne testowane programy antywirusowe. Nie sądzę aby ktoś z posiadaczy modemów pokusił się o ściągnięcie z internetu wersji instalacyjnej zajmującej 27 MB. W skład wersji instalacyjnej poza skanerem, monitorem, wchodzi także (wybór opcjonalny podczas instalacji) zabezpieczenie poczty elektronicznej. Norton Antywirus oferuje duże możliwości zabezpieczenia komputera przed wirusami. Także jego wykrywalność jest dobra. Jednak sam program spowolnił działanie systemu.

Podczas testów NAV jako jeden z nielicznych nie potrafił wykryć obrazów wirusów sektorów systemowych w plikach.

Panda

Jest kolejnym spośród testowanych programów którego wyglad został zaprojektowany na podobieństwo Outlook’a. Program przed rozpoczęciem instalacji testuje pamięć komputera, a także dyski w celu wykrycia wirusów już zainstalowanych w systemie. Program potrafi testować pliki wewnątrz archiwów ZIP. Aktualizację programu można przeprowadzać nie tylko z internetu ale także dyskietki, czy dysku.

PC-cillin 2000 (TREND Micro Inc. - Japonia)

Należy do grupy programów Outlook’o podobnych. Podobnie jak Panda PC-cillin testuje dyski przed rozpoczęciem instalacji. Program potrafi testować pliki wewnątrz archiwów ZIP. W raporcie tekstowym program zapisuje także informację czy wirus jest wyleczalny czy nie wyleczalny. Niestety przy wielu wirusach infekujących pliki i należących do wirusów wyleczalnych istniała informacja że plik jest nie wyleczalny. Natomiast wirusy macro były prawie w 100% wyleczalne.

RAV (GeCAD - Rumunia)

Doskonały program antywirusowy napisany w Rumunii. Program zawiera moduł aktualizacji pozwalający aktualizować bazy poprzez internet lub z wybranego folderu. Istnieje możliwość wyświetlenia listy znanych wirusów. Dla każdego w formie tabeli zaznaczono wybrane charakterystyczne cechy. Program należy zaliczyć do programów Outlook’o podobnych. Poza modułem aktualizacji w programie wbudowany jest scheduler pozwalający definiować zadania, a także rezydentny monitor. Instalacyjna wersja pakietu zawiera także program w wersji dla DOS. Program zawiera opcję pozwalającą stworzyć dyskietkę ratunkową.

W czerwcu firma poinformowała o trwających pracach nad ukończeniem wersji RAV 8. W ostatnich dniach sierpnia ukazała się długo oczekiwana publiczna wersja testowa beta programu RAV 8. Program jest ładnie zaprojektowany i umożliwia zmianę wyglądu. Dostępnych jest pięć rożnych skórek. Jednak po instalacji w folderze programu można znaleźć nie działający jeszcze co prawda program do samodzielnego zaprojektowania skórki RAV. W wersji instalacyjnej zawarty jest: skaner, monitor, moduł aktualizacji (zarówno przez internet jak i z lokalnego foldera), oraz “wtyczka” dla Office 2000. RAV 8 umożliwia oglądanie listy znanych wirusów wraz z kilkuzdaniowym opisem. Opisy wirusów podzielone są na kategorie co daje przejrzysty obraz. Z poziomu menu programu można zmienić język w którym program komunikuje się z użytkownikiem. Dostępne są: Angielski, Niemiecki, Francuski, a także Rumuński.

Scan (Network Associates Inc. - USA)

Do testów użyto programu w wersji 4. Program instalacyjny zajmuje 12 MB i w trakcie instalacji wymaga aż dwóch restartów systemu (jeden zaraz po rozpoczęciu instalacji, drugi przed jej zakończeniem). Po uruchomieniu komputera z aktywnym programem zaobserwowano znaczne spowolnienie działania systemu. W programie znajdują się standardowe elementy: skaner, scheduler, quarantine, update. Jednak samo używanie programu sprawiało pewne kłopoty. Spowodowane to było nietypowym menu.

O wiele prostsza jest obsługa załączonego i dostępnego po instalacji skanera dla DOS. Nie posiada on menu a wszystkie potrzebne parametry wpisuje się w linji poleceń.

W 1998 roku firma DrSolomons Software Ltd. została przejęta przez Network Associates. Wynikiem tego połączono dwa programy. W obudowie (interfejs) programu SCAN działa silnik firmy Dr Solomon’s. Dzięki temu mimo niezbyt wygodnej obsługi skaner charakteryzuje duża skuteczność w wykrywaniu wirusów.

Sweep (Anglia)

Program stosuje unikalną technologię InreCheck Technology.

Testy programów antywirusowych

Zamieszczone testy programów antywirusowych przeprowadzone były w następujących warunkach:

1. Każda próbka zainfekowana była jednym wirusem. Do infekcji używano specjalnie do tego celu napisanych programów.

2. Dla każdego wirusa zostało wygenerowanych i zainfekowanych:

- kilka próbek dla wirusów prostych

- kilkadziesiąt dla wirusów polimorficznych.

3. Dla wirusów infekujących kilka rodzajów plików wygenerowane były próbki z każdego typu pliku.

4. Wykrywanie wirusów boot sektorów oceniano na podstawie wykrywania wirusów w plikach będących kopiami zainfekowanych obszarów dysku (MBR, Boot sektor).

Uwaga!!!

Dla niektórych programów antywirusowych przyjęta metoda testowania wykrywalności wirusów sektorów systemowych może okazać się nieobiektywna. Niemożliwość wykonania jednego z testów miała także wpływ na całkowitą ocenę wykrywalności programu. Programów tych nie podano na wykresie.

Podczas analizy raportów programu Norton AntiVirus stwierdzono że w niektórych testach zawierających archiwa ZIP (Backdoor) program wyświetlał o wiele większą liczbę przetestowanych programów niż powinien mimo zaznaczonej opcji testowania wyłącznie plików wykonywalnych. Szacunkowo można przyjąć że wykrywalność Backdoorów była dla programu Norton AntiVirus około 30,46% a nie jak wynikało by z raportu 10,58%.

 

5. Do testów użyto:

62

wirusy infekujące boot sektory i MBR dysków twardych

590

wirusów infekujących pliki

831

makro wirusów: Word, Excel, AmiPro, Lotus123, Access, PowerPoint, Project98, Visio, Acad2000

118

robaków mIRC

80

wirusów: WinScript (VBS), Html (HTM), JS, Inf, CorelScript (CSC), XML (XMS)

2

wirusy Java (class)

28

robaków internetowych (I-Worm, Worms)

157

backdoorów

15

wirusów UNIX (Linux ELF, Shell Script, PERL)

 

Testy przeprowadzano na komputerach:

1. P55C (Pentium MMX) 233 MHz, 32 MB RAM; Windows 98 wydanie drugie, wersja 4.10.2222 A

2. Pentium (Cyrix 6x86-P150+) 120 MHz, 32 MB RAM; Windows 98 wydanie drugie, wersja 4.10.2222 A

3. Pentium (Cyrix 6x86-P150+) 120 MHz, 32 MB RAM; Windows 2000 Professional Pre-release (Build 2031) / Beta 3

4. Pentium II 350 MHz, 64 MB RAM; Windows 98 wersja 4.10.1998.

 

Podsumowanie

Na polskim rynku dostępnych jest wiele programów antywirusowych. Ogólny dostęp do internetu umożliwia także pobieranie darmowych programów, czy testowych wersji komercyjnych programów.

Liderem w wykrywalności podczas testów został program AVP firmy Kaspersky Lab z Rosji.

Podobne zaufanie można mieć do programu AVK pod warunkiem wykupienia licencji na aktualizację cotygodniową. Szkoda że korzystając z tych samych baz co program AVP nie można aktualizować programu poprzez internet codziennie.

Drugie miejsce przyznano także programowi zza wschodniej granicy Dr.Web. Jest to program godny zaufania. Potrafi testować pliki wewnątrz wielu archiwów i plików spakowanych. Jest godny polecenia tym bardziej że wersja testowa programu jest niewielkich rozmiarów i łatwo j pobrać z sieci internetu.

Wiele programów antywirusowych nie nadąża za nowymi wirusami. Obecnie dla kilku programów problemem było rozpoznanie formatu plików Visio oraz AutoCAD 2000 a co za tym idzie wykrycie wirusów dla tych plików.

Obecne na rynku programy antywirusowe muszą posiadać bardzo elastyczną strukturę, pozwalającą na dodanie w prosty i szybki sposób nowych powstających klas wirusów.

Zalecane jest stosowanie dwóch programów antywirusowych. Zwiększa to niewątpliwie bezpieczeństwo danych. Alternatywą stosowania dwóch programów antywirusowych jest zakup programu F-Secure (najlepiej w wersji 5). Pozwala to na posiadanie dwóch (a nawet trzech w wersji 5) programów antywirusowych aktualizowanych codziennie w jednych menu.

Należy pamiętać że niektóre monitory rezydentne mogą powodować konflikty z innymi. Dlatego zasada stosowania dwóch programów antywirusowych dotyczy przede wszystkim skanerów, a jeśli ktoś decyduje się na stosowanie dwóch monitorów powinien to robić bardzo ostrożnie.

Osobiście poleciłbym użycie jednego z dwóch programów opartych na tym samym silniku - AVP, lub AVK. Jako drugi program antywirusowy można zastosować programy Dr.Web lub F-Prot.