Listopad 1999

Win32/Aldebaran

Paměťově rezidentní virus pro operační systém Windows 9x/NT. Virus napadá PE EXE soubory, přičemž svoje tělo umístí doprostřed souboru (kompresním algoritmem se postará o to, aby zůstala délka souboru stejná jako před infekcí). Po spuštění infikovaného souboru dochází k infekci dalších pěti EXE souborů v adresáři WINDOWS. Kromě toho si pohrává s průzkumníkem a 5.srpna vytváří soubor-ikonu IKX00.ICO, kterou nastaví jako ikonu průzkumníka.

Virus Aldebaran obsahuje texty: 
Remember VX meeting times... B0/S0 - [iKx] (c) 1999 all right reserved - present AldeBaran

VBS/BubbleBoy

BubbleBoy je hitem měsíce. V praxi nejde o nic vážného, některé informační servery z toho však dělají aféru. Červ BubbleBoy je totiž první červ, který se aktivuje pouhým otevřením infikované emailové zprávy. Infikovaná emailová zpráva neobsahuje žádnou přílohu - červ je přímo součástí zprávy. MS Outlook (nutná část, bez které se BubbleBoy nedokáže šířit) totiž umožňuje odesílat emailové zprávy v HTML formátu. Toho červ (worm) BubbleBoy využívá a je ve struktuře HTML připojen jako VBScript. Po aktivaci červa (tj. otevření infikované emailové zprávy) dochází k infekci systému. V adresáři C:\WINDOWS\START MENU\PROGRAMS\STARTUP je vytvořen soubor UPDATE.HTA. Ten obsahuje "zdroják" červa, který se automaticky spouští při každém startu Windows. Po spuštění souboru UPDATE.HTA se potají spustí i MS Outlook a BubbleBoy odešle svoji kopii všem lidem, kteří jsou uvedeni v knize adres aplikace MS Outlook (zpráva má subjekt "BubbleBoy back!"). Modifikací registrů si zajistí, aby neodesílal infikovanou emailovou zprávu vícekrát na jednu adresu. Vlastníka Windows mění na "BubbleBoy", organizaci na "Vandelay Industries".

Win32/Gift

Gift je druhým červem, o kterém se v tomto vydání zmíním. Tentokrát se šíří v příloze emailové zprávy jako PE EXE soubor. Jméno infikovaného souboru v příloze může mít několik podob, podobně jako subjekt a text emailové zprávy (Gift si s sebou nese seznam variant). Po spuštění infikovaného souboru se červ Gift porozhlédne po pevném disku a přitom v některých souborech vyhledává emailové adresy. Na získané adresy se pak snaží odeslat svoji kopii. Varianta Gift.A se narozdíl od varianty Gift.B do systému vůbec neinstaluje. Gift.B vytvoří po spuštění infikovaného souboru (z přílohy emailové zprávy) soubor RUNDLLW32.EXE (v adresáři WINDOWS) a modifikací souboru WIN.INI či registrů (podle toho zda je v systému Windows 9x či NT) si zajistí automatické spuštění po každém startu Windows. Svoji činnost maskuje červ Gift výpisem zprávy, která informuje o neexistující chybě. Varinta Gift.A může změnit adresu odesilatele na GiftOfFury@Bumblebee.net. Varianta Gift.B pak zobrazuje v pátém dnu každého měsíce krátkou zprávu, která prozradí, že autorem "díla" je Bumblebee ze španělské skupiny 29A.

Win32/Legacy

Technicky velice vyspělý, paměťově rezidentní a polymorfní virus pro operační systém Windows 9x, NT. Legacy napadá PE EXE soubory a navíc vkladá infikované soubory do archivů RAR a ARJ. Polymorfní "motor" využívá instrukce MMX, z čehož vyplývá, že virus Legacy se dokáže šířit pouze pod stroji, které mají procesor s instrukcemi MMX. Při infekci PE EXE souborů uloží svoje tělo do poslední sekce, odskok na svoje tělo však řeší netypicky. Virus Legacy je zároveň i retrovirus - ovlivňuje chod antivirů. Konkrétně se jedná o rezidentní skenery AVP Monitor a Amon Monitor (NOD antivirus), které vypíná. Navíc maže i některé soubory s kontrolními součty. 31. července zobrazuje zprávu:
[Win32.Legacy.15707 v1.00]
  Welcolme to the Win32.Legacy payload. You are infected by a virus,
  i am your worst nightmare... But BEWARE! Your organism is also
  infected. So go to the doctor and ask him for a cure for this...
  Featuring:
       MultiMedia eXtensions Engine [MMXE v1.01]
       Polymorphic Header Idiot Random Engine [PHIRE v1.00]
       Internal ENCryptor technology [iENC v1.00]

 Greetings:
       StarZer0/iKX & Int13h -> Thanx for information about archives
       Murkry/iKX -> Thanx for 'Win95 Structures & Secrets' article
       zAxOn/DDT -> Thanx for getting me into ASM
       Benny/29A -> Thanx for information about threads
       The Mental Driller/29A -> Thanx for polymorphy ideas
       Super/29A -> Thanx for optimization knowledge & opcode list
       Wintermute -> Thanx for emulation ideas
       Ypsilon -> Thanx for NT information & cool ideas

 I don't like the drugs...
       But the drugs like me!

 (c) 1999 Billy Belcebu/iKX          < billy_belcebu@mixmail.com >

W97M/Multo

Tento makrovirus byl původně navržen tak, aby se dokázal šířit prostřednictvím příloh emailových zpráv (červ). Autor tohoto díla se však dopustil několika chyb, které rozhodly o tom, že makrovirus Multo červem nebude (možná až další varianty). Makrovirus Multo je polymorfní a je určen pro Microsoft Word 97. S sebou nese celkem deset funkcí, všechny v modulu s názvem MULTO. Jako většina ostatních makrovirů napadá globální šablonu NORMAL.DOT, která se automaticky zavádí při každém spuštění aplikace Word. Během infekce dokumentu spouští funkci "Payload" a mění v aktuálním dokumentu slova "for" na "Multo". Kromě toho vypisuje i krátkou zprávu.

Win32/FunLove

Paměťově rezidentní virus pro Windows 9x/NT. Jelikož se dobře orientuje v počítačové síti, dokáže infikovat PE EXE soubory na lokálních i síťových discích. Po spuštění infikovaného souboru dochází k infekci dalších PE EXE souborů. Virus FunLove prohledává disky C: - Z: a hledá vhodné soubory pro infekci (s příponou EXE, SCR, OCX). Díky metodě, kterou při infekci používá, není příliš viditelné zpomalení systému. FunLove se vyhýbá při infekci řadě souborům, které mají nějakou souvislost s antivirovými programy. Virus Win32/FunLove byl hlášen jako In-the-Wild (tj. šíří se mezi uživateli).

Win32/Tip

Paměťově rezidentní (VxD driver) virus pro Windows 9x. Infikuje otevírané PE EXE soubory, přičemž v nich vytvoří novou sekci, do které uloží svoje tělo. Odskok na svoje tělo provádí opět netypicky. Virus Tip obsahuje velice zákeřnou rutinu. Ta se aktivuje 26.4 a přepisuje obsah paměti Flash-BIOS na základní desce a maže data na disku. Při troše štěstí (smůle) nelze takto postižený počítač použít. Tato zákeřná rutina je navlas stejná jako u populárního viru Win32/CIH (Černobyl). Autorovi tohoto díla to nestačilo a tak ještě zabudoval proceduru, která občas likviduje soubory DBF a SCH.

Přehled připravil Igor Hák (Igi)     

      Další informace o problematice počítačových virů naleznete na Igiho stránce o virech - http://best.site.cz/igi