Listopad 1999

Win32/Aldebaran

Pam∞¥ov∞ rezidentnφ virus pro operaΦnφ systΘm Windows 9x/NT. Virus napadß PE EXE soubory, p°iΦem₧ svoje t∞lo umφstφ doprost°ed souboru (kompresnφm algoritmem se postarß o to, aby z∙stala dΘlka souboru stejnß jako p°ed infekcφ). Po spuÜt∞nφ infikovanΘho souboru dochßzφ k infekci dalÜφch p∞ti EXE soubor∙ v adresß°i WINDOWS. Krom∞ toho si pohrßvß s pr∙zkumnφkem a 5.srpna vytvß°φ soubor-ikonu IKX00.ICO, kterou nastavφ jako ikonu pr∙zkumnφka.

Virus Aldebaran obsahuje texty: 
Remember VX meeting times... B0/S0 - [iKx] (c) 1999 all right reserved - present AldeBaran

VBS/BubbleBoy

BubbleBoy je hitem m∞sφce. V praxi nejde o nic vß₧nΘho, n∞kterΘ informaΦnφ servery z toho vÜak d∞lajφ afΘru. ╚erv BubbleBoy je toti₧ prvnφ Φerv, kter² se aktivuje pouh²m otev°enφm infikovanΘ emailovΘ zprßvy. Infikovanß emailovß zprßva neobsahuje ₧ßdnou p°φlohu - Φerv je p°φmo souΦßstφ zprßvy. MS Outlook (nutnß Φßst, bez kterΘ se BubbleBoy nedokß₧e Üφ°it) toti₧ umo₧≥uje odesφlat emailovΘ zprßvy v HTML formßtu. Toho Φerv (worm) BubbleBoy vyu₧φvß a je ve struktu°e HTML p°ipojen jako VBScript. Po aktivaci Φerva (tj. otev°enφ infikovanΘ emailovΘ zprßvy) dochßzφ k infekci systΘmu. V adresß°i C:\WINDOWS\START MENU\PROGRAMS\STARTUP je vytvo°en soubor UPDATE.HTA. Ten obsahuje "zdrojßk" Φerva, kter² se automaticky spouÜtφ p°i ka₧dΘm startu Windows. Po spuÜt∞nφ souboru UPDATE.HTA se potajφ spustφ i MS Outlook a BubbleBoy odeÜle svoji kopii vÜem lidem, kte°φ jsou uvedeni v knize adres aplikace MS Outlook (zprßva mß subjekt "BubbleBoy back!"). Modifikacφ registr∙ si zajistφ, aby neodesφlal infikovanou emailovou zprßvu vφcekrßt na jednu adresu. Vlastnφka Windows m∞nφ na "BubbleBoy", organizaci na "Vandelay Industries".

Win32/Gift

Gift je druh²m Φervem, o kterΘm se v tomto vydßnφ zmφnφm. Tentokrßt se Üφ°φ v p°φloze emailovΘ zprßvy jako PE EXE soubor. JmΘno infikovanΘho souboru v p°φloze m∙₧e mφt n∞kolik podob, podobn∞ jako subjekt a text emailovΘ zprßvy (Gift si s sebou nese seznam variant). Po spuÜt∞nφ infikovanΘho souboru se Φerv Gift porozhlΘdne po pevnΘm disku a p°itom v n∞kter²ch souborech vyhledßvß emailovΘ adresy. Na zφskanΘ adresy se pak sna₧φ odeslat svoji kopii. Varianta Gift.A se narozdφl od varianty Gift.B do systΘmu v∙bec neinstaluje. Gift.B vytvo°φ po spuÜt∞nφ infikovanΘho souboru (z p°φlohy emailovΘ zprßvy) soubor RUNDLLW32.EXE (v adresß°i WINDOWS) a modifikacφ souboru WIN.INI Φi registr∙ (podle toho zda je v systΘmu Windows 9x Φi NT) si zajistφ automatickΘ spuÜt∞nφ po ka₧dΘm startu Windows. Svoji Φinnost maskuje Φerv Gift v²pisem zprßvy, kterß informuje o neexistujφcφ chyb∞. Varinta Gift.A m∙₧e zm∞nit adresu odesilatele na GiftOfFury@Bumblebee.net. Varianta Gift.B pak zobrazuje v pßtΘm dnu ka₧dΘho m∞sφce krßtkou zprßvu, kterß prozradφ, ₧e autorem "dφla" je Bumblebee ze Üpan∞lskΘ skupiny 29A.

Win32/Legacy

Technicky velice vysp∞l², pam∞¥ov∞ rezidentnφ a polymorfnφ virus pro operaΦnφ systΘm Windows 9x, NT. Legacy napadß PE EXE soubory a navφc vkladß infikovanΘ soubory do archiv∙ RAR a ARJ. Polymorfnφ "motor" vyu₧φvß instrukce MMX, z Φeho₧ vypl²vß, ₧e virus Legacy se dokß₧e Üφ°it pouze pod stroji, kterΘ majφ procesor s instrukcemi MMX. P°i infekci PE EXE soubor∙ ulo₧φ svoje t∞lo do poslednφ sekce, odskok na svoje t∞lo vÜak °eÜφ netypicky. Virus Legacy je zßrove≥ i retrovirus - ovliv≥uje chod antivir∙. KonkrΘtn∞ se jednß o rezidentnφ skenery AVP Monitor a Amon Monitor (NOD antivirus), kterΘ vypφnß. Navφc ma₧e i n∞kterΘ soubory s kontrolnφmi souΦty. 31. Φervence zobrazuje zprßvu:
[Win32.Legacy.15707 v1.00]
  Welcolme to the Win32.Legacy payload. You are infected by a virus,
  i am your worst nightmare... But BEWARE! Your organism is also
  infected. So go to the doctor and ask him for a cure for this...
  Featuring:
       MultiMedia eXtensions Engine [MMXE v1.01]
       Polymorphic Header Idiot Random Engine [PHIRE v1.00]
       Internal ENCryptor technology [iENC v1.00]

 Greetings:
       StarZer0/iKX & Int13h -> Thanx for information about archives
       Murkry/iKX -> Thanx for 'Win95 Structures & Secrets' article
       zAxOn/DDT -> Thanx for getting me into ASM
       Benny/29A -> Thanx for information about threads
       The Mental Driller/29A -> Thanx for polymorphy ideas
       Super/29A -> Thanx for optimization knowledge & opcode list
       Wintermute -> Thanx for emulation ideas
       Ypsilon -> Thanx for NT information & cool ideas

 I don't like the drugs...
       But the drugs like me!

 (c) 1999 Billy Belcebu/iKX          < billy_belcebu@mixmail.com >

W97M/Multo

Tento makrovirus byl p∙vodn∞ navr₧en tak, aby se dokßzal Üφ°it prost°ednictvφm p°φloh emailov²ch zprßv (Φerv). Autor tohoto dφla se vÜak dopustil n∞kolika chyb, kterΘ rozhodly o tom, ₧e makrovirus Multo Φervem nebude (mo₧nß a₧ dalÜφ varianty). Makrovirus Multo je polymorfnφ a je urΦen pro Microsoft Word 97. S sebou nese celkem deset funkcφ, vÜechny v modulu s nßzvem MULTO. Jako v∞tÜina ostatnφch makrovir∙ napadß globßlnφ Üablonu NORMAL.DOT, kterß se automaticky zavßdφ p°i ka₧dΘm spuÜt∞nφ aplikace Word. B∞hem infekce dokumentu spouÜtφ funkci "Payload" a m∞nφ v aktußlnφm dokumentu slova "for" na "Multo". Krom∞ toho vypisuje i krßtkou zprßvu.

Win32/FunLove

Pam∞¥ov∞ rezidentnφ virus pro Windows 9x/NT. Jeliko₧ se dob°e orientuje v poΦφtaΦovΘ sφti, dokß₧e infikovat PE EXE soubory na lokßlnφch i sφ¥ov²ch discφch. Po spuÜt∞nφ infikovanΘho souboru dochßzφ k infekci dalÜφch PE EXE soubor∙. Virus FunLove prohledßvß disky C: - Z: a hledß vhodnΘ soubory pro infekci (s p°φponou EXE, SCR, OCX). Dφky metod∞, kterou p°i infekci pou₧φvß, nenφ p°φliÜ viditelnΘ zpomalenφ systΘmu. FunLove se vyh²bß p°i infekci °ad∞ soubor∙m, kterΘ majφ n∞jakou souvislost s antivirov²mi programy. Virus Win32/FunLove byl hlßÜen jako In-the-Wild (tj. Üφ°φ se mezi u₧ivateli).

Win32/Tip

Pam∞¥ov∞ rezidentnφ (VxD driver) virus pro Windows 9x. Infikuje otevφranΘ PE EXE soubory, p°iΦem₧ v nich vytvo°φ novou sekci, do kterΘ ulo₧φ svoje t∞lo. Odskok na svoje t∞lo provßdφ op∞t netypicky. Virus Tip obsahuje velice zßke°nou rutinu. Ta se aktivuje 26.4 a p°episuje obsah pam∞ti Flash-BIOS na zßkladnφ desce a ma₧e data na disku. P°i troÜe Üt∞stφ (sm∙le) nelze takto posti₧en² poΦφtaΦ pou₧φt. Tato zßke°nß rutina je navlas stejnß jako u populßrnφho viru Win32/CIH (╚ernobyl). Autorovi tohoto dφla to nestaΦilo a tak jeÜt∞ zabudoval proceduru, kterß obΦas likviduje soubory DBF a SCH.

P°ehled p°ipravil Igor Hßk (Igi)     

      DalÜφ informace o problematice poΦφtaΦov²ch vir∙ naleznete na Igiho strßnce o virech - http://best.site.cz/igi