Popisy vir∙

Viry pro Windows 9x/NT

Pokud nenφ jinak uvedeno, informace jsou p°elo₧eny z AVP Virus Encyclopedie (www.avp.ch/avpve).

VBS/FreeLink


DalÜφ Φerv, tentokrßt napsan² ve VBScriptu. Pro sv∙j chod pot°ebuje podporu WSH. Freelink se Üφ°φ prost°ednictvφm e-mailov²ch zprßv, ale i IRC kanßl∙. Po spuÜt∞nφ souboru LINKS.VBS Φerv modifikuje registry a nainstaluje se do adresß°e SYSTEM ve Windows. Pak se zeptß: This will add a shortcut to free XXX links on your desktop. Do you want to continue?.
Pokud u₧ivatel zvolφ ANO, Φerv vytvo°φ na ploÜe zßstupce s odkazem na xxx "sajtnu". Krom∞ toho sv∙j skript uklßdß do hlavnφho adresß°e vÜech p°ipojen²ch sφ¥ov²ch disk∙. Pro odesφlßnφ svΘ kopie prost°ednictvφm emailu vyu₧φvß Φerv "knihu adres" aplikace MS Outlook. Emailovß zprßva s Φervem mß subjekt: Check this a text: Have fun with these links.. V p°φloze je samoz°ejm∞ p°ipojen soubor s Φervem - LINKS.VBS.

VBS/Kakworm


Op∞t Φerv, kter² tentokrßt dostal jmΘno Kakworm. Kakworm je druh²m Φervem (po Bubbleboy), kter² vyu₧φvß "dφry" v aplikaci Microsoft Outlook. K infekci systΘmu tak staΦφ pouze otev°φt (nebo preview) emailovou zprßvu, kde se Kakworm nachßzφ p°φmo v k≤du HTML (v podob∞ vlo₧enΘho VBScriptu). Pokud dojde k infekci systΘmu, Φerv se postarß o dalÜφ replikaci tφm, ₧e svoje t∞lo vklßdß automaticky do vÜech odesφlan²ch emailov²ch zprßv. ╚erva Kakworm lze rozpoznat podle soubor∙ KAK.HTA a KAK.HTM, kterΘ vytvß°φ v adresß°i s Windows. Na zaΦßtku ka₧dΘho m∞sφce (po 17:00) vypφÜe Φerv zprßvu a ukonΦφ chod Windows.

Zdroj: CHIP CD, VirovΘ novinky

Win95/Anxiety (.1358,.1823)


NebezpeΦn² rezidentnφ virus (jako VxD ovladaΦ). Infikuje NewExe PE soubory (Windows 95). Kdy₧ je infikovan² soubor spuÜt∞n, virus zjistφ mφsto v kernelu (v VMM ovladaΦi), a sßm sebe tam zkopφruje. Pak p°esm∞ruje IFS API. Kdy₧ jsou NewEXE soubory otev°eny, virus je infikuje. B∞hem infekce virus sßm sebe p°ipojφ na konec souboru a modifikuje hlaviΦku, tak aby p°evzal virus kontrolu nad souborem jako prvnφ (pokud je spuÜt∞n). Ve viru je umφst∞na °ada text∙:

Varianta Win95/Anxiety.1358:
Anxiety.Poppy.95 by VicodinES
Varianta Win95/Anxiety.1823
Anxiety.Poppy.II by VicodinES
 ...feel the pain, mine not yours!

 all alone and I don't understand
 a cry for help and no one answers
 will I last for more than a week
 will I taste the gunpowder
 can I end it all and make it easy
 is it sick to ask | is it safe to cry
 will I be gone soon
 will I last
 will you care
 will I?
 --
 if you don't hear from me in a while -
 say a prayer for me because I have left, never to return.
 --
 peaceful goodnight, hopefully...
 Vic
 --

Win95/CIH


Jednß se o rezidentnφ virus napadajφcφ soubory PE EXE. Funguje tedy pod systΘmy Windows 95 a Windows 98. Nenφ schopen provozu pod systΘmem Windows NT. InfikovanΘ soubory majφ stejnou dΘlku jako p°ed infekcφ (dφky tomu, ₧e napadß volnΘ prostory mezi jednotliv²mi sekcemi). Virus se objevil na zaΦßtku Φervna 98, a pochßzφ z Tai-Wanu. Za n∞kolik dn∙ se objevily hlßÜenφ i z jin²ch stßt∙ (Francie, N∞mecko, Holadsko, èvΘdsko, ╚φna, Israel, Australie).
Na strßnkßch slovenskΘ spoleΦnosti ESET se objevila o viru Win32.CIH zajφmavß zprßva:
"K rozÜφreniu vφrusu doÜlo zßmern²m nakazenφm pirßtskej verzie hry MechCommander ktor· uviedla do obehu warez skupina DIVINE a "trainer" utility k hre Mortal Kombat 4 od skupiny Warior. Pod╛a neoveren²ch sprßv m⌠₧u by¥ nakazenΘ aj "trainer" utility k hrßm Ancient Evil a Pinball Soccer 98".
Virus obsahuje velmi zßke°nou destruktivnφ akci. Podle varianty p°episuje "smetφm" pam∞t Flash-BIOS, kterß je souΦßstφ vÜech modern∞jÜφch zßkladnφch desek (motherboards). Zßkaz p°φstupu do tΘto pam∞ti lze ovlivnit p°epφnaΦi (jumpery) DIP. Standardn∞ b²vß tento zßkaz zßpisu vypnut.
Krom∞ toho ve stejn² moment p°episuje data i na VaÜem pevnΘm disku.

Dφky publikovßnφ zdrojov²ch k≤d∙ se objevilo i n∞kolik dalÜφch upraven²ch variant.

DΘlkaTextAktivaΦnφ datum
1003CCIH 1.2 TTIT26.duben
1010CCIH 1.3 TTIT26.duben
1019CCIH 1.4 TATUNG26.ka₧d² m∞sφc

JeÜt∞ detailn∞jÜφ informace lze zφskat ZDE !!!

Win95/Inca


Velmi nebezpeΦn² polymorfnφ virus, kter² napadß EXE a SCR soubory pro Windows 95/98.
Sv∙j dropper umφ posφlat pomocφ IRC a takΘ ho vklßdß do archiv∙ typu ZIP, ARJ, RAR, PAK, LZH a LHA. Takov² dropper mß v₧dy jmΘno slo₧enΘ za Φty° pφsmen, p°φpony COM a je dlouh² cca 17kB.
Umφ takΘ napadnout boot sektor diskety.
Do systΘmovΘho adresß°e Windows vklßdß sv∙j driver FONO98.VXD a modifikuje soubor SYSTEM.INI tak, aby byl driver p°i p°φÜtφm startu poΦφtaΦe zaveden do pam∞ti. Dßle se pokouÜφ najφt a smazat soubor IOSUBSYSHSFLOP.PDR. To mu umo₧≥uje p°evzφt kontrolu operacφ provßd∞n²ch s disketou a napadat diskety.
VypouÜtφ soubor REVENGE.COM, kter² po svΘm spuÜt∞nφ p°epφÜe Φßst konfigurace poΦφtaΦe ulo₧enΘ v pam∞ti CMOS.

Obsahuje text
El Inca virus.
Pro zajφmavost: Je to prvnφ multipartitnφ virus pro Windows 95/98.

Win95/Kenston


Pam∞¥ov∞ nerezidentnφ parazitick² Win32 virus. Je k≤dovßn funkcφ XOR. Po spuÜt∞nφ infikovanΘho programu p°evezme kontrolu a napadne PE EXE soubory v podadresß°φch na aktivnφm disku. Zapisuje se na konec souboru a zv∞tÜuje velikost poslednφ sekce. Tam se zapφÜe a ·pravou adresy vstupnφho bodu (entry point) zajistφ svoje spuÜt∞nφ.

V∞tÜina Φßstφ viru je kompatibilnφ se vÜemi Win32 verzemi: Win32/9x/NT, ale rutina urΦenß k infekci obsahuje n∞kolik chyb. Proto nelze v∞tÜinu infikovan²ch soubor∙ spustit pod systΘmem Windows NT.

Virus obsahuje text:
Boles and Manning are arrogant facists. They have no computer
sk1llz and KENSTON HIGH SCHOOL's computers are 0wn3d.
I AM BACK KOONS YOU MOTHERFUCKER dowN wiTh KenSTON.....
yOU tRIED tO rID yOUrSELf oF mE BefoREbUT fAILED
HAHAHAHAHAHAHAHAHAHAHAHAHAHAHA
Virus taky obsahuje °etezce se jmΘny funkcφ, kterΘ virus pou₧φvß:
LoadLibraryA GetProcAddress FindFirstFileA FindNextFileA FindClose
SetFileAttributesA SetFileTime CreateFileA ReadFile WriteFile
SetFilePointer CloseHandle SetCurrentDirectoryA GetCurrentDirectoryA

Win32/Magistr


Win32:Magistr je velmi nebezpeΦnou kombinacφ wormu a viru, kterß se objevila b∞hem m∞sφce b°ezna 2001. èφ°φ se pomocφ infikovanΘ p°φlohy elektronickΘ poÜty a takΘ napadß programy Windows na lokßlnφch i sdφlen²ch discφch.

Virus obsahuje velmi nep°φjemnou a nebezpeΦnou manipulaΦnφ rutinu: je za urΦit²ch podmφnek schopen vymazat data na pevn²ch discφch, smazat pam∞¥ CMOS a p°epsat pam∞¥ Flash Bios. K tomu pou₧φvß k≤d, kter² je velmi podobn² k≤du viru Win95:CIH. Win32:Magistr je napsßn v programovacφm jazyce Assembler a je dlouh² skoro 30Kb. Vyu₧φvß dv∞ r∙znΘ polymorfnφ metody.

Po spuÜt∞nφ napadenΘho programu se virus instaluje do pam∞ti a pak b∞₧φ na pozadφ. Aktivuje se a₧ po n∞kolika minutßch, tak₧e propojenφ mezi jeho aktivitou a spuÜt∞nφm infikovanΘho programu nenφ na prvnφ pohled z°ejmΘ. Virus se instaluje do systΘmu jako komponenta procesu EXPLORER.EXE. Virus pak nßhodn∞ napadne jeden soubor v adresß°i Windows a zaregistruje tento soubor tak, ₧e je spouÜt∞n p°i ka₧dΘm spuÜt∞nφ Windows.

Virus se pak pokusφ napadnout vÜechny programy typu Win32 PE - nap°ed v adresß°φch Windows a potΘ na vÜech lokßlnφch discφch a pak i na discφch sdφlen²ch v lokßlnφ poΦφtaΦovΘ sφti. Na sdφlen²ch discφch se pokusφ zajistit svoji aktivaci na dan²ch poΦφtaΦφch zßpisem °ßdku s p°φkazem  run= do souboru WIN.INI.

Win32:Magistr napadß soubory PE velice komplikovan²m zp∙sobem. Slo₧it∞ modifikuje vstupnφ bod programu tak, ₧e se b∞h programu nakonec dostane a₧ ke konci souboru, kde se nachßzφ vlastnφ zaÜifrovan² virus.

Virus pak zjiÜ¥uje, jakΘ emailovΘ klienty jsou na danΘm poΦφtaΦi (Outlook Express, Netscape Messenger, Internet Mail and News) nainstalovßny, a p°eΦte z nich seznam emailov²ch adres. Posφlß sßm sebe pomocφ vlastnφ SMTP rutiny. Virem vytvo°enΘ zprßvy nemusφ mφt ₧ßdnΘ t∞lo (tj. neobsahujφ ₧ßdn² text) nebo obsahujφ texty nßhodn∞ shromß₧d∞nΘ ze soubor∙ DOC a TXT, kterΘ virus nalezl na lokßlnφch discφch. To samΘ se t²kß i p°edm∞tu zprßvy. JmΘno p°ipojenΘho souboru je prom∞nnΘ, ale v₧dy mß rozÜφ°enφ EXE nebo SCR.

Win32:Magistr obΦas u₧ivateli ukß₧e svoji p°φtomnost: pokud je kursor myÜi posunut na ikonu na Desktopu, virus ikonu p°emφstφ. Vypadß to pak, ₧e ikona p°ed kursorem uh²bß.

M∞sφc po napadenφ poΦφtaΦe virus spustφ svoji destrukΦnφ rutinu, kterß p°epφÜe vÜechny soubory na lokßlnφch i sdφlen²ch discφch textem "YOUARESHIT". Pod systΘmy Win9x se takΘ pokusφ vymazat pam∞¥ CMOS a p°epsat pam∞¥ Flash Bios.

Pak virus zobrazφ nßsledujφcφ zprßvu:

Another haughty bloodsucker....... YOU THINK YOU ARE GOD , BUT YOU ARE ONLY A CHUNK OF SHIT

Virus obsahuje i "copyright" autora:

ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler.  by: The Judges Disemboweler.  written in Malmo (Sweden)


Zdroj: Alwil software - v²robce antiviru AVAST


Win95/Marburg


Nerezidentnφ polymorfnφ virus (virus p°φmΘ akce), napadajφcφ PE EXE (Portable Executable) soubory. Virus hledß soubory v aktußlnφm adresß°i, v adresß°i SYSTEM a v adresß°i WINDOWS. Jeliko₧ virus obsahuje chyby, nenφ schopen replikace pod systΘmem Windows NT.
Virus se pokouÜφ p°ed infekcφ alokovat pam∞t, kterß je nutnß pro spuÜt∞nφ polymorfnφho generßtoru (motoru). Polymorfnφ motor je prakticky toto₧n² s motorem, pou₧it²m ve viru Win95.HPS (nenφ ani divu, virus toti₧ pochßzφ od stejnΘho autora Griyo Üpan∞lskΘ skupiny 29A). Virus se uklßdß do poslednφ sekce soubor∙. P°ed infekcφ virus sma₧e antivirovΘ soubory: ANTI-VIR.DAT, CHKLIST.MS, AVP.CRC, IVB.NTZ. B∞hem infekce navφc virus kontroluje a nenapadß soubory, jen₧ majφ v nßzvu znak "V" nebo se jmenujφ PANDA, F-PROT Φi SCAN.
V zßvislosti na datumu virus zobrazuje nßhodn∞ umφst∞nΘ "error" ikony (Φerven² k°φ₧ek v bφlΘm koleΦku).
Virus obsahuje °etezce (prvnφ Φßst obsahuje seznam funkcφ, po kterΘ virus hledß:):
GetModuleHandleA GetProcAddress CreateFileA CreateFileMappingA
MapViewOfFile UnmapViewOfFile CloseHandle FindFirstFileA FindNextFileA
FindClose VirtualAlloc GetWindowsDirectoryA GetSystemDirectoryA
GetCurrentDirectoryA SetFileAttributesA SetFileTime DeleteFileA
GetCurrentProcess WriteProcessMemory LoadLibraryA GetSystemTime GetDC
LoadIconA DrawIcon


[ Marburg ViRuS BioCoded by GriYo/29A ]
KERNEL32.dll USER32.dll

ExploreZIP


Worm:ExploreZIP se v ╚esku zaΦal Üφ°it v Φervnu 1999. Worm posφlß sebe sama jako p°φlohu elektronickΘ poÜty pod jmΘnem "ZIPPED_FILES.EXE". Tento soubor je dlouh² p°esn∞ 210432 byt∙. P°edm∞t zprßvy m∙₧e b²t r∙zn² (je to odpov∞∩ na existujφcφ p°edchozφ zprßvu). Zprßva obsahuje nßsledujφcφ anglick² text:
      Hi !  
      I received your email and I shall send you a reply ASAP.  
      Till then, take a look at the attached zipped docs.  

      bye
Po spuÜt∞nφ zmφn∞nΘho souboru se m∙₧e objevit chybovΘ okno s hlßÜenφm o neplatnΘm archφvu ZIP. Worm se pak zkopφruje do systΘmovΘho adresß°e Windows pod jmΘnem EXPLORE.EXE a p°idß jeden °ßdek do souboru WIN.INI, pop°. do registry. To nßsledn∞ zp∙sobφ, ₧e je worm aktivovßn p°i ka₧dΘm startu operaΦnφho systΘmu. Worm pak zφskß e-mailovΘ adresy z poÜtovnφho klienta (pomocφ p°φkazu MAPI nebo z MS Outlook) a posφlß sebe sama na dalÜφ poΦφtaΦe.

Tento worm obsahuje velmi nep°φjemnou manipulaΦnφ rutinu - hledß na dostupn²ch discφch soubory s rozÜφ°enφm .C, .CPP, .H, .ASM, .DOC, .XLS a .PPT a niΦφ je tak, ₧e je zkrßtφ na nulovou dΘlku. To m∙₧e zp∙sobit nevratnΘ ztrßty dat!

Pro odstran∞nφ Worm:ExploreZIP je pod Windows 9x pot°eba smazat soubor EXPLORE.EXE v systΘmovΘm adresß°i Windows a p°ed p°ebootovßnφm odstranit nßsledujφcφ °ßdek ze souboru WIN.INI: run=C:\WINDOWS\SYSTEM\Explore.exe

Pro odstran∞nφ Worm:ExploreZIP je pod Windows NT pot°eba ukonΦit proces se jmΘnem "explore" pomocφ WinNT Task Manageru. Potom pomocφ programu REGEDIT najφt polo₧ku [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] a p°ed p°ebootovßnφm odstranit nßsledujφcφ klφΦ: "run"="C:\\WINNT\\System32\\Explore.exe"
Nakonec sma₧te soubor EXPLORE.EXE v systΘmovΘm adresß°i Windows NT.

Zdroj: Alwil software - v²robce antiviru AVAST


Fix2001


DalÜφ "Φerv" Üφ°φcφ se v p°φloze emailovΘ zprßvy. Pracuje na podobnΘm principu jako Happy99. Po spuÜtenφ souboru FIX2001.EXE (p°φloha) se virus ohlßsφ tabulkou Y2K Ready !! Your Internet Connection is already Y2K, you don't need to upgrade it, ale pak se ji₧ zavede do systΘmu a p°evezme d∙le₧itΘ funkce, kterΘ pot°ebuje k replikaci. Zprßva s infikovanou p°φlohou mß subjekt Internet problem year 2000 a obsahuje dva delÜφ texty v anglickΘm a Üpan∞lskΘm jazyce. Virus Fix2001 hledß dalÜφ emailovΘ adresy v odeslanΘ a p°ijatΘ poÜt∞ a prßv∞ na n∞ odesφlß soubor FIX2001.EXE. Virus Fix2001 obsahuje nep°φjemnou destrukΦnφ akci: pokud dojde ke zm∞n∞ struktury textovΘ Φßsti viru, p°epφÜe soubor C:\COMMAND.COM tak, ₧e p°i dalÜφm restartu poΦφtaΦe dojde ke smazßnφ vÜech soubor∙ na pevnΘm disku.

Zdroj: CHIP CD, VirovΘ novinky

Happy99


Tento virus urΦen² pro Windows se Üφ°φ elektronickou poÜtou jako soubor HAPPY99.EXE o velikosti 10000 byte.

V t∞le viru je viditeln² text:
  begin 644 Happy99.exe
  `
  end

  Happy New Year 1999 !!
Navφc obsahuje zak≤dovanΘ texty:
  Is it a virus, a worm, a trojan?
  MOUT-MOUT Hybrid (c) Spanska 1999.

  \wsock32.dll
  \Ska.dll
  \Ska.exe

  Software\Microsoft\Windows\CurrentVersion\RunOnce
Po spuÜt∞nφ se zkopφruje do systΘmovΘho adresß°e Windows (nejΦast∞ji WINDOWS\SYSTEM)jako SKA.EXE. V tomto adresß°i takΘ vytvo°φ soubor SKA.DLL o velikosti 8192 byte. Obsah tohoto souboru si virus nese v zak≤dovanΘ a ΦßsteΦn∞ komprimovanΘ podob∞ ve vlastnφm t∞le. Virus modifikuje knihovnu WSOCK32.DLL tak, aby p°i volßnφ slu₧eb CONNECT a SEND byl aktivovßn k≤d virovΘ knihovny SKA.DLL, kter² p°ipojφ k odesφlanΘmu souboru jako attach vlastnφ virus. Napaden² soubor WSOCK32.DLL mß nezm∞n∞nou dΘlku, proto₧e virus vyu₧φvß prßzdnß mφsta ve struktu°e soubor∙ PE-EXE. Pokud volnΘ mφsto v sekci .text nenφ alespo≥ 202 byte, knihovna nebude infikovßna a virus se nebude Üφ°it. Napaden² soubor WSOCK32.DLL mß nastaven² niÜ₧φ byte CRC v EXE headeru na hodnotu 7Ah. P∙vodnφ obsah tohoto souboru je zkopφrovßn do souboru WSOCK32.SKA.

V p°φpad∞, ₧e je v okam₧iku aktivace viru knihovna WSOCK32.DLL pou₧φvßna systΘmem a nenφ p°φstupnß pro zßpis, naplßnuje virus svΘ spuÜt∞nφ p°i dalÜφm staru Windows tak, ₧e v registry zapφÜe jmΘno SKA.EXE do klφΦe
Software\Microsoft\Windows\CurrentVersion\RunOnce

Po napadenφ systΘmu virus zobrazφ okno, ve kterΘm vßs pot∞Üφ skromn∞ vyveden²m oh≥ostrojem.

Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG


Hybris.B


╚erv, pohrßvajφcφ si se souborem WINDOWS\SYSTEM\WSOCK32.DLL, dφky Φemu₧ se dokß₧e Üφ°it prost°ednictvφm e-mail∙ na dalÜφ poΦφtaΦe. ╚erv si s sebou nese n∞kolik tzv. "plug-in∙". Ty se mohou liÜit v zßvislosti na variant∞ Φerva. Dφky jednomu "plug-inu" tak Hybris dokß₧e infikovat archivy ZIP/RAR, do kter²ch vklßdß dropper - {p∙vodnφ}.EXE p°ejmenuje na {p∙vodnφ}.EX$ a sebe ulo₧φ do {p∙vodnφ}.EXE. Jednß se tedy zßrove≥ o doprovodn² virus (companion virus). Infikovan² e-mail m∙₧ete poznat nßsledovn∞:

Subjekt zprßvy:
Snowhite and the Seven Dwarfs - The REAL story!

Text zprßvy:
polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter...

Varianta B se aktivuje 24. zß°φ, nebo v poslednφ minut∞ ka₧dΘ hodiny v roce 2001. Na obrazovce se objevφ animovanß spirßla.

Irok


╚erv. èφ°φ se v p°φloze emailov²ch zprßv a prost°ednictvφm IRC kanßl∙ - v souboru IROK.EXE. Kupodivu se jednß o p∙vodnφ EXE soubor, kter² je spustiteln² i pod samotn²m DOSem (nejednß se o PE EXE). Pokud Vßm p°ijde emailovß zprßva se subjektem "I thought you might like to see this." a se souborem IROK.EXE v p°φloze, mßte tu Φest se s mutantem "Irokem" setkat osobn∞. Pokud dojde ke spuÜt∞nφ tΘto p°φlohy, Φerv se ubytuje v poΦφtaΦi. VypuÜt∞n² soubor IROKRUN.VBS se postarß o rozeslßnφ kopie souboru IROK.EXE dalÜim 60 lidem, kte°φ jsou uvedeni v "knize adres" aplikace MS Outlook. Ve stejnou chvilku zaΦne Irok infikovat i n∞kterΘ soubory na pevnΘm disku. V tomto p°φpad∞ jde o HLL nerezidentnφ virus, kter² napadß COM a EXE soubory, kterΘ vyhledßvß v adresß°φch, jen₧ jsou uvedeny v prom∞nnΘ PATH (nap°. v AUTOEXEC.BAT). P°i infekci souboru p°esune prvnφch 10 KB dat na konec a do vzniklΘho prostoru ulo₧φ svoje stejn∞ dlouhΘ t∞lo. Pro infekci je tak pou₧ita z°ejm∞ nejjednoduÜÜφ metoda - nenφ nutnΘ m∞nit ·daje v hlaviΦce u EXE. ╚erv Irok krom∞ toho ma₧e n∞kterΘ soubory, kterΘ antiviry vyu₧φvajφ pro testy typu: "kontrola integrity" a obΦas zobrazφ i n∞jakou tu zprßvu.

Zdroj: CHIP CD, VirovΘ novinky

LoveLetter.A


╚erv I_LOVE_YOU (LoveLetter) se Üφ°φ v e-mailech, ke kter²m se p°ipojuje ve form∞ souboru LOVE-LETTER-FOR-YOU.TXT.VBS (kolem 10 KB). Subjekt "infikovanΘ" e-mailovΘ zprßvy znφ: "ILOVEYOU". V t∞le zprßvy je obsa₧en text: "kindly check the attached LOVELETTER coming from me.". "Dvojitß" p°φpona u souboru mß za nßsledek, ₧e v n∞kter²ch klientech ji₧ neni Φßst za druhou teΦkou viditelnß. Takov² soubor se pak tvß°φ jako obyΦejn² textov² soubor (TXT), ve skuteΦnosti vÜak obsahuje "zr∙dnost" I_LOVE_YOU. Pro Üφ°enφ pot°ebuje program MS Outlook (odtud bere e-mailovΘ adresy dalÜφch ob∞tφ, na kterΘ se automaticky rozeÜle) a nainstalovanou podporu WSH - Windows Scripting Host (aby bylo mo₧nΘ pou₧φvat VBS). Po spuÜt∞nφ souboru LOVE-LETTER-FOR-YOU.TXT.VBS se Φerv "usadφ" v systΘmu. Vytvo°φ novΘ klφΦe v registrech:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

V adresß°i C:\WINDOWS\SYSTEM pak vytvo°φ soubory MSKERNEL32.VBS a Win32DLL.VBS. Na pevn²ch i sφ¥ov²ch discφch vyhledßvß soubory s p°φponou VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, jejich₧ obsah p°epφÜe sv²m t∞lem a p°φponu zm∞nφ na VBS. V p°φpad∞ soubor∙ s p°φponou JPG Φi JPEG je vytvo°ena "dvojitß" p°φpona - p∙vodnφ + .VBS. JedinΘ soubory s p°φponou MP2 a MP3 o kterΘ se virus zajφmß, z∙stanou uÜet°eny: Φerv toti₧ nejprve vytvo°φ kopie t∞chto soubor∙ - ty pak nßsledn∞ p°epφÜe vlastnφm t∞lem a vytvo°φ na nich "dvojitou" p°φponu (p∙vodnφ_nßzev.MP3.VBS). Pokud neexistuje soubor C:\WINDOWS\WINFAT32.EXE, nastavφ domovskou strßnku Internet Exploreru tak, aby ze serveru http://www.skyinet.net stahoval soubor WIN-BUGSFIX.EXE. Tento soubor obsahuje dalÜφ v²tvor - trojskΘho kon∞. Po aktivaci se tento trojan usadφ prßv∞ do souboru WINFAT32.EXE a n∞kam na Filipφny se sna₧φ p°es e-mail odesφlat nakradenß data (u₧ivatelskΘ jmΘno, IP, hesla atd.). ╚erv I_LOVE_YOU m∙₧e dorazit i p°es IRC...

LoveLetter.E


Subjekt: Dangerous Virus Warning,
text zprßvy: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.,
p°φloha: virus_warning.jpg.vbs.

MTX


Win32/MTX je virem/Φervem a backdoor trojanem dohromady. Je schopen se Üφ°it pod systΘmy Win32. Napadß ostatnφ programy, instaluje backdoor trojan pro download dalÜφch Φßstφ z Internetu a takΘ se pokouÜφ posφlat sebe sama pomocφ elektronickΘ poÜty.

Po spuÜt∞nφ virus instaluje worm a trojskΘho kon∞ do systΘmu. Tyto Φßsti jsou pak spouÜt∞ny jako samostatnΘ programy. Virus zkoumß p°φtomnost n∞kolika znßm²ch antivirov²ch program∙, a pokud je nalezne, na danΘm systΘmu se neÜφ°φ. Jinak vytvo°φ v adresß°i Windows nßsledujφcφ t°i soubory:

Virus pak infikuje vÜechny soubory PE files v prßv∞ platnΘm adresß°i a v adresß°i Windows. Virus nem∞nφ vstupnφ bod hostitelskΘho programu, ale doprost°ed k≤du p°idß skok na sebe. Sna₧φ se tak ztφ₧it svoji detekci a p°φpadnΘ odstran∞nφ. 

Worm vyu₧φvß pro posφlßnφ sebe sama stejnou technologii jako nechvaln∞ znßm² Win32/Ska. Pracuje s modifikovan²m souborem WSOCK32.DLL a mß plnou kontrolu nad tφm, k Φemu se p°istupuje a kam se co posφlß e-mailem. Blokuje p°φstup a posφlßnφ zprßv na n∞kolik (antivirov²ch) domΘn (nii, nai, avp, f-se, mapl, pand, soph, ndmi, afee, yenn, lywa, tbav, yman) a navφc blokuje posφlßnφ zprßv do dalÜφch domΘn (wildlist.o*, il.esafe.c*, perfectsup*, complex.is*, HiServ.com*, hiserv.com*, metro.ch*, beyond.com*, mcafee.com*, pandasoftw*, earthlink.*, inexar.com*, comkom.co.*, meditrade.*, mabex.com *, cellco.com*, symantec.c*, successful*, inforamp.n*, newell.com*, singnet.co*, bmcd.com.a*, bca.com.nz*, trendmicro*, sophos.com*, maple.com.*, netsales.n* and f-secure.c*).

Worm posφlß v²Üe zmφn∞n² soubor WIN32.DLL ve zvlßÜtnφ samostatnΘ zprßv∞ pro ka₧dou odeslanou zprßvu. Tato zprßva nemß ₧ßdn² P°edm∞t ani text a p°ipojen² soubor mß jedno z nßsledujφcφch jmen (soubory PIF jsou spouÜt∞ny pomocφ dvojkliku!):

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Trojsk² k∙≥ se instaluje pomocφ manipulace s Registry a z∙stßvß aktivnφ jako service. PokouÜφ se z Internetu stßhnout a nainstalovat dalÜφ programy. Originßlnφ verze ale nepracuje ·pln∞ korektn∞. Trojan pro svoji aktivaci s ka₧d²m spuÜy∞nφm Windows vyu₧φvß nßsledujφcφ klφΦ:

HKLM\Software\Microsoft\Windows\Current\Version\Run\SystemBackup

Vlastnφ virus obsahuje nßsledujφcφ texty:

SABI┴.b ViRuS
  Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
  Greetz: All VX guy in #virus and Vecna for help us
  Visit us at:
  http://www.coderz.net/matrix

Worm obsahuje nßsledujφcφ texty:

Software provide by [MATRiX] VX team:
  Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
  Greetz:
  All VX guy on #virus channel and Vecna
  Visit us: www.coderz.net/matrix

Trojan obsahuje nßsledujφcφ texty:

Software provide by [MATRiX] team:
  Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
  Greetz:
  Vecna 4 source codes and ideas

Zdroj: Alwil software - v²robce antiviru AVAST


Navidad


I-Worm/Navidad je dalÜφ z worm∙ rozesφlajφcφch se emailem - zaslan² soubor se jmenuje Navidad.exe a mß ikonu, kterß vypadß jako "Φßrov² k≤d". Po spuÜt∞nφ zaslanΘ p°φlohy se nakopφruje do systΘmovΘho adresß°e Windows pod jmΘnem winsvrc.vxd a do klφΦe HKCR\exefile\shell\open\command se pokusφ nastavit svΘ spouÜt∞nφ (podobn² trik pou₧φvß PrettyPark). Vloudila se tam ale drobnß chybiΦka a I-Worm/Navidad se zaregistruje jako winsvrc.exe, nikoliv jako winsvrc.vxd. Dφky tomu skonΦφ pokus o spuÜt∞nφ jakΘhokoliv EXE souboru chybov²m hlßÜenφm s textem "UI". SvΘ spouÜt∞nφ po startu Windows zajistφ vytvo°enφm klφΦe Win32BaseServiceMOD v HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\, kam dß odkaz na sebe. Krom∞ toho si jeÜt∞ vytvo°φ klφΦ HKCU\SOFTWARE\Navidad. Na taskbaru si d∞lß ikonku s oΦiΦkem a reaguje na manipulaci s nφm. Pou₧φvß p°i tom tyto Üpan∞lskΘ texty:


Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG


PrettyPark


PrettyPark se Üφ°φ prost°ednictvφm infikovan²ch soubor∙, kterΘ p°ipojuje k odesφlan²m emailov²m zprßvßm. P°ipojen² a infikovan² soubor mß nßzev "PrettyPark.EXE" Prvnφ starÜφ varianta je dlouhß 37376 bajt∙ (komprese WWPack32). Nov∞jÜφ varianta komprimovanß nenφ - je dlouhß 60928 bajt∙. Po spuÜt∞nφ p°φlohy - souboru se m∙₧e aktivovat spo°iΦ obrazovky "3D potrubφ". Krom∞ toho vytvß°φ v adresß°i WINDOWS\SYSTEM soubor FILES32.VXD a modifikuje registry tak, aby doÜlo k automatickΘmu spuÜt∞nφ jmenovanΘho souboru p°i ka₧dΘm startu Windows. Ka₧d²ch t°icet minut se pak sna₧φ automaticky odeslat emailovou zprßvu s infikovanou p°φlohou lidem, kte°φ jsou uvedeny v knize adres "majlovacφho" programu.

Sircam.A


DalÜφ roztomil² mazlφΦek se zaΦal Üφ°it vΦera rßno (naÜeho Φasu). Jde o cca 134kB bubmbrdlφΦka napsanΘho v Delphi.

Soud∞ dle zaÜifrovan²ch text∙ pochßzφ z Mexika: 

   [SirCam Version 1.0 Copyright (c) 2001 2rP
   Made in / Hecho en - Cuitzeo, Michoacan Mexico]

Tento text mimochodem obsahuje i v pon∞kud "odtuΦn∞nΘ" verzi:

   [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

Posφlß se mailem, kter² mß jako subject jmΘno p°ilo₧enΘho souboru a jeho₧ text sestavuje z t∞chto v∞t:

   Hi! How are you?
   See you later. Thanks
   I send you this file in order to have your advice
   I hope you can help me with this file that I send
   I hope you like the file that I sendo you
   This is the file with the information that you ask for

Pokud mß u₧ivatel ve Windows jako preferovan² jazyk nastavenou Üpan∞lÜtinu, tak se tomu virus p°izp∙sobφ:

   Hola como estas ?
   Nos vemos pronto, gracias.
   Te mando este archivo para que me des tu punto de vista
   Espero me puedas ayudar con el archivo que te mando
   Espero te guste este archivo que te mando
   Este es el archivo con la informacion que me pediste

P°ilo₧en² soubor je vytvo°en z vlastnφho t∞la wormu, za kter²m je p°ipojen nßhodn∞ vybran² soubor (archφv, dokument, spustiteln² soubor) pochßzejφcφ z infikovanΘho poΦφtaΦe. P∙vodnφ jmΘno je zachovßno, worm si pouze p°ipojφ dalÜφ p°φponu (pif, lnk, bat nebo com).

Po spuÜt∞nφ se Sircam nakopφruje do n∞kolika r∙zn²ch adresß°∙ pod r∙zn²mi jmΘny:

   SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe,
   Microsoft Internet Office.exe a rundll32.exe

PotΘ zrekonstruuje kopii dokumentu, pod jeho₧ jmΘnem dorazil a pokud jde o EXE file, tak ho rovnou spustφ (ve snaze neb²t p°φliÜ nßpadn²). Pro ostatnφ typy souboru se pokusφ v

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\

najφt vhodnou aplikaci k otev°enφ: Winzip pro .ZIP soubory, Excel pro .XLS a WinWord (nebo alespo≥ WordPad) pro .DOC.

SvΘ pravidelnΘ spouÜt∞nφ p°i startu poΦφtaΦe se sna₧φ si zajistit zßpisem do hodnoty Driver32 klφΦe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

a modifikacφ klφΦe

HKCR\exefile\shell\open\command

(stejn² trik pou₧φvß nap°φklad I-Worm/PrettyPark).

Jako v∞tÜina nov∞jÜφch vir∙ se i tento umφ Üφ°it po sdφlen²ch discφch v rßmci lokßlnφ sφt∞. Na namapovan²ch discφch preferuje adresß°e \recycled a \windows a svΘ spouÜt∞nφ se pokusφ zajistit vlo₧enφm °ßdky @win a odkazem na virus do \autoexec.bat nebo tφm, ₧e zam∞nφ systΘmov² soubor rundll32.exe svou kopii.

I-Worm/Sircam.A obsahuje n∞kolik Ükodliv²ch rutin. 16.°φjna m∙₧e vymazat vÜechny soubory na disku C:, pop°φpad∞ v adresß°i C:\RECYCLED vytvo°φ soubor sircam.sys, do kterΘho zapisuje text 

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
pop°φpad∞ 
[SirCam Version 1.0 Copyright (c) 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
tak dlouho, a₧ dojde k vyΦerpßnφ volnΘho mφsta na disku.


Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG


Verona.A


Jednoduch² Φerv polskΘho p∙vodu, kter² se rozesφlß ve zprßvßch s t∞mito p°edm∞ty:
Zprßva je v HTML formßtu a obsahuje skript, kter² otevφrß p°ilo₧en² soubor MYJULIET.CHM. Tento soubor nßpov∞dy z∙stane po svΘm otev°enφ na obrazovce minimalizovßn a v n∞m obsa₧en² k≤d spouÜtφ dalÜφ p°ilo₧en² soubor - MYROMEO.EXE.
To je vlastnφ k≤d wormu (je napsßn v Delphi a komprimovßn pomocφ UPX), kter² po svΘm spuÜt∞nφ vyrobφ a rozeÜle infikovanΘ maily na adresy z adresß°e Outlooku.
Jakmile s rozesφlßnφm skonΦφ, tak najde v pam∞ti b∞₧φcφ kopii souboru HH.EXE a ukonΦφ jejφ Φinnost. Tento program slou₧φ k zpracovßnφ .CHM soubor∙ a virus tak zruÜφ proces, kter² poslou₧il k jeho spuÜt∞nφ - MYJULIET.CHM.
Pro rozesφlßnφ mail∙ se sna₧φ pou₧φt Üest polsk²ch SMTP server∙, kterΘ jsou Üpatn∞ nakonfigurovßny a mohou komukoliv poslou₧it k odeslßnφ zprßvy.

Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG


Verona.B


Jednoduch² Φerv polskΘho p∙vodu, kter² se rozesφlß ve zprßvßch s t∞mito p°edm∞ty:
Zprßva je v HTML formßtu a obsahuje skript, kter² otevφrß p°ilo₧en² soubor xjuliet.CHM. Tento soubor nßpov∞dy obsahuje k≤d, kter² spouÜtφ dalÜφ p°ilo₧en² soubor - XROMEO.EXE.
╚erv je na infikovanΘm poΦφtaΦi ulo₧en v souboru C:\Windows\sysrnj.exe.
To je vlastnφ k≤d Φerva (je napsßn v Delphi a komprimovßn pomocφ UPX), kter² po svΘm spuÜtenφ vyrobφ a rozeÜle infikovanΘ maily na adresy z adresß°e Outlooku.
Aby zv²Üil svΘ Üance na Üφ°enφ, zaregistruje se jako asociovan² program k t∞mto p°φponßm:
Pokud nynφ dvakrßt kliknete na soubor s jednou s t∞chto p°φpon, mφsto sprßvnΘho programu se spustφ Φerv, kter² p°epφÜe obsah tohoto souboru sebou sam²m a ke jmΘnu p°idß ".exe". Tedy nap°φklad mujdoc.doc p°ejmenuje na mujdoc.doc.exe a mφsto dokumentu nynφ obsahuje pouze virus.
Velmi nep°φjemnß v∞c je registrace .exe p°φpony. Pokud toti₧ sma₧ete soubor sysrnj.exe, nelze nynφ spustit jak²koli .exe soubor. Podobnß situace nastßvß s Φervem Navidad. Pro sprßvnΘ odstran∞nφ je nutnΘ opravit zßznam v registrech a to: klφΦ "HKCR\.exe\(Default)" opravit na "exefile" Nynφ je mo₧nΘ smazat soubor sysrnj.exe.
Ostatnφ registrovanΘ p°φpony vÜak nelze jednoduÜe opravit, nebo¥ nelze °φct, ke kterΘmu programu p°φsluÜely. Je nutno ruΦn∞ obnovit registraci a to bu∩to v nastavenφ programu nebo nap°φklad pomocφ Pr∙zkumnφka.
Pro rozesφlßnφ mailu se sna₧φ pou₧φt 18 polsk²ch SMTP server∙, kterΘ jsou Üpatn∞ nakonfigurovßny a mohou komukoliv poslou₧it k odeslßnφ zprßvy.

Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG


Code Red


CodeRed je klasick²m Internetov²m wormem. Napadß Microsoft IIS Web Servery, kterΘ nemajφ aplikovßnu poslednφ zßplatu (patch). Äßdn²m zp∙sobem NENAPAD┴ u₧ivatelskΘ poΦφtaΦe a pracovnφ stanice, kterΘ neprovozujφ zmφn∞n² Web Server! Worm existuje pouze v pam∞ti poΦφtaΦe, nikdy nenφ ₧ßdn²m zp∙sobem ulo₧en do souboru na disku! Worm vyu₧φvß znßmou bezpeΦnostnφ dφru s p°eteΦenφm zßsobnφku v produktu Microsoft IIS Web Server. Microsoft o tomto problΘmu ji₧ delÜφ dobu vφ a v Φervnu 2001 zve°ejnil bezpeΦnostnφ zßplatu (http://www.microsoft.com/technet/security/bulletin/MS01-033.asp), kterß zmφn∞n² problΘm odstra≥uje.

CodeRed posφlß sebe sama jako po₧adavek HTTP, p°eteΦenφ zßsobnφku ale zp∙sobφ spuÜt∞nφ k≤du wormu na cφlovΘm poΦφtaΦi. Worm je spuÜt∞n p°φmo v pam∞ti a nenφ uklßdßn do ₧ßdnΘho souboru.

Pokud je systΘmovΘ datum nastaveno na den p°ed 20. dnem v m∞sφci, worm spustφ 99 nov²ch thrad∙, kterΘ se sna₧φ vyhledat dalÜφ vhodnΘ ob∞ti. Worm zkouÜφ nßhodn∞ vybranΘ IP adresy. Pokud na napadenΘm poΦφtaΦi existujφ anglickΘ webovΘ strßnky, worm je po dvou hodinßch zaΦne znep°φstup≥ovat tak, ₧e na p°φchozφ HTTP po₧adavky posφlß sv∙j vlastnφ k≤d HTMLs nßsledujφcφm textem: 

                Welcome to http:// www.worm.com ! 
                Hacked By Chinese!

Pokud je systΘmovΘ datum nastaveno mezi 20. a 28. dnem v m∞sφci, worm se pokouÜφ provßd∞t DoS ·tok (Denial of Service) na specißlnφ IP adresu tak, ₧e posφlß velkΘ mno₧stvφ dat na port 80 (Web service). Jednß se o IP adresu 198.137.240.91, kterou a₧ do 20. Φervence pou₧φval Bφl² d∙m: www.whitehouse.gov. Tato IP adresa (kterß je p°φmo zapsßna v k≤du wormu) byla potΘ zm∞n∞na a v souΦasnosti nenφ aktivnφ.

Pokud je systΘmovΘ datum nastaveno na den po 28. dni v m∞sφci, worm se ulo₧φ do inaktivnφho stavu na obdobφ 24 dnφ a 20 hodin. Proto₧e tato perioda p°ekr²vß obdobφ, ve kterΘm se mno₧φ, worm se ji₧ nikdy mno₧it nebude. V²jimku mohou zp∙sobit poΦφtaΦe, kterΘ majφ chybn∞ nastaveno systΘmovΘ datum. Jedin² takov² poΦφtaΦ vÜak m∙₧e spustit novou vlnu infekce.

Odstran∞nφ:

  • Stßhn∞te a aplikujte bezpeΦnostnφ zßplatu, kterß se nachßzφ na: http://www.microsoft.com/technet/security/bulletin/MS01-033.asp.
  • Restartujte poΦφtaΦ.

    Varianty:

    CodeRedII (CodeRed.c):

    V sobotu 4.8. 2001 se na Internetu objevila novß varianta wormu CodeRed. Tato varianta pou₧φvß pro svoje Üφ°enφ stejnou bezpeΦnostnφ dφru jako p∙vodnφ worm. Napadß poΦφtaΦe, na nich₧ je instalovßn Microsot IIS Web Server bez opravnΘ zßplaty (patch). Z infikovanΘho poΦφtaΦe se posφlß intenzivn∞ji ale po kratÜφ dobu. Nov² worm je nebezpeΦn² zejmΘna tφm, ₧e do napadenΘho poΦφtaΦe instaluje jin² program: trojskΘho kon∞, kter² pak m∙₧e fungovat jako zadnφ vrßtka a m∙₧e umo₧nit neautorizovan² vstup do napadenΘho systΘmu. O p∙lnoci dne 1. °φjna se worm nav₧dy deaktivuje. Worm na rozdφl od p∙vodnφ varianty nepodstrkßvß u₧ivatel∙m modifikovanΘ WWW strßnky, neprovßdφ distribuovan² ·tok na jedin² poΦφtaΦ (Bφl² d∙m), jeho jedin²m cφlem je dostateΦn∞ rozÜφ°it poΦet poΦφtaΦ∙ se zadnφmi vrßtky do systΘmu. Pokud se mu poda°φ napadnout podobn² poΦet poΦφtaΦ∙ jako p∙vodnφmu wormu (kolem 300 000), pak m∙₧e b²t vß₧n∞ ohro₧ena integrita Internetu: tak velk² poΦet server∙, nad nimi₧ m∙₧e mφt kontrolu t°etφ strana, znamenß obrovskΘ bezpeΦnostnφ riziko. Sprßvci takov²ch systΘm∙ navφc nemohou mφt jistotu, zda jim pomocφ t∞chto zadnφch vrßtek n∞kdo nep°idal do systΘmu n∞co dalÜφho. A tak zatφmco proti p∙vodnφmu wormu staΦilo uplatnit p°φsluÜnou zßplatu a server p°estartovat, v tomto p°φpad∞ je nejspolehliv∞jÜφ metodou p°eformßtovßnφ disku a novß kompletnφ instalace systΘmu.


    Zdroj: Alwil software - v²robce antiviru AVAST