Novinky: Prosinec 1999

[30.12.99]
Souhrn novinek:
Rozhovor (telefonick² ?) s Benny/29A by se m∞l objevit na TV Luna. Informuje o tom sßm Benny.

Dßle tu mßm nov² odkaz na Φlßnek - Norton Antivirus 2000 zneu₧iteln² hackery.

Te∩ u₧ k vir∙m, se kter²mi se jen t∞₧ko setkßte.

U₧ zase Esmeralda !!! NΘΘΘ !!!
Na www.sarc.com se objevila zprßva o viru W95/Esmeralda.807. Je to pam∞¥ov∞ rezidentnφ virus napadajφcφ naprosto vÜechny PE EXE soubory se kter²mi se manipuluje (fast-infector). Svoj∞ t∞lo p°idßvß b∞hem infekce PE EXE souboru do jeho poslednφ sekce. Jinak nic zajφmavΘho. Na SARC doporuΦuji p°ed lΘΦenφm nabootovat z ΦistΘ systΘmovΘ diskety.

VBS/Tune se Üφ°φ emailem.
Mezi dalÜφ novinky pat°φ Φerv VBS/Tune. Pro sv∙j chod pot°ebuje Microsoft Outlook Express 98 a Windows Scripting Host. Svoji kopii odesφlß na vÜechny adresy, kterΘ najde v knize adres (v Outlooku). K emailovΘ zprßv∞ se p°ipojuje ve form∞ souboru TUNE.VBS. Po spuÜt∞nφ tohoto souboru dochßzφ k instalaci Φerva do systΘmu - modifikacφ registr∙ si zajistφ automatickΘ spuÜt∞nφ po ka₧dΘm restartu Windows. Soubor TUNE.VBS p°itom "rozsΘvß" po vÜech dostupn²ch discφch (i sφ¥ov²ch). Vyu₧φvß i IRC.

W97M/Chantal.B
Makrovirus pro Microsoft Word 97. Pokud den=31, vypisuje krßtkou zprßvu. V roce 2000 se sna₧φ smazat vÜechny soubory v aktußlnφm a ko°enovΘm adresß°i. Krom∞ toho vypouÜtφ n∞jak² BAT virus a VBScript.

W97M/BackHand.A
Makrovirus pro Word 97. Pokud je pßtek t°inßctΘho, otev°en² dokument je zaheslovßn podle klφΦe: "Trim(Two)". Ka₧d² jin² pßtek vypisuje zprßvu o neexistujφcφ chyb∞ v dokumentu. Pokud rok=2000, makrovirus nastavφ systΘmovΘ datum na 1.1.1980.

[28.12.99]
!!! Bomba v∞c - AVP Z.E.S. v0.1 !!!
Na www.avp.ru lze stßhnout AVP Z.E.S. co₧ je bootovacφ disketa, ze kterΘ by m∞ly b²t p°φstupnΘ r∙znΘ typy file-systΘm∙ (FAT, FAT32, NTFS, HPFS, EXT2...). Tφm pßdem by m∞ly b²t po nabootovßnφ z diskety viditelnΘ nap°. pevnΘ disky s file-systΘmem NTFS (Windows NT). Pokud by se pod takov²m systΘmem objevil n∞jak² problΘmov² virus (nap°. WinNT/Infis), m∙₧e se stßt Z.E.S. disketa jedinou zßchranou. Z tΘto bootovacφ diskety lze toti₧ spustit antivirov² program AVP, kter² p°φpadnΘ viry z pevnΘho disku odstranφ. AVP Z.E.S. je natolik novß v∞c, ₧e jsem nikde nenaÜel ani manußl. Tak₧e tady je alespo≥ n∞co ode mne:

Odsud stßhn∞te soubor avpbootdisk.img a rawrite.exe. Po sta₧enφ doporuΦuji zkrßtit nßzev souboru avpbootdisk.img. Program rawrite.exe toti₧ nepodporuje dlouhΘ nßzvy soubor∙. Potom spus¥te program rawrite, zadejte celou cestu k obrazu (k img souboru) a jako cφl zadejte a:. Po vytvo°enφ bootovacφ diskety Z.E.S. budete pot°ebovat jeÜt∞ jednu disketu, na kterou musφte p°ekopφrovat virovou bßzi programu AVP - tj. soubory *.AVC a soubor AVP.SET (lze stßhnout z www.avp.ru). ProblΘm je v tom, ₧e vÜechny soubory *.AVC se na disketu nevejdou, proto se musφte n∞kter²ch zbavit. Na druhou disketu proto doporuΦuji nahrßt jen ty nejd∙le₧it∞jÜφ: AVP9911.AVC, BACKDOOR.AVC, KERNEL.AVC, MACRO.AVC, MALWARE.AVC, TROJAN.AVC. Ze souboru AVP.SET (taktΘ₧ musφ b²t na disket∞) odstra≥te jmΘna AVC soubor∙, kterΘ se na disket∞ NEnachßzejφ. Pak u₧ staΦφ nabootovat z Z.E.S. diskety a z druhΘ potom "nakrmit" antivirus AVP d∙le₧it²mi informacemi o virech.

Pokud n∞kdo doÜel a₧ sem a mß k dispozici Windows NT s NTFS, byl bych rßd, kdyby se mi ozval na igi@viry.cz a ohlßsil mi, zda byl pevn² disk s NTFS ·sp∞sn∞ otestovßn prost°ednictvφm AVP Z.E.S. diskety. (p°edem dφky).

[28.12.99]
Nov² Φesk² virus od Prizzyho !
Prizzy prßv∞ dnes dotvo°il nov² virus. Jmenuje se Crypto, dokß₧e se Üφ°it pod Windows 9x/NT a obsahuje snad vÜechny techniky, kterΘ lze u vir∙ vid∞t (polymorfnφ, retro...). Krom∞ toho k≤duje DLL knihovny na disku tak, aby se stal operaΦnφ systΘm zßvisl² na viru. Pokud systΘm p°istoupφ k takto upravenΘ knihovn∞ (DLL), virus Crypto ji "za letu" vrßtφ do p∙vodnφho stavu. Tento princip je velice podobn² viru OneHalf - ten vÜak "za letu" dek≤doval sektory na disku. Uvidφme jak ohodnotφ tohoto 18 kB (alespo≥ doufßm - Φasto se pletu) dlouhΘho vira antivirovφ odbornφci...

[27.12.99]
Jß a TV Luna...
Dnes se mnou v Bratislav∞ ud∞lala TV Luna interview. 11 Φi 12.1.2000 (te∩ p°esn∞ nevφm) bych m∞l b²t k vid∞nφ v po°adu "Sv∞t poΦφtaΦ∙" na jmenovanΘ TV. Prosφm, nesm∞jte se ! - m∙j ·stnφ projev je (byl a bude) hrozn², co₧ potvrdil i m∙j v²kon p°ed kamerou :-( Ka₧dopßdn∞ se majφ divßci tohoto po°adu v budoucnu na co teÜit - lze toti₧ oΦekßvat interview s dalÜφ lidi, kte°φ se zajφmajφ touto problematikou.

[27.12.99]
Nov² *zine #2 (Asterix 2) !
Na jednΘ slovenskΘ strßnce (adresu nebudu jmenovat, n∞komu by se to nemuselo lφbit) lze najφt po n∞kolika letech druh² dφl ezinu Asterix 2. Lze tam najφt °adu kvalitnφch Φlßnk∙ (i kdy₧ urΦen²ch p°edevÜφm pro autory vir∙), ale i v²sledky sout∞₧e Tiny'99. Dφky nφ tu mßme dva novΘ a nejkratÜφ pam∞¥ov∞ rezidentnφ viry, napadajφcφ COM i EXE (nep°episujφ). Tφm prvnφm je 145 bajt∙ dlouh² virus, kter² napsal Super/29A. Bohu₧el mi v₧dy "vytuhnul" poΦφtaΦ ji₧ p°i jeho spuÜt∞nφ. DalÜφ dva podobnΘ viry napsal BlackJack (161 a 164 bajt∙). Ty se narozdφl od prvnφho rozÜφ°ily po mΘm disku natolik, ₧e jsem byl nucen vyrobit jednoduch² antivirus. (PE EXE / Delphi 3.0).
Ka₧dopßdn∞, Flush, MGL a dalÜφ odvedli skv∞lou prßci !

[20.12.99]
SpoleΦnost DataFellows se p°ejmenovala...
V²robce antiviru F-Secure - spoleΦnost DataFellows se p°ed n∞kolika dny p°ejmenovala na F-Secure corp. Dozv∞d∞l jsem se to dφky slovenskΘmu *-zinu (vÜechny tam zdravφm), kte°φ pφÜou taky o virech, ale n∞kdy i z tΘ druhΘ strany - tak₧e ₧adn² link nebude, omlouvßm se :-(

[18.12.99]
In-the-Wild List 12/99...
Poslednφ seznam nejrozÜφ°en∞jÜφch vir∙ v tomto roce lze stßhnout zde. Nßsleduje p°ehled nejvφce hlßÜen²ch vir∙:
  Freq  Name                       Type   Aliases
 ============================================================================
  42  | W32/Ska.A............... | File  |HAPPY99
  37  | W95/CIH.1003............ | File  |Spacefiller
  35  | W97M/Ethan.A............ | Macro |
  35  | WM/CAP.A................ | Macro |
  34  | W97M/Melissa.A@mm....... | Macro |Maillissa
  28  | W32/ExploreZip.......... | File  |Worm.ExploreZip
  28  | W97M/Marker.C........... | Macro |W97M/Spooky.C
  25  | O97M/Tristate.C......... | Macro |O97/Crown.B
  25  | W97M/Class.D............ | Macro |
  24  | WM/Concept.A............ | Macro |Prank Macro
  23  | W32/PrettyPark.A........ | File  |
  20  | AntiCMOS.A.............. | Boot  |Lenart
  20  | AntiEXE.A............... | Boot  |D3
  18  | XM/Laroux.A............. | Macro |
  17  | X97M/Laroux.A........... | Macro |
  16  | Form.A.................. | Boot  |Form 18
  15  | Parity_Boot.B........... | Boot  |Generic 1
  15  | W97M/Class.Q............ | Macro |
 ============================================================================

[18.12.99]
Win32/NewApt - dalÜφ Φerv.
Mßlem bych zapom∞l na tohoto novΘho Φerva. Infikovan² soubor, kter² p°φjde v p°φloze emailovΘ zprßvy m∙₧e mφt n∞kolik r∙zn²ch nßzv∙ (celkem 26). "Infikovanß" emailovß zprßva mß subjekt "Just for your eyes" a obsahuje text: "he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT stuff" a "Hypercool Happy Year 2000 funny programs and animationsà. We attached our recent animation from this site in our mail ! Check it out!". Po spuÜt∞nφ infikovanΘho souboru v p°φloze se Φerv sna₧φ odeslat svoji kopii na dalÜφ adresy. Jinak celkem nic zajφmavΘho...

[16.12.99]
Dva novΘ viry:

Win9x/Caw
Pam∞¥ov∞ rezidentnφ virus (v podob∞ VxD driveru) pro Windows 9x. Napadß otevφranΘ PE EXE soubory a svoje t∞lo uklßdß do jejich poslednφ sekce. Krom∞ chyb obsahuje tento virus i dv∞ destruktivnφ akce. Ta prvnφ je naΦasovanß na 7.Φervence, kdy virus p°epφÜe 16 nßhodn∞ vybran²ch sektor∙ na pevnΘm disku. Pokud minuta=0, virus ma₧e n∞kterΘ soubory s definovanou p°φponou.

Win32/MyPics.B/C
5.12 jsem informoval o Φervu MyPics. Neuplynulo ani moc Φasu a jsou tu dalÜφ varianty... Rozdφly mezi p∙vodnφ verzφ MyPics.A a MyPics.B/C:

    Subjekty emailov²ch zprßv:

    MyPics.B: Season's Greetings
    MyPics.C: Here's a digital video for you

    Na disku C vytvß°φ soubor:

    MyPics.B: C:\Icq_Greetings.exe
    MyPics.C: C:\Zip01.exe

    MyPics.B modifikuje vlastnφka systΘmu a v roce 2000 "posφlß" p°φkaz FORMAT na °adu disk∙. Varianta MyPics.C ka₧d² sedmnßct² den v m∞sφci ma₧e °adu soubor∙ p°evß₧n∞ na disku C: (v adresß°i "...\win\system" apod.). Varianta MyPics.B provßdφ tuto Φinnost kdykoliv v roce 2000.
PopisovanΘ viry jsou In-the-Wild (tj. Üφ°φ se mezi u₧ivateli).

[14.12.99]
Kdo to proboha napsal !!!
...to jsem si opakoval p°i Φtenφ Φlßnk∙ na adresßch:

http://zive.cpress.cz/r-art.asp?ref=4&id=8420 - nßsleduje souhrn toho nejlepÜφho:
"Worm je poΦφtaΦov² vir, kter² obdr₧φte v p°φloze e-mailu jako obrßzek" - obrßzek=vir ??? to se mi nezdß !, "...vir napφÜe do CMOS pam∞ti poΦφtaΦe, aby zruÜil platnost systΘmovΘ integrity nebo kontrolnφho souΦtu dat" - hmmm... to je zajφmavΘ ! "Potom je systΘm restartovßn a u₧ivatel bude varovßn, ₧e ôCMOS checksum is invalid,ö a tφm u₧ivatel uv∞°φ, ₧e mß problΘm roku 2000 a ne poΦφtaΦov² vir" - Podle zmi≥ovanΘ zprßvy lze opravdu snadno rozpoznat, ₧e jde o problΘm s rokem 2000 :-))) "Po schvßlenφ dat, poΦφtaΦ bude pokraΦovat v restartovßnφ a pokud je soubor ôcbios.comö umφst∞n ve ko°enovΘm adresß°i na disku C, vir se nepozorovan∞ nahraje a potom kompletn∞ p°eformßtuje disky D: a C:" - no comment. Naprosto dokonalß je taky v∞ta: "VIROV╔ VAROV┴N═: St°ednφ/Vysok² risk". DalÜφ ptßkoviny, kterΘ se v Φlßnku objevily: "NepokouÜejte se p°ilo₧en² dokument otev°φt." - to jsem z toho jelen, co teda vlastn∞ p°φjde, obrßzek ? dokument ? A jeÜt∞ n∞co na zßv∞r: "SARC je pr∙myslov∞ nejvφce odborn² t²m virov²ch expert∙." - ja myslel, ₧e d∞lajφ v kancelß°i a ne u sv∞rßku...

[14.12.99]
Dφlo od ΦeskΘho mistra - virus Yobe
V AVP Virus Encyclopedii se p°ed nedßvnem koneΦn∞ objevily informace o viru Win95/Yobe (nejednß se o horkou novinku), kter² vyu₧φvß podobnou techniku jako starÜφ virus Dir2 pro DOS. T∞lo viru Yobe se toti₧ na disku vyskytuje pouze jednou - a to v poslednφm clusteru disku. Modifikacφ struktury adresß°e (konkrΘtn∞ hodnoty "first file cluster") se postarß, ₧e p°i spuÜt∞nφ souboru se nejd°φve aktivuje k≤d viru (na konci disku) a pak teprve spouÜt∞n² program. Autorem tohoto ojedin∞lΘho dφla je Φech - Benny ze skupiny 29A.

[14.12.99]
Konference Security-2000...
Na www.aec.cz lze zφskat podrobn∞jÜφ informace o konferenci Security-2000, kterß se bude konat v kv∞tnu 2000. Na programu je samoz°ejm∞ i virovß problematika.

[7.12.99]
MultifunkΦnφ virus - Win9x/Babylonia !!!
Babylonia - to je nßzev novΘho pam∞¥ov∞ rezidentnφho ("vystupuje" jako VxD driver) viru pro Windows 9x, kter² se dokß₧e Üφ°it n∞kolika zp∙soby. Napadß PE EXE soubory na disku (uklßdß se do poslednφ sekce soubor∙, n∞kterΘ soubory si po infekci zachovajφ p∙vodnφ dΘlku), p°ipojuje se ve form∞ souboru k odesφlanΘ poÜt∞ (podobn∞ jako Φerv Happy99, infikovan² soubor v p°φloze se vÜak jmenuje X-MAS.EXE) a dokß₧e napadat HLP soubory (soubory s nßpov∞dou pro Windows) dφky tomu, ₧e obsahujφ jednoduch² jazyk. Virus vypouÜtφ soubor C:\BABYLONIA.EXE, svoje t∞lo pak nakopφruje i do souboru C:\WINDOWS\SYSTEM\KERNEL32.EXE - modifikacφ registr∙ se postarß o spouÜt∞nφ jmenovanΘho souboru po ka₧dΘm startu Windows. KERNEL32.EXE Φekß do navßzßnφ spojenφ (dial-up) a ze strßnky autora viru stßhne "vsuvky" (plug-ins) do popisovanΘho viru. Tyto plug-iny dokß₧ou m∞nit chovßnφ viru (tj. upgrade viru) !!! - jak informuje Sophos, plug-iny se postaraly ji₧ o to, ₧e virus Babylonia se dokß₧e Üφ°it i prost°ednictvφm mIRC.

Virus Babylonia se z°ejm∞ stane st°edem pozornosti vÜech "internetov²ch novin"... M∙₧eme se t∞Üit !

[5.12.99]
DalÜφ worm W32/Mypics
W32/Mypics je dalÜφm z °ady Φerv∙ (worms), kter²ch se letos urodilo po₧ehnan∞. Jako ka₧d² Φerv se i Mypics Üφ°φ prost°ednictvφm p°φloh e-mailov²ch zprßv. V tomto p°φpad∞ tvo°φ p°φlohu soubor pics4you.exe, kter² obsahuje zmi≥ovanΘho Φerva. E-mailovß zprßva nemß ₧ßdn² subjekt, t∞lo zprßvy obsahuje text "Here's some pictures for you!". Po spuÜt∞nφ souboru v p°φloze se Φerv zavede do systΘmu - modifikacφ registr∙ si zajistφ spuÜt∞nφ po ka₧dΘm restartu Windows. Pak se sna₧φ odeslat svoji kopii na dalÜφch padesßt adres, kterΘ najde v "knize adres" aplikace Microsoft Outlook. Krom∞ toho p°enastavuje "homepage" strßnku Internet Exploreru - tj. strßnku, kterß se zobrazφ po spuÜt∞nφ IE. Pokud zjistφ, ze systΘmovΘ hodiny ukazujφ rok 2000, naruÜφ CRC pam∞ti CMOS, tak₧e p°i dalÜφm startu poΦφtaΦe se doΦkßme pouze hlßÜky "CMOS Checksum Invalid" (staΦφ se p°emφstit do BIOS-setupu a zvolit SAVE - vÜe zas bude OK). Po dalÜφm restartu na nßs vÜak Φekß jeÜt∞ v∞tÜφ p°ekvapenφ. ╚erv Mypics toti₧ zaΦne formßtovat disk...

[5.12.99]
Smutnß zprßva ze slovenska...
P°ed nedßvnem p°iÜla ze slovenska smutnß zprßva - v²voj antiviru HMVS byl zastaven na neurΦito. P°ipomφnßm, ₧e antivirus HMVS byl urΦen v²hradn∞ na detekci znßm²ch/neznßm²ch makrovir∙. Vyu₧φval °adu unikßtnφch technik (t°eba neurovou sφ¥) a vypadal dost nad∞jn∞...
Je to Ükoda...

[1.12.99]
StarΘ viry v novΘm balenφ...
N∞kterΘ spoleΦnosti zaΦaly informovat o novΘ variant∞ Φerva ExploreZIP. Prvnφ a donedßvna jedinß varianta je ji₧ n∞kolik m∞sφc∙ starß a vcelku dost se rozÜφ°ila. Nov∞ vzniklß varianta (ExploreZIP.B) se od p∙vodnφ liÜφ pouze tφm, ₧e infikovan² soubor, kter² se p°ipojuje k emailovΘ zprßv∞ je intern∞ komprimovßn (ExploreZIP.B je tak i o n∞co kratÜφ).

N∞kterΘ spoleΦnosti (t°eba SARC) pak informujφ nov²ch variantßch makroviru W97M/Melissa.A. Rozdφly jsou vÜak n∞kdy tam minimßlnφ, ₧e pro n∞kterΘ antivirovΘ programy to ₧ßdnß novinka nenφ (nap°. pro AVG s vysokou tolerancφ skeneru je to stßle jen jedna a ta samß Melissa...).