In-the-Wild List 12/99...
Poslední seznam nejrozšířenějších virů v tomto roce lze stáhnout zde. Následuje přehled nejvíce hlášených virů:
Freq Name Type Aliases
============================================================================
42 | W32/Ska.A............... | File |HAPPY99
37 | W95/CIH.1003............ | File |Spacefiller
35 | W97M/Ethan.A............ | Macro |
35 | WM/CAP.A................ | Macro |
34 | W97M/Melissa.A@mm....... | Macro |Maillissa
28 | W32/ExploreZip.......... | File |Worm.ExploreZip
28 | W97M/Marker.C........... | Macro |W97M/Spooky.C
25 | O97M/Tristate.C......... | Macro |O97/Crown.B
25 | W97M/Class.D............ | Macro |
24 | WM/Concept.A............ | Macro |Prank Macro
23 | W32/PrettyPark.A........ | File |
20 | AntiCMOS.A.............. | Boot |Lenart
20 | AntiEXE.A............... | Boot |D3
18 | XM/Laroux.A............. | Macro |
17 | X97M/Laroux.A........... | Macro |
16 | Form.A.................. | Boot |Form 18
15 | Parity_Boot.B........... | Boot |Generic 1
15 | W97M/Class.Q............ | Macro |
============================================================================
[18.12.99]
Win32/NewApt - další červ.
Málem bych zapoměl na tohoto nového červa. Infikovaný soubor, který příjde v příloze emailové zprávy může mít několik různých názvů (celkem 26). "Infikovaná" emailová zpráva
má subjekt "Just for your eyes" a obsahuje text: "he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT stuff" a
"Hypercool Happy Year 2000 funny programs and animations…. We attached our recent animation from this site in our mail ! Check it out!".
Po spuštění infikovaného souboru v příloze se červ snaží odeslat svoji kopii na další adresy. Jinak celkem nic zajímavého...
[16.12.99]
Dva nové viry:
Win9x/Caw
Paměťově rezidentní virus (v podobě VxD driveru) pro Windows 9x. Napadá otevírané PE EXE soubory a svoje tělo ukládá
do jejich poslední sekce. Kromě chyb obsahuje tento virus i dvě destruktivní akce. Ta první je načasovaná na 7.července, kdy
virus přepíše 16 náhodně vybraných sektorů na pevném disku. Pokud minuta=0, virus maže některé soubory s definovanou příponou.
Win32/MyPics.B/C
5.12 jsem informoval o červu MyPics. Neuplynulo ani moc času a jsou tu další varianty...
Rozdíly mezi původní verzí MyPics.A a MyPics.B/C:
Subjekty emailových zpráv:
MyPics.B: Season's Greetings
MyPics.C: Here's a digital video for you
Na disku C vytváří soubor:
MyPics.B: C:\Icq_Greetings.exe
MyPics.C: C:\Zip01.exe
MyPics.B modifikuje vlastníka systému a v roce 2000 "posílá" příkaz FORMAT na řadu disků.
Varianta MyPics.C každý sedmnáctý den v měsíci maže řadu souborů převážně na disku C: (v adresáři "...\win\system" apod.).
Varianta MyPics.B provádí tuto činnost kdykoliv v roce 2000.
Popisované viry jsou In-the-Wild (tj. šíří se mezi uživateli).
[14.12.99]
Kdo to proboha napsal !!!
...to jsem si opakoval při čtení článků na adresách:
http://zive.cpress.cz/r-art.asp?ref=4&id=8420 - následuje souhrn toho nejlepšího:
"Worm je počítačový vir, který obdržíte v příloze e-mailu jako obrázek" - obrázek=vir ??? to se mi nezdá !, "...vir napíše do CMOS paměti počítače, aby zrušil platnost systémové integrity nebo kontrolního součtu dat" - hmmm... to je zajímavé ! "Potom je systém restartován a uživatel bude varován, že “CMOS checksum is invalid,” a tím uživatel uvěří, že má problém roku 2000 a ne počítačový vir" - Podle zmiňované zprávy lze opravdu snadno rozpoznat, že jde o problém s rokem 2000 :-))) "Po schválení dat, počítač bude pokračovat v restartování a pokud je soubor “cbios.com” umístěn ve kořenovém adresáři na disku C, vir se nepozorovaně nahraje a potom kompletně přeformátuje disky D: a C:" - no comment.
Naprosto dokonalá je taky věta: "VIROVÉ VAROVÁNÍ: Střední/Vysoký risk". Další ptákoviny, které se v článku objevily: "Nepokoušejte se přiložený dokument otevřít." - to jsem z toho jelen, co teda vlastně příjde, obrázek ? dokument ? A ještě něco na závěr: "SARC je průmyslově nejvíce odborný tým virových expertů." - ja myslel, že dělají v kanceláři a ne u svěráku...
[14.12.99]
Dílo od českého mistra - virus Yobe
V AVP Virus Encyclopedii se před nedávnem konečně objevily informace o viru Win95/Yobe (nejedná se o horkou novinku), který využívá podobnou techniku jako starší virus Dir2 pro DOS.
Tělo viru Yobe se totiž na disku vyskytuje pouze jednou - a to v posledním clusteru disku. Modifikací struktury adresáře (konkrétně hodnoty "first file cluster") se postará, že při spuštění souboru se nejdříve aktivuje kód viru (na konci disku) a pak teprve spouštěný program.
Autorem tohoto ojedinělého díla je čech - Benny ze skupiny 29A.
[14.12.99]
Konference Security-2000...
Na www.aec.cz lze získat podrobnější informace o konferenci Security-2000, která se bude konat v květnu 2000. Na programu je samozřejmě i virová problematika.
[7.12.99]
Multifunkční virus - Win9x/Babylonia !!!
Babylonia - to je název nového paměťově rezidentního ("vystupuje" jako VxD driver) viru pro Windows 9x, který se dokáže šířit několika způsoby. Napadá PE EXE soubory na disku (ukládá
se do poslední sekce souborů, některé soubory si po infekci zachovají původní délku), připojuje se ve formě souboru k odesílané poště (podobně jako červ Happy99, infikovaný soubor v příloze se však jmenuje X-MAS.EXE)
a dokáže napadat HLP soubory (soubory s nápovědou pro Windows) díky tomu, že obsahují jednoduchý jazyk.
Virus vypouští soubor C:\BABYLONIA.EXE, svoje tělo pak nakopíruje i do souboru C:\WINDOWS\SYSTEM\KERNEL32.EXE - modifikací registrů se
postará o spouštění jmenovaného souboru po každém startu Windows. KERNEL32.EXE čeká do navázání spojení (dial-up) a ze stránky autora viru
stáhne "vsuvky" (plug-ins) do popisovaného viru. Tyto plug-iny dokážou měnit chování viru (tj. upgrade viru) !!! - jak informuje Sophos, plug-iny se postaraly již
o to, že virus Babylonia se dokáže šířit i prostřednictvím mIRC.
Virus Babylonia se zřejmě stane středem pozornosti všech "internetových novin"... Můžeme se těšit !
[5.12.99]
Další worm W32/Mypics
W32/Mypics je dalším z řady červů (worms), kterých se letos urodilo požehnaně. Jako každý červ se i Mypics šíří
prostřednictvím příloh e-mailových zpráv. V tomto případě tvoří přílohu soubor pics4you.exe, který obsahuje
zmiňovaného červa. E-mailová zpráva nemá žádný subjekt, tělo zprávy obsahuje text "Here's some pictures for you!".
Po spuštění souboru v příloze se červ zavede do systému - modifikací registrů si zajistí spuštění po každém restartu Windows.
Pak se snaží odeslat svoji kopii na dalších padesát adres, které najde v "knize adres" aplikace
Microsoft Outlook. Kromě toho přenastavuje "homepage" stránku Internet Exploreru - tj. stránku, která se zobrazí po spuštění IE. Pokud
zjistí, ze systémové hodiny ukazují rok 2000, naruší CRC paměti CMOS, takže při dalším startu počítače se dočkáme pouze hlášky "CMOS Checksum Invalid"
(stačí se přemístit do BIOS-setupu a zvolit SAVE - vše zas bude OK). Po dalším restartu na nás však čeká ještě větší překvapení. Červ Mypics totiž začne formátovat disk...
[5.12.99]
Smutná zpráva ze slovenska...
Před nedávnem přišla ze slovenska smutná zpráva - vývoj antiviru HMVS byl zastaven na neurčito. Připomínám, že antivirus HMVS byl určen výhradně
na detekci známých/neznámých makrovirů. Využíval řadu unikátních technik (třeba neurovou síť) a vypadal dost nadějně...
Je to škoda...
[1.12.99]
Staré viry v novém balení...
Některé společnosti začaly informovat o nové variantě červa ExploreZIP. První a donedávna jediná varianta je již několik
měsíců stará a vcelku dost se rozšířila. Nově vzniklá varianta (ExploreZIP.B) se od původní liší pouze tím, že infikovaný
soubor, který se připojuje k emailové zprávě je interně komprimován (ExploreZIP.B je tak i o něco kratší).
Některé společnosti (třeba SARC) pak informují nových variantách makroviru W97M/Melissa.A.
Rozdíly jsou však někdy tam minimální, že pro některé antivirové programy to žádná novinka není (např. pro AVG s vysokou tolerancí skeneru je to stále jen jedna a ta samá Melissa...).