Prosinec 1999
S blφ₧icφm se koncem roku je tu dalÜφ spousta nov²ch vir∙, kterΘ jsou magick²m Φφslem 2000 dosti p°itahovßny. N∞kterΘ z nich majφ toti₧ na rok 2000 naplßnovanΘ destruktivnφ akce.V tomto Φφsle bych se taky rßd zmφnil o jednΘ v²znamnΘ novince, kterß by mohla pot∞Üit p°edevÜφm u₧ivatele systΘmu Linuxu Φi Windows NT. Tak₧e nejprve o nφ:
AVP Z.E.S.
Na www.avp.ru lze stßhnout "obraz" (image) bootovacφ diskety, ze kterΘ by m∞ly b²t p°φstupnΘ r∙znΘ typy file-systΘm∙ (FAT, FAT32, NTFS, HPFS, EXT2...). Pokud by se pod takov²m file-systΘmem objevil n∞jak² problΘmov² virus (nap°. WinNT/Infis), m∙₧e se stßt Z.E.S. disketa jedinou zßchranou. Z tΘto bootovacφ diskety lze toti₧ spustit antivirov² program AVP, kter² p°φpadnΘ viry z pevnΘho disku odstranφ.Te∩ u₧ zp∞t k nov²m vir∙m:
W97M/Prilissa.A
Makrovirus W97/Prilissa se Üφ°φ v dokumentech Wordu 97, ale takΘ prost°ednictvφm emailov²ch zprßv. "Infikovanß" emailovß zprßva mß subjekt "Message From" a obsahuje text "This document is very Important and you've GOT to read this !!!". Krom∞ toho se samoz°ejm∞ v p°φloze zprßvy nachßzφ i dokument infikovan² makrovirem Prilissa. Pokud je tento dokument spuÜt∞n, makrovirus se sna₧φ odeslat svoji kopii na dalÜφch 50 adres, kterΘ hledß v "knize adres" aplikace MS Outlook. Prilissa si pohrßvß s barvou textu v aktußlnφm dokumentu a 25.prosince p°episuje soubor C:\AUTOEXEC.BAT tak, ₧e p°i dalÜφm startu poΦφtaΦe dojde k formßtovßnφ disku C:. Makrovirus Prilissa vyu₧φvß polymorfnφ generßtor VAMP, jeho₧ autorem se slavn²-trestan² (dφky makroviru Melissa) autor VicodinES. Makrovirus Prilissa je hlßÜen jako In-the-Wild (Üφ°φ se mezi u₧ivateli).Win32/Mypics
Win32/Mypics je dalÜφm z °ady Φerv∙ (worms), kter²ch se letos urodilo po₧ehnan∞. Jako ka₧d² Φerv (alespo≥ pokud jde o tento druh Φerv∙) se i Mypics Üφ°φ prost°ednictvφm p°φloh e-mailov²ch zprßv. V tomto p°φpad∞ tvo°φ p°φlohu soubor pics4you.exe, kter² obsahuje zmi≥ovanΘho Φerva. E-mailovß zprßva nemß ₧ßdn² subjekt, t∞lo zprßvy obsahuje text "Here's some pictures for you!". Po spuÜt∞nφ souboru v p°φloze se Φerv zavede do systΘmu - modifikacφ registr∙ si zajistφ spuÜt∞nφ po ka₧dΘm restartu Windows. Pak se sna₧φ odeslat svoji kopii na dalÜφch padesßt adres, kterΘ najde v "knize adres" aplikace Microsoft Outlook. Krom∞ toho p°enastavuje "homepage" strßnku Internet Exploreru - tj. strßnku, kterß se zobrazφ po spuÜt∞nφ IE. Pokud zjistφ, ze systΘmovΘ hodiny ukazujφ rok 2000, naruÜφ CRC pam∞ti CMOS, tak₧e p°i dalÜφm startu poΦφtaΦe se doΦkßme pouze hlßÜky "CMOS Checksum Invalid" (staΦφ se p°emφstit do BIOS-setupu a zvolit SAVE - vÜe zas bude v po°ßdku). Po dalÜφm restartu na nßs vÜak Φekß jeÜt∞ v∞tÜφ p°ekvapenφ. ╚erv Mypics toti₧ zaΦne formßtovat disk...╚erv Mypics se objevil v n∞kolika variantßch - zde jsou rozdφly:
- Subjekty emailov²ch zprßv:
MyPics.B,D: Season's Greetings
MyPics.C: Here's a digital video for you
- Na disku C vytvß°φ soubor:
MyPics.B,D: C:\Icq_Greetings.exe
MyPics.C: C:\Zip01.exe
- MyPics.B modifikuje vlastnφka systΘmu a v roce 2000 "posφlß" p°φkaz FORMAT na °adu disk∙.
Varianta MyPics.C ka₧d² sedmnßct² den v m∞sφci ma₧e °adu soubor∙ p°evß₧n∞ na disku C: (v adresß°i "...\win\system" apod.).
Varianta MyPics.B provßdφ tuto Φinnost kdykoliv v roce 2000.
Win32/Babylonia
Virus Babylonia si rozhodn∞ zaslou₧φ pozornost, posu∩te sami:Pam∞¥ov∞ rezidentnφ ("vystupuje" jako VxD driver) virus pro Windows 9x, kter² se dokß₧e Üφ°it n∞kolika zp∙soby. Napadß PE EXE soubory na disku (uklßdß se do poslednφ sekce soubor∙, n∞kterΘ soubory si po infekci zachovajφ p∙vodnφ dΘlku), p°ipojuje se ve form∞ souboru k odesφlanΘ poÜt∞ (podobn∞ jako Φerv Happy99, infikovan² soubor v p°φloze se vÜak jmenuje X-MAS.EXE) a dokß₧e napadat HLP soubory (soubory s nßpov∞dou pro Windows) dφky tomu, ₧e obsahujφ jednoduch² jazyk. Virus vypouÜtφ soubor C:\BABYLONIA.EXE, svoje t∞lo pak nakopφruje i do souboru C:\WINDOWS\SYSTEM\KERNEL32.EXE - modifikacφ registr∙ se postarß o spouÜt∞nφ jmenovanΘho souboru po ka₧dΘm startu Windows. KERNEL32.EXE Φekß do navßzßnφ spojenφ (dial-up) a ze strßnky autora viru stßhne "vsuvky" (plug-ins) do popisovanΘho viru. Tyto plug-iny dokß₧ou m∞nit chovßnφ viru (tj. upgrade viru) !!! Autor viru (Vecna) staΦil vytvo°it pouze Φty°i plug-iny, pak byla jeho strßnka webmasterem zruÜena. Virus Babylonia je hlßÜen jako In-the-Wild (Üφ°φ se mezi u₧ivateli).
Win32/Caw
Pam∞¥ov∞ rezidentnφ virus (v podob∞ VxD driveru) pro Windows 9x. Napadß otevφranΘ PE EXE soubory a svoje t∞lo uklßdß do jejich poslednφ sekce. Krom∞ chyb obsahuje tento virus i dv∞ destruktivnφ akce. Ta prvnφ je naΦasovanß na 7.Φervence, kdy virus p°epφÜe 16 nßhodn∞ vybran²ch sektor∙ na pevnΘm disku. Pokud minuta=0, virus ma₧e n∞kterΘ soubory s definovanou p°φponou (BMP, JPG, DOC, WRI, BAS, SAV, PDF, RTF, TXT).Win32/NewApt
DalÜφ z °ady Φerv∙. Infikovan² soubor, kter² p°φjde v p°φloze emailovΘ zprßvy m∙₧e mφt n∞kolik r∙zn²ch nßzv∙ (celkem 26). "Infikovanß" emailovß zprßva mß subjekt "Just for your eyes" a obsahuje text: "he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT stuff" a "Hypercool Happy Year 2000 funny programs and animationsà. We attached our recent animation from this site in our mail ! Check it out!". Po spuÜt∞nφ infikovanΘho souboru v p°φloze se Φerv sna₧φ odeslat svoji kopii na dalÜφ adresy. Zajφmavostφ tohoto Φerva je skuteΦnost, ₧e Φerv mß omezenou ₧ivotnost - od p°edem danΘho termφnu se p°estane aktivovat. VÜechny velmi podobnΘ varianty jsou hlßÜeny In-the-Wild (tj. Üφ°φ se mezi u₧ivateli).P°ehled p°ipravil Igor Hßk (Igi)
DalÜφ informace o problematice poΦφtaΦov²ch vir∙ naleznete na Igiho strßnce o virech - http://best.site.cz/igi