Popisy virů

Viry pro Windows 9x/NT

Pokud není jinak uvedeno, informace jsou přeloženy z AVP Virus Encyclopedie (www.avp.ch/avpve).

VBS/FreeLink


Další červ, tentokrát napsaný ve VBScriptu. Pro svůj chod potřebuje podporu WSH. Freelink se šíří prostřednictvím e-mailových zpráv, ale i IRC kanálů. Po spuštění souboru LINKS.VBS červ modifikuje registry a nainstaluje se do adresáře SYSTEM ve Windows. Pak se zeptá: This will add a shortcut to free XXX links on your desktop. Do you want to continue?.
Pokud uživatel zvolí ANO, červ vytvoří na ploše zástupce s odkazem na xxx "sajtnu". Kromě toho svůj skript ukládá do hlavního adresáře všech připojených síťových disků. Pro odesílání své kopie prostřednictvím emailu využívá červ "knihu adres" aplikace MS Outlook. Emailová zpráva s červem má subjekt: Check this a text: Have fun with these links.. V příloze je samozřejmě připojen soubor s červem - LINKS.VBS.

VBS/Kakworm


Opět červ, který tentokrát dostal jméno Kakworm. Kakworm je druhým červem (po Bubbleboy), který využívá "díry" v aplikaci Microsoft Outlook. K infekci systému tak stačí pouze otevřít (nebo preview) emailovou zprávu, kde se Kakworm nachází přímo v kódu HTML (v podobě vloženého VBScriptu). Pokud dojde k infekci systému, červ se postará o další replikaci tím, že svoje tělo vkládá automaticky do všech odesílaných emailových zpráv. Červa Kakworm lze rozpoznat podle souborů KAK.HTA a KAK.HTM, které vytváří v adresáři s Windows. Na začátku každého měsíce (po 17:00) vypíše červ zprávu a ukončí chod Windows.

Zdroj: CHIP CD, Virové novinky

Win95/Anxiety (.1358,.1823)


Nebezpečný rezidentní virus (jako VxD ovladač). Infikuje NewExe PE soubory (Windows 95). Když je infikovaný soubor spuštěn, virus zjistí místo v kernelu (v VMM ovladači), a sám sebe tam zkopíruje. Pak přesměruje IFS API. Když jsou NewEXE soubory otevřeny, virus je infikuje. Během infekce virus sám sebe připojí na konec souboru a modifikuje hlavičku, tak aby převzal virus kontrolu nad souborem jako první (pokud je spuštěn). Ve viru je umístěna řada textů:

Varianta Win95/Anxiety.1358:
Anxiety.Poppy.95 by VicodinES
Varianta Win95/Anxiety.1823
Anxiety.Poppy.II by VicodinES
 ...feel the pain, mine not yours!

 all alone and I don't understand
 a cry for help and no one answers
 will I last for more than a week
 will I taste the gunpowder
 can I end it all and make it easy
 is it sick to ask | is it safe to cry
 will I be gone soon
 will I last
 will you care
 will I?
 --
 if you don't hear from me in a while -
 say a prayer for me because I have left, never to return.
 --
 peaceful goodnight, hopefully...
 Vic
 --

Win95/CIH


Jedná se o rezidentní virus napadající soubory PE EXE. Funguje tedy pod systémy Windows 95 a Windows 98. Není schopen provozu pod systémem Windows NT. Infikované soubory mají stejnou délku jako před infekcí (díky tomu, že napadá volné prostory mezi jednotlivými sekcemi). Virus se objevil na začátku června 98, a pochází z Tai-Wanu. Za několik dnů se objevily hlášení i z jiných států (Francie, Německo, Holadsko, Švédsko, Čína, Israel, Australie).
Na stránkách slovenské společnosti ESET se objevila o viru Win32.CIH zajímavá zpráva:
"K rozšíreniu vírusu došlo zámerným nakazením pirátskej verzie hry MechCommander ktorú uviedla do obehu warez skupina DIVINE a "trainer" utility k hre Mortal Kombat 4 od skupiny Warior. Podľa neoverených správ môžu byť nakazené aj "trainer" utility k hrám Ancient Evil a Pinball Soccer 98".
Virus obsahuje velmi zákeřnou destruktivní akci. Podle varianty přepisuje "smetím" pamět Flash-BIOS, která je součástí všech modernějších základních desek (motherboards). Zákaz přístupu do této paměti lze ovlivnit přepínači (jumpery) DIP. Standardně bývá tento zákaz zápisu vypnut.
Kromě toho ve stejný moment přepisuje data i na Vašem pevném disku.

Díky publikování zdrojových kódů se objevilo i několik dalších upravených variant.

DélkaTextAktivační datum
1003CCIH 1.2 TTIT26.duben
1010CCIH 1.3 TTIT26.duben
1019CCIH 1.4 TATUNG26.každý měsíc

Ještě detailnější informace lze získat ZDE !!!

Win95/Inca


Velmi nebezpečný polymorfní virus, který napadá EXE a SCR soubory pro Windows 95/98.
Svůj dropper umí posílat pomocí IRC a také ho vkládá do archivů typu ZIP, ARJ, RAR, PAK, LZH a LHA. Takový dropper má vždy jméno složené za čtyř písmen, přípony COM a je dlouhý cca 17kB.
Umí také napadnout boot sektor diskety.
Do systémového adresáře Windows vkládá svůj driver FONO98.VXD a modifikuje soubor SYSTEM.INI tak, aby byl driver při příštím startu počítače zaveden do paměti. Dále se pokouší najít a smazat soubor IOSUBSYSHSFLOP.PDR. To mu umožňuje převzít kontrolu operací prováděných s disketou a napadat diskety.
Vypouští soubor REVENGE.COM, který po svém spuštění přepíše část konfigurace počítače uložené v paměti CMOS.

Obsahuje text
El Inca virus.
Pro zajímavost: Je to první multipartitní virus pro Windows 95/98.

Win95/Kenston


Paměťově nerezidentní parazitický Win32 virus. Je kódován funkcí XOR. Po spuštění infikovaného programu převezme kontrolu a napadne PE EXE soubory v podadresářích na aktivním disku. Zapisuje se na konec souboru a zvětšuje velikost poslední sekce. Tam se zapíše a úpravou adresy vstupního bodu (entry point) zajistí svoje spuštění.

Většina částí viru je kompatibilní se všemi Win32 verzemi: Win32/9x/NT, ale rutina určená k infekci obsahuje několik chyb. Proto nelze většinu infikovaných souborů spustit pod systémem Windows NT.

Virus obsahuje text:
Boles and Manning are arrogant facists. They have no computer
sk1llz and KENSTON HIGH SCHOOL's computers are 0wn3d.
I AM BACK KOONS YOU MOTHERFUCKER dowN wiTh KenSTON.....
yOU tRIED tO rID yOUrSELf oF mE BefoREbUT fAILED
HAHAHAHAHAHAHAHAHAHAHAHAHAHAHA
Virus taky obsahuje řetezce se jmény funkcí, které virus používá:
LoadLibraryA GetProcAddress FindFirstFileA FindNextFileA FindClose
SetFileAttributesA SetFileTime CreateFileA ReadFile WriteFile
SetFilePointer CloseHandle SetCurrentDirectoryA GetCurrentDirectoryA

Win32/Magistr


Win32:Magistr je velmi nebezpečnou kombinací wormu a viru, která se objevila během měsíce března 2001. Šíří se pomocí infikované přílohy elektronické pošty a také napadá programy Windows na lokálních i sdílených discích.

Virus obsahuje velmi nepříjemnou a nebezpečnou manipulační rutinu: je za určitých podmínek schopen vymazat data na pevných discích, smazat paměť CMOS a přepsat paměť Flash Bios. K tomu používá kód, který je velmi podobný kódu viru Win95:CIH. Win32:Magistr je napsán v programovacím jazyce Assembler a je dlouhý skoro 30Kb. Využívá dvě různé polymorfní metody.

Po spuštění napadeného programu se virus instaluje do paměti a pak běží na pozadí. Aktivuje se až po několika minutách, takže propojení mezi jeho aktivitou a spuštěním infikovaného programu není na první pohled zřejmé. Virus se instaluje do systému jako komponenta procesu EXPLORER.EXE. Virus pak náhodně napadne jeden soubor v adresáři Windows a zaregistruje tento soubor tak, že je spouštěn při každém spuštění Windows.

Virus se pak pokusí napadnout všechny programy typu Win32 PE - napřed v adresářích Windows a poté na všech lokálních discích a pak i na discích sdílených v lokální počítačové síti. Na sdílených discích se pokusí zajistit svoji aktivaci na daných počítačích zápisem řádku s příkazem  run= do souboru WIN.INI.

Win32:Magistr napadá soubory PE velice komplikovaným způsobem. Složitě modifikuje vstupní bod programu tak, že se běh programu nakonec dostane až ke konci souboru, kde se nachází vlastní zašifrovaný virus.

Virus pak zjišťuje, jaké emailové klienty jsou na daném počítači (Outlook Express, Netscape Messenger, Internet Mail and News) nainstalovány, a přečte z nich seznam emailových adres. Posílá sám sebe pomocí vlastní SMTP rutiny. Virem vytvořené zprávy nemusí mít žádné tělo (tj. neobsahují žádný text) nebo obsahují texty náhodně shromážděné ze souborů DOC a TXT, které virus nalezl na lokálních discích. To samé se týká i předmětu zprávy. Jméno připojeného souboru je proměnné, ale vždy má rozšíření EXE nebo SCR.

Win32:Magistr občas uživateli ukáže svoji přítomnost: pokud je kursor myši posunut na ikonu na Desktopu, virus ikonu přemístí. Vypadá to pak, že ikona před kursorem uhýbá.

Měsíc po napadení počítače virus spustí svoji destrukční rutinu, která přepíše všechny soubory na lokálních i sdílených discích textem "YOUARESHIT". Pod systémy Win9x se také pokusí vymazat paměť CMOS a přepsat paměť Flash Bios.

Pak virus zobrazí následující zprávu:

Another haughty bloodsucker....... YOU THINK YOU ARE GOD , BUT YOU ARE ONLY A CHUNK OF SHIT

Virus obsahuje i "copyright" autora:

ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler.  by: The Judges Disemboweler.  written in Malmo (Sweden)


Zdroj: Alwil software - výrobce antiviru AVAST


Win95/Marburg


Nerezidentní polymorfní virus (virus přímé akce), napadající PE EXE (Portable Executable) soubory. Virus hledá soubory v aktuálním adresáři, v adresáři SYSTEM a v adresáři WINDOWS. Jelikož virus obsahuje chyby, není schopen replikace pod systémem Windows NT.
Virus se pokouší před infekcí alokovat pamět, která je nutná pro spuštění polymorfního generátoru (motoru). Polymorfní motor je prakticky totožný s motorem, použitým ve viru Win95.HPS (není ani divu, virus totiž pochází od stejného autora Griyo španělské skupiny 29A). Virus se ukládá do poslední sekce souborů. Před infekcí virus smaže antivirové soubory: ANTI-VIR.DAT, CHKLIST.MS, AVP.CRC, IVB.NTZ. Během infekce navíc virus kontroluje a nenapadá soubory, jenž mají v názvu znak "V" nebo se jmenují PANDA, F-PROT či SCAN.
V závislosti na datumu virus zobrazuje náhodně umístěné "error" ikony (červený křížek v bílém kolečku).
Virus obsahuje řetezce (první část obsahuje seznam funkcí, po které virus hledá:):
GetModuleHandleA GetProcAddress CreateFileA CreateFileMappingA
MapViewOfFile UnmapViewOfFile CloseHandle FindFirstFileA FindNextFileA
FindClose VirtualAlloc GetWindowsDirectoryA GetSystemDirectoryA
GetCurrentDirectoryA SetFileAttributesA SetFileTime DeleteFileA
GetCurrentProcess WriteProcessMemory LoadLibraryA GetSystemTime GetDC
LoadIconA DrawIcon


[ Marburg ViRuS BioCoded by GriYo/29A ]
KERNEL32.dll USER32.dll

ExploreZIP


Worm:ExploreZIP se v Česku začal šířit v červnu 1999. Worm posílá sebe sama jako přílohu elektronické pošty pod jménem "ZIPPED_FILES.EXE". Tento soubor je dlouhý přesně 210432 bytů. Předmět zprávy může být různý (je to odpověď na existující předchozí zprávu). Zpráva obsahuje následující anglický text:
      Hi !  
      I received your email and I shall send you a reply ASAP.  
      Till then, take a look at the attached zipped docs.  

      bye
Po spuštění zmíněného souboru se může objevit chybové okno s hlášením o neplatném archívu ZIP. Worm se pak zkopíruje do systémového adresáře Windows pod jménem EXPLORE.EXE a přidá jeden řádek do souboru WIN.INI, popř. do registry. To následně způsobí, že je worm aktivován při každém startu operačního systému. Worm pak získá e-mailové adresy z poštovního klienta (pomocí příkazu MAPI nebo z MS Outlook) a posílá sebe sama na další počítače.

Tento worm obsahuje velmi nepříjemnou manipulační rutinu - hledá na dostupných discích soubory s rozšířením .C, .CPP, .H, .ASM, .DOC, .XLS a .PPT a ničí je tak, že je zkrátí na nulovou délku. To může způsobit nevratné ztráty dat!

Pro odstranění Worm:ExploreZIP je pod Windows 9x potřeba smazat soubor EXPLORE.EXE v systémovém adresáři Windows a před přebootováním odstranit následující řádek ze souboru WIN.INI: run=C:\WINDOWS\SYSTEM\Explore.exe

Pro odstranění Worm:ExploreZIP je pod Windows NT potřeba ukončit proces se jménem "explore" pomocí WinNT Task Manageru. Potom pomocí programu REGEDIT najít položku [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] a před přebootováním odstranit následující klíč: "run"="C:\\WINNT\\System32\\Explore.exe"
Nakonec smažte soubor EXPLORE.EXE v systémovém adresáři Windows NT.

Zdroj: Alwil software - výrobce antiviru AVAST


Fix2001


Další "červ" šířící se v příloze emailové zprávy. Pracuje na podobném principu jako Happy99. Po spuštení souboru FIX2001.EXE (příloha) se virus ohlásí tabulkou Y2K Ready !! Your Internet Connection is already Y2K, you don't need to upgrade it, ale pak se již zavede do systému a převezme důležité funkce, které potřebuje k replikaci. Zpráva s infikovanou přílohou má subjekt Internet problem year 2000 a obsahuje dva delší texty v anglickém a španělském jazyce. Virus Fix2001 hledá další emailové adresy v odeslané a přijaté poště a právě na ně odesílá soubor FIX2001.EXE. Virus Fix2001 obsahuje nepříjemnou destrukční akci: pokud dojde ke změně struktury textové části viru, přepíše soubor C:\COMMAND.COM tak, že při dalším restartu počítače dojde ke smazání všech souborů na pevném disku.

Zdroj: CHIP CD, Virové novinky

Happy99


Tento virus určený pro Windows se šíří elektronickou poštou jako soubor HAPPY99.EXE o velikosti 10000 byte.

V těle viru je viditelný text:
  begin 644 Happy99.exe
  `
  end

  Happy New Year 1999 !!
Navíc obsahuje zakódované texty:
  Is it a virus, a worm, a trojan?
  MOUT-MOUT Hybrid (c) Spanska 1999.

  \wsock32.dll
  \Ska.dll
  \Ska.exe

  Software\Microsoft\Windows\CurrentVersion\RunOnce
Po spuštění se zkopíruje do systémového adresáře Windows (nejčastěji WINDOWS\SYSTEM)jako SKA.EXE. V tomto adresáři také vytvoří soubor SKA.DLL o velikosti 8192 byte. Obsah tohoto souboru si virus nese v zakódované a částečně komprimované podobě ve vlastním těle. Virus modifikuje knihovnu WSOCK32.DLL tak, aby při volání služeb CONNECT a SEND byl aktivován kód virové knihovny SKA.DLL, který připojí k odesílanému souboru jako attach vlastní virus. Napadený soubor WSOCK32.DLL má nezměněnou délku, protože virus využívá prázdná místa ve struktuře souborů PE-EXE. Pokud volné místo v sekci .text není alespoň 202 byte, knihovna nebude infikována a virus se nebude šířit. Napadený soubor WSOCK32.DLL má nastavený nišží byte CRC v EXE headeru na hodnotu 7Ah. Původní obsah tohoto souboru je zkopírován do souboru WSOCK32.SKA.

V případě, že je v okamžiku aktivace viru knihovna WSOCK32.DLL používána systémem a není přístupná pro zápis, naplánuje virus své spuštění při dalším staru Windows tak, že v registry zapíše jméno SKA.EXE do klíče
Software\Microsoft\Windows\CurrentVersion\RunOnce

Po napadení systému virus zobrazí okno, ve kterém vás potěší skromně vyvedeným ohňostrojem.

Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG


Hybris.B


Červ, pohrávající si se souborem WINDOWS\SYSTEM\WSOCK32.DLL, díky čemuž se dokáže šířit prostřednictvím e-mailů na další počítače. Červ si s sebou nese několik tzv. "plug-inů". Ty se mohou lišit v závislosti na variantě červa. Díky jednomu "plug-inu" tak Hybris dokáže infikovat archivy ZIP/RAR, do kterých vkládá dropper - {původní}.EXE přejmenuje na {původní}.EX$ a sebe uloží do {původní}.EXE. Jedná se tedy zároveň o doprovodný virus (companion virus). Infikovaný e-mail můžete poznat následovně:

Subjekt zprávy:
Snowhite and the Seven Dwarfs - The REAL story!

Text zprávy:
polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter...

Varianta B se aktivuje 24. září, nebo v poslední minutě každé hodiny v roce 2001. Na obrazovce se objeví animovaná spirála.

Irok


Červ. Šíří se v příloze emailových zpráv a prostřednictvím IRC kanálů - v souboru IROK.EXE. Kupodivu se jedná o původní EXE soubor, který je spustitelný i pod samotným DOSem (nejedná se o PE EXE). Pokud Vám přijde emailová zpráva se subjektem "I thought you might like to see this." a se souborem IROK.EXE v příloze, máte tu čest se s mutantem "Irokem" setkat osobně. Pokud dojde ke spuštění této přílohy, červ se ubytuje v počítači. Vypuštěný soubor IROKRUN.VBS se postará o rozeslání kopie souboru IROK.EXE dalšim 60 lidem, kteří jsou uvedeni v "knize adres" aplikace MS Outlook. Ve stejnou chvilku začne Irok infikovat i některé soubory na pevném disku. V tomto případě jde o HLL nerezidentní virus, který napadá COM a EXE soubory, které vyhledává v adresářích, jenž jsou uvedeny v proměnné PATH (např. v AUTOEXEC.BAT). Při infekci souboru přesune prvních 10 KB dat na konec a do vzniklého prostoru uloží svoje stejně dlouhé tělo. Pro infekci je tak použita zřejmě nejjednodušší metoda - není nutné měnit údaje v hlavičce u EXE. Červ Irok kromě toho maže některé soubory, které antiviry využívají pro testy typu: "kontrola integrity" a občas zobrazí i nějakou tu zprávu.

Zdroj: CHIP CD, Virové novinky

LoveLetter.A


Červ I_LOVE_YOU (LoveLetter) se šíří v e-mailech, ke kterým se připojuje ve formě souboru LOVE-LETTER-FOR-YOU.TXT.VBS (kolem 10 KB). Subjekt "infikované" e-mailové zprávy zní: "ILOVEYOU". V těle zprávy je obsažen text: "kindly check the attached LOVELETTER coming from me.". "Dvojitá" přípona u souboru má za následek, že v některých klientech již neni část za druhou tečkou viditelná. Takový soubor se pak tváří jako obyčejný textový soubor (TXT), ve skutečnosti však obsahuje "zrůdnost" I_LOVE_YOU. Pro šíření potřebuje program MS Outlook (odtud bere e-mailové adresy dalších obětí, na které se automaticky rozešle) a nainstalovanou podporu WSH - Windows Scripting Host (aby bylo možné používat VBS). Po spuštění souboru LOVE-LETTER-FOR-YOU.TXT.VBS se červ "usadí" v systému. Vytvoří nové klíče v registrech:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

V adresáři C:\WINDOWS\SYSTEM pak vytvoří soubory MSKERNEL32.VBS a Win32DLL.VBS. Na pevných i síťových discích vyhledává soubory s příponou VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, jejichž obsah přepíše svým tělem a příponu změní na VBS. V případě souborů s příponou JPG či JPEG je vytvořena "dvojitá" přípona - původní + .VBS. Jediné soubory s příponou MP2 a MP3 o které se virus zajímá, zůstanou ušetřeny: červ totiž nejprve vytvoří kopie těchto souborů - ty pak následně přepíše vlastním tělem a vytvoří na nich "dvojitou" příponu (původní_název.MP3.VBS). Pokud neexistuje soubor C:\WINDOWS\WINFAT32.EXE, nastaví domovskou stránku Internet Exploreru tak, aby ze serveru http://www.skyinet.net stahoval soubor WIN-BUGSFIX.EXE. Tento soubor obsahuje další výtvor - trojského koně. Po aktivaci se tento trojan usadí právě do souboru WINFAT32.EXE a někam na Filipíny se snaží přes e-mail odesílat nakradená data (uživatelské jméno, IP, hesla atd.). Červ I_LOVE_YOU může dorazit i přes IRC...

LoveLetter.E


Subjekt: Dangerous Virus Warning,
text zprávy: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.,
příloha: virus_warning.jpg.vbs.

MTX


Win32/MTX je virem/červem a backdoor trojanem dohromady. Je schopen se šířit pod systémy Win32. Napadá ostatní programy, instaluje backdoor trojan pro download dalších částí z Internetu a také se pokouší posílat sebe sama pomocí elektronické pošty.

Po spuštění virus instaluje worm a trojského koně do systému. Tyto části jsou pak spouštěny jako samostatné programy. Virus zkoumá přítomnost několika známých antivirových programů, a pokud je nalezne, na daném systému se nešíří. Jinak vytvoří v adresáři Windows následující tři soubory:

Virus pak infikuje všechny soubory PE files v právě platném adresáři a v adresáři Windows. Virus nemění vstupní bod hostitelského programu, ale doprostřed kódu přidá skok na sebe. Snaží se tak ztížit svoji detekci a případné odstranění. 

Worm využívá pro posílání sebe sama stejnou technologii jako nechvalně známý Win32/Ska. Pracuje s modifikovaným souborem WSOCK32.DLL a má plnou kontrolu nad tím, k čemu se přistupuje a kam se co posílá e-mailem. Blokuje přístup a posílání zpráv na několik (antivirových) domén (nii, nai, avp, f-se, mapl, pand, soph, ndmi, afee, yenn, lywa, tbav, yman) a navíc blokuje posílání zpráv do dalších domén (wildlist.o*, il.esafe.c*, perfectsup*, complex.is*, HiServ.com*, hiserv.com*, metro.ch*, beyond.com*, mcafee.com*, pandasoftw*, earthlink.*, inexar.com*, comkom.co.*, meditrade.*, mabex.com *, cellco.com*, symantec.c*, successful*, inforamp.n*, newell.com*, singnet.co*, bmcd.com.a*, bca.com.nz*, trendmicro*, sophos.com*, maple.com.*, netsales.n* and f-secure.c*).

Worm posílá výše zmíněný soubor WIN32.DLL ve zvláštní samostatné zprávě pro každou odeslanou zprávu. Tato zpráva nemá žádný Předmět ani text a připojený soubor má jedno z následujících jmen (soubory PIF jsou spouštěny pomocí dvojkliku!):

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Trojský kůň se instaluje pomocí manipulace s Registry a zůstává aktivní jako service. Pokouší se z Internetu stáhnout a nainstalovat další programy. Originální verze ale nepracuje úplně korektně. Trojan pro svoji aktivaci s každým spušyěním Windows využívá následující klíč:

HKLM\Software\Microsoft\Windows\Current\Version\Run\SystemBackup

Vlastní virus obsahuje následující texty:

SABIÁ.b ViRuS
  Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
  Greetz: All VX guy in #virus and Vecna for help us
  Visit us at:
  http://www.coderz.net/matrix

Worm obsahuje následující texty:

Software provide by [MATRiX] VX team:
  Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
  Greetz:
  All VX guy on #virus channel and Vecna
  Visit us: www.coderz.net/matrix

Trojan obsahuje následující texty:

Software provide by [MATRiX] team:
  Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
  Greetz:
  Vecna 4 source codes and ideas

Zdroj: Alwil software - výrobce antiviru AVAST


Navidad


I-Worm/Navidad je další z wormů rozesílajících se emailem - zaslaný soubor se jmenuje Navidad.exe a má ikonu, která vypadá jako "čárový kód". Po spuštění zaslané přílohy se nakopíruje do systémového adresáře Windows pod jménem winsvrc.vxd a do klíče HKCR\exefile\shell\open\command se pokusí nastavit své spouštění (podobný trik používá PrettyPark). Vloudila se tam ale drobná chybička a I-Worm/Navidad se zaregistruje jako winsvrc.exe, nikoliv jako winsvrc.vxd. Díky tomu skončí pokus o spuštění jakéhokoliv EXE souboru chybovým hlášením s textem "UI". Své spouštění po startu Windows zajistí vytvořením klíče Win32BaseServiceMOD v HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\, kam dá odkaz na sebe. Kromě toho si ještě vytvoří klíč HKCU\SOFTWARE\Navidad. Na taskbaru si dělá ikonku s očičkem a reaguje na manipulaci s ním. Používá při tom tyto španělské texty:


Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG


PrettyPark


PrettyPark se šíří prostřednictvím infikovaných souborů, které připojuje k odesílaným emailovým zprávám. Připojený a infikovaný soubor má název "PrettyPark.EXE" První starší varianta je dlouhá 37376 bajtů (komprese WWPack32). Novější varianta komprimovaná není - je dlouhá 60928 bajtů. Po spuštění přílohy - souboru se může aktivovat spořič obrazovky "3D potrubí". Kromě toho vytváří v adresáři WINDOWS\SYSTEM soubor FILES32.VXD a modifikuje registry tak, aby došlo k automatickému spuštění jmenovaného souboru při každém startu Windows. Každých třicet minut se pak snaží automaticky odeslat emailovou zprávu s infikovanou přílohou lidem, kteří jsou uvedeny v knize adres "majlovacího" programu.

Sircam.A


Další roztomilý mazlíček se začal šířit včera ráno (našeho času). Jde o cca 134kB bubmbrdlíčka napsaného v Delphi.

Soudě dle zašifrovaných textů pochází z Mexika: 

   [SirCam Version 1.0 Copyright (c) 2001 2rP
   Made in / Hecho en - Cuitzeo, Michoacan Mexico]

Tento text mimochodem obsahuje i v poněkud "odtučněné" verzi:

   [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

Posílá se mailem, který má jako subject jméno přiloženého souboru a jehož text sestavuje z těchto vět:

   Hi! How are you?
   See you later. Thanks
   I send you this file in order to have your advice
   I hope you can help me with this file that I send
   I hope you like the file that I sendo you
   This is the file with the information that you ask for

Pokud má uživatel ve Windows jako preferovaný jazyk nastavenou španělštinu, tak se tomu virus přizpůsobí:

   Hola como estas ?
   Nos vemos pronto, gracias.
   Te mando este archivo para que me des tu punto de vista
   Espero me puedas ayudar con el archivo que te mando
   Espero te guste este archivo que te mando
   Este es el archivo con la informacion que me pediste

Přiložený soubor je vytvořen z vlastního těla wormu, za kterým je připojen náhodně vybraný soubor (archív, dokument, spustitelný soubor) pocházející z infikovaného počítače. Původní jméno je zachováno, worm si pouze připojí další příponu (pif, lnk, bat nebo com).

Po spuštění se Sircam nakopíruje do několika různých adresářů pod různými jmény:

   SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe,
   Microsoft Internet Office.exe a rundll32.exe

Poté zrekonstruuje kopii dokumentu, pod jehož jménem dorazil a pokud jde o EXE file, tak ho rovnou spustí (ve snaze nebýt příliš nápadný). Pro ostatní typy souboru se pokusí v

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\

najít vhodnou aplikaci k otevření: Winzip pro .ZIP soubory, Excel pro .XLS a WinWord (nebo alespoň WordPad) pro .DOC.

Své pravidelné spouštění při startu počítače se snaží si zajistit zápisem do hodnoty Driver32 klíče

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

a modifikací klíče

HKCR\exefile\shell\open\command

(stejný trik používá například I-Worm/PrettyPark).

Jako většina novějších virů se i tento umí šířit po sdílených discích v rámci lokální sítě. Na namapovaných discích preferuje adresáře \recycled a \windows a své spouštění se pokusí zajistit vložením řádky @win a odkazem na virus do \autoexec.bat nebo tím, že zamění systémový soubor rundll32.exe svou kopii.

I-Worm/Sircam.A obsahuje několik škodlivých rutin. 16.října může vymazat všechny soubory na disku C:, popřípadě v adresáři C:\RECYCLED vytvoří soubor sircam.sys, do kterého zapisuje text 

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
popřípadě 
[SirCam Version 1.0 Copyright (c) 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
tak dlouho, až dojde k vyčerpání volného místa na disku.


Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG


Verona.A


Jednoduchý červ polského původu, který se rozesílá ve zprávách s těmito předměty:
Zpráva je v HTML formátu a obsahuje skript, který otevírá přiložený soubor MYJULIET.CHM. Tento soubor nápovědy zůstane po svém otevření na obrazovce minimalizován a v něm obsažený kód spouští další přiložený soubor - MYROMEO.EXE.
To je vlastní kód wormu (je napsán v Delphi a komprimován pomocí UPX), který po svém spuštění vyrobí a rozešle infikované maily na adresy z adresáře Outlooku.
Jakmile s rozesíláním skončí, tak najde v paměti běžící kopii souboru HH.EXE a ukončí její činnost. Tento program slouží k zpracování .CHM souborů a virus tak zruší proces, který posloužil k jeho spuštění - MYJULIET.CHM.
Pro rozesílání mailů se snaží použít šest polských SMTP serverů, které jsou špatně nakonfigurovány a mohou komukoliv posloužit k odeslání zprávy.

Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG


Verona.B


Jednoduchý červ polského původu, který se rozesílá ve zprávách s těmito předměty:
Zpráva je v HTML formátu a obsahuje skript, který otevírá přiložený soubor xjuliet.CHM. Tento soubor nápovědy obsahuje kód, který spouští další přiložený soubor - XROMEO.EXE.
Červ je na infikovaném počítači uložen v souboru C:\Windows\sysrnj.exe.
To je vlastní kód červa (je napsán v Delphi a komprimován pomocí UPX), který po svém spuštení vyrobí a rozešle infikované maily na adresy z adresáře Outlooku.
Aby zvýšil své šance na šíření, zaregistruje se jako asociovaný program k těmto příponám:
Pokud nyní dvakrát kliknete na soubor s jednou s těchto přípon, místo správného programu se spustí červ, který přepíše obsah tohoto souboru sebou samým a ke jménu přidá ".exe". Tedy například mujdoc.doc přejmenuje na mujdoc.doc.exe a místo dokumentu nyní obsahuje pouze virus.
Velmi nepříjemná věc je registrace .exe přípony. Pokud totiž smažete soubor sysrnj.exe, nelze nyní spustit jakýkoli .exe soubor. Podobná situace nastává s červem Navidad. Pro správné odstranění je nutné opravit záznam v registrech a to: klíč "HKCR\.exe\(Default)" opravit na "exefile" Nyní je možné smazat soubor sysrnj.exe.
Ostatní registrované přípony však nelze jednoduše opravit, neboť nelze říct, ke kterému programu příslušely. Je nutno ručně obnovit registraci a to buďto v nastavení programu nebo například pomocí Průzkumníka.
Pro rozesílání mailu se snaží použít 18 polských SMTP serverů, které jsou špatně nakonfigurovány a mohou komukoliv posloužit k odeslání zprávy.

Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG


Code Red


CodeRed je klasickým Internetovým wormem. Napadá Microsoft IIS Web Servery, které nemají aplikovánu poslední záplatu (patch). Žádným způsobem NENAPADÁ uživatelské počítače a pracovní stanice, které neprovozují zmíněný Web Server! Worm existuje pouze v paměti počítače, nikdy není žádným způsobem uložen do souboru na disku! Worm využívá známou bezpečnostní díru s přetečením zásobníku v produktu Microsoft IIS Web Server. Microsoft o tomto problému již delší dobu ví a v červnu 2001 zveřejnil bezpečnostní záplatu (http://www.microsoft.com/technet/security/bulletin/MS01-033.asp), která zmíněný problém odstraňuje.

CodeRed posílá sebe sama jako požadavek HTTP, přetečení zásobníku ale způsobí spuštění kódu wormu na cílovém počítači. Worm je spuštěn přímo v paměti a není ukládán do žádného souboru.

Pokud je systémové datum nastaveno na den před 20. dnem v měsíci, worm spustí 99 nových thradů, které se snaží vyhledat další vhodné oběti. Worm zkouší náhodně vybrané IP adresy. Pokud na napadeném počítači existují anglické webové stránky, worm je po dvou hodinách začne znepřístupňovat tak, že na příchozí HTTP požadavky posílá svůj vlastní kód HTMLs následujícím textem: 

                Welcome to http:// www.worm.com ! 
                Hacked By Chinese!

Pokud je systémové datum nastaveno mezi 20. a 28. dnem v měsíci, worm se pokouší provádět DoS útok (Denial of Service) na speciální IP adresu tak, že posílá velké množství dat na port 80 (Web service). Jedná se o IP adresu 198.137.240.91, kterou až do 20. července používal Bílý dům: www.whitehouse.gov. Tato IP adresa (která je přímo zapsána v kódu wormu) byla poté změněna a v současnosti není aktivní.

Pokud je systémové datum nastaveno na den po 28. dni v měsíci, worm se uloží do inaktivního stavu na období 24 dní a 20 hodin. Protože tato perioda překrývá období, ve kterém se množí, worm se již nikdy množit nebude. Výjimku mohou způsobit počítače, které mají chybně nastaveno systémové datum. Jediný takový počítač však může spustit novou vlnu infekce.

Odstranění:

  • Stáhněte a aplikujte bezpečnostní záplatu, která se nachází na: http://www.microsoft.com/technet/security/bulletin/MS01-033.asp.
  • Restartujte počítač.

    Varianty:

    CodeRedII (CodeRed.c):

    V sobotu 4.8. 2001 se na Internetu objevila nová varianta wormu CodeRed. Tato varianta používá pro svoje šíření stejnou bezpečnostní díru jako původní worm. Napadá počítače, na nichž je instalován Microsot IIS Web Server bez opravné záplaty (patch). Z infikovaného počítače se posílá intenzivněji ale po kratší dobu. Nový worm je nebezpečný zejména tím, že do napadeného počítače instaluje jiný program: trojského koně, který pak může fungovat jako zadní vrátka a může umožnit neautorizovaný vstup do napadeného systému. O půlnoci dne 1. října se worm navždy deaktivuje. Worm na rozdíl od původní varianty nepodstrkává uživatelům modifikované WWW stránky, neprovádí distribuovaný útok na jediný počítač (Bílý dům), jeho jediným cílem je dostatečně rozšířit počet počítačů se zadními vrátky do systému. Pokud se mu podaří napadnout podobný počet počítačů jako původnímu wormu (kolem 300 000), pak může být vážně ohrožena integrita Internetu: tak velký počet serverů, nad nimiž může mít kontrolu třetí strana, znamená obrovské bezpečnostní riziko. Správci takových systémů navíc nemohou mít jistotu, zda jim pomocí těchto zadních vrátek někdo nepřidal do systému něco dalšího. A tak zatímco proti původnímu wormu stačilo uplatnit příslušnou záplatu a server přestartovat, v tomto případě je nejspolehlivější metodou přeformátování disku a nová kompletní instalace systému.


    Zdroj: Alwil software - výrobce antiviru AVAST