|
|
|
|
INDEX:
-
╚erv VBS/SST (alias Vbs.OnTheFly)
- 12.02.2001
-
Win32/Hybris
- 26.01.2001
-
Win32/Navidad.B - Emanuel
- 11.01.2001
-
W97M/Ftip
- 09.01.2001
-
I-Worm.ENERGY
- 05.01.2001
-
WIN32/Verona
- 12.12.2000
-
WIN32/Prolin
- 08.12.2000
-
VBS/Jean.A
- 30.11.2000
-
Win32/Navidad
- 17.11.2000
-
Win32/Mtx -
26.10.2000
-
VBS.Stage.A
- 20.06.2000
-
VBS.NewLove
- 16.05.2000
-
VBS.LoveLetter
- 4.05.2000
-
PrettyPark
- 1.04.2000
|
|
|
VBS/SST (alias Vbs.OnTheFly) - Popis Φerva. |
VBS/SST (alias Vbs.OnTheFly)
╚erv je napφsan² vo Visual Basic Script (VBS) a Üφri e-mailom ktorΘho subjekt je:
Here you have, ;o)
V texte e-mailu je:
Hi:
Check This!
Prφlohu tvorφ s·bor AnnaKournikova.jpg.vbs, ktor² obsahuje telo Φerva. Kurnikovß je znßma ruskß tenistka a prvß prφpona s·boru je klamnß.
Telo Φerva zaΦφna re¥azcom Vbs.OnTheFly Created By OnTheFly a konΦφ re¥azcom Vbswg 1.50b.
Do polo₧ky v registroch HKEY_CURRENT_USER\SOFTWARE\ONTHEFLY\ zapφÜe Worm made with Vbswg 1.50b. Polo₧ku HKEY_CURRENT_USER\SOFTWARE\ONTHEFLY\MAILED pou₧φva na poznaΦenie vykonanΘho rozoslania svojho tela. Ak sa v nej nenachßdza jedniΦka, vytvorφ spomenut² e-mail a rozoÜle ho na vÜetky adresy v adresßri.
26. Janußra spustφ web browser s adresou re¥azca poΦφtaΦov²ch obchodov v Holandsku www.dynabyte.nl.
Okrem tejto reklamy Φerv nevykonßva ₧iadnu deÜtrukΦn· Φinnos¥.
|
|
WIN32/Hybris - Popis Φerva. |
Win32/Hybris
Win32/Hybris je emailov² Φerv s implementovanou schopnos¥ou modifikova¥ svoje vlastnosti prostrednφctvom doplnkov²ch modulov - pluginov, ktorΘ mo₧e zφskava¥ prostrednφctvom internetu. èφri v podobe s·borov prφloh elektronickej poÜty s nßhodn²m menom a prφponou bu∩ EXE alebo SCR. Po spustenφ sa Φerv pok·Üa infikova¥ s·bor WSOCK32.DLL. V prφpade, ak sa tßto kni₧nica pou₧φva, infekcia neprebehne, ale Φerv zabezpeΦφ svoju aktivßciu prostrednφctvom vytvorenia k╛·Φa v systΘmovom registri a to bu∩ v
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
alebo
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
╚erv napadnutφm WSOCK32.DLL zφska prφstup k funcißm zabezpeΦuj·cim odosielanie a prijφmanie poÜty a nadvΣzovaniu sie¥ovΘho spojenia. Pomocou uveden²ch funkciφ sa sna₧φ zφskava¥ adresy elektronickej poÜty a posiela¥ na ne svoje k≤pie. Tak₧e naprφklad po odoslanφ elektonickej poÜty na adresu niekto@nikde.uplne.inde o chvφ╛u Φerv na t· ist· adresu poÜle email v ktorΘho prφlohe je jeho k≤pia.
Tento Φerv ∩alej rozvφja v poslednej dobe rozÜφren· technol≤giu ugradovanie poΦφtaΦov²ch infiltrßciφ pomocou internetu. Pomocou pluginov m⌠₧e Win32/Hybris podstatne meni¥ svoje vlastnosti. Pluginy m⌠₧e Φerv zφskava¥ prostrednφctvom Usenetu z newsserverov (protokol nntp), jednak prostrednφctvom protokolu http (sl·₧i na prezeranie webstrßnok). Jeden z pluginov sp⌠sobil zahltenie antivφrusovej konferencia alt.comp.virus, ke∩ naprφklad 9. decembra 2000 bolo do konferencie Φervom odoslan²ch 444 sprßv s predmetmi ako
text DFDE DefefSzKHmDCbqvyreHuraLqHSnyPmvKnWjKbSHqrOTqzGU
text JJJI jiXyzWXaTijyHSbKXOXqPyU
encr XJWH WHqzafqzWvubWDunyHOjWLaTWzCfqXenenmrGfCvuB
encr SORM rmzODGXqzGnmjWZ
Sprßva s tak²mto alebo podobn²m predmetom obsahuje telo Φerva zak≤davanΘ variantom algoritmu RSA. PrvΘ Ütyri znaky s· vlastne "nßzvom " pluginu, nasleduje medzera a Ütyri znaky oznaΦuj·ce "verziu". Nasleduj·ci re¥azec re¥azec je pre ka₧d· z verziφ konÜtantn². Sprßva ∩alej obsahuje zak≤dovan² vlastn² k≤d pluginu uzavret² medzi znaky "****".╚erv kontroluje svoje pluginy a v prφpade, ₧e zistφ verziu pluginu, ktorß je vyÜÜia ako tß, ktor· aktußlne obsahuje, nahradφ p⌠vodn· novou. ╧alÜie pluginy dopσ≥aj· o infekciu archφvov typu RAR a ZIP, infekciu s·borov typu PE, polymorfizmus, nßhodn· vo╛ba subjektu a mena s·boru v elektrockej poÜte, o grafick² efekt Üpirßly, infikovanie poΦφtaΦov s inÜtalovan²m trojanom SubSeven.
V tele Φerva sa nachßdzaj· texty:
Software\Microsoft\Windows\CurrentVersion\RunOn
a
(c) Vecna
╚erv je vybaven² mechanizmom autorizßcie pluginov, ktor² zabezpeΦφ, ₧e pou₧itΘ bud· len moduly, ktorΘ certifikuje jeho autor.
|
|
WIN32/Navidad.B - Emanuel
- Popis lieΦenia Φerva-vφrusu. |
Win32/Navidad.B - Emanuel
- Stiahnite si z http://www.eset.sk s·bor wintask.exe a ulo₧te ho na Φist· na disketu.
- Skopφrujte s·bor wintask.exe do systΘmovΘho adresßra Windows pomocou ikonky M⌠j poΦφtaΦ.
- Spustite ╛ubovoln· aplikßciu (napr. Notepad).
- Malo by sa zobrazi¥ okno, ₧e lieΦenie prebehlo ·speÜne.
- Skontrolujte cel² poΦφtaΦ aktußlnou verziou NOD32. S·bor "wintask.exe" sa vyma₧e sßm pri najbli₧Üom reÜtarte.
|
|
W97M/Ftip - Popis vφrusu. |
W97M/Ftip
Je to Φerv napφsan² vo Visual Basicu, Üφriaci sa ako prφloha elektronickej poÜty v prostredφ kancelßrskeho balφka Microsoft Office. Prichßdza v podobe s·boru ftip.doc ako prφloha sprßvy elektronickej poÜty s predmetom:
RE:.
V tele sprßvy sa nachßdza nasledovn² text:
Chtel si ftipy, tak tady je mas!!! ;)))
[doc]
---
Odchozφ zprßva neobsahuje viry.
Zkontrolovßno antivirov²m systΘmem AVG (http://www.grisoft.cz).
Verze: 6.0.219 / Virovß bßze: 103 - datum vydßnφ: 5.12.2000
Namiesto pφsmen doc Φerv doplnφ meno aktußlneho u₧φvate╛a poΦφtaΦa. Samotn² k≤d Φerva sa zaΦφna dvoma riadkami s komentßrom, v ktorom mo₧no identifikova¥ nßzov, ktor² chcel da¥ svojmu v²tvoru autor a jeho podpis. Tieto riadky s·:
' W97/2k.i0nSt0rm
' Code by gl_st0rm
╚erv po naΦφtanφ infikovanΘho dokumentu vypne zobrazovanie upozornenφ, ktorΘ by ho mohli prezradi¥. Zakß₧e naprφklad zobrazovanie ch²b vo Visual Basicu, upozornenia na konverziu makier a ochranu proti vφrusom. ╧alej nastavφ ·rove≥ bezpeΦnosti pre Microsoft Office na hodnotu 1 (najni₧Üia hodnota). Potom nasleduje rozposlanie svojich k≤piφ na prv²ch 30 adresies elektornickej poÜty, ktorΘ sa nachßdzaj· v adresßri. To, ₧e z tohoto poΦφtaΦa u₧ bol Φerv rozposlan² si poznaΦφ vytvorenφm k╛·Φa v systΘmovom registri: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\i0nSt0rm a nastavenφm jeho hodnoty na ...by gl. To zabezpeΦφ, ₧e Φerv svoje rozposielanie nebude viac opakova¥. Po zatvorenφ infikovanΘho dokumentu sa v jednom prφpade z troch zobrazφ nasledovnΘ okno:
|
|
I-Worm.ENERGY - Popis vφrusu. |
I-worm.ENERGY
Tento Φerv pochßdza z ╚eskej republiky a mß ve╛mi zaujφmav² sp⌠sob Üφrenia sa. Z napadnutΘho poΦφtaΦa sa Üφri pomocou s·borov ktorΘ ako prφloha sprevßdzaj· sprßvy elektronickej poÜty. NeÜφri sa vÜak v ka₧dej prφlohe, ale len v t²ch ktorΘ s· skomprimovanΘ pomocou programu RAR. Do archφvneho s·boru Φerv doplnφ s·bor SETUP.EXE, ktor² obsahuje jeho k≤piu.
Po spustenφ s·boru SETUP.EXE z napadnutΘho archφvu sa tento Φerv skopφruje ako s·bor ENERGY.EXE do systΘmovΘho adresßra Windows (typicky je to C:\WINDOWS\SYSTEM), ktor² si zistφ volanφm API funkcie GetSystemDirectory. Potom sa zaregistruje ako systΘmovß slu₧ba a naimportuje si adresy systΘmov²ch funkciφ. Zistuje aktußlne be₧iace procesy a na pozadφ ich sk·Üa infikova¥. Ak napßdan² proces pou₧φva kni₧nicu MAPI32.DLL, potom pre tento proces modifikuje funkciu MAPISendMail, ktor· sa pou₧φva pri odosielanφ elektonickej poÜty. ╚erv pri odosielanφ kontroluje poΦet prφloh, zis¥uje Φi nemaj· prφponu RAR a v takom prφpade ich napßda.
Ka₧dß k≤pia Φerva obsahuje text:
[I-Worm.Energy] by Benny/29A.
|
|
WIN32/Verona
- Popis vφrusu. |
WIN32/Verona
Tento internetov² Φerv bol prv² raz
zachyten² v Po╛sku. Vyu₧φva chybu help systΘmu Windows s nßzvom "HTML Help
File Code Execution", ktorß umo₧≥uje spustenie spustenie programovΘho k≤du
prostrednφctvom systΘmu HTML Help. Tßto chyba postihuje Microsoft Explorer
verziφ 4.0, 4.01, 5.0 a 5.01. Podrobn² popis chyby nßjdete na adrese www.microsoft.com/technet/security/bulletin/fq00-037.asp.
Ak mßte vo svojom systΘme verziu Internet Explorera, ktorß je postihnutß
touto chybou, na adrese www.microsoft.com/TechNet/security/bulletin/ms00-037.asp
si m⌠₧ete stiahnu¥ opravu.
Win32/Verona.A
╚erv je napφsan² v Delphi, jeho telo
je komprimovanΘ utilitou UPX. èφri sa ako sprßva elektronickej poÜty s
predmetom nßhodne vybran²m z nasledovnΘho zoznamu:
Romeo&Juliet
:))))))
hello world
!!??!?!?
subject
ble bla, bee
I Love You ;)
sorry...
Hey you !
Matrix has you...
my picture
from shake-beer
Sprßva mß v prφlohe s·bory myjuliet.chm
a myromeo.exe. S·bory s prφponou CHM obsahuj· skompilovan² s·bor pre HTML
help. Samotnß sprßva je v HTML formßte a obsahuje skript, ktorΘho ·lohou
je spusti¥ s·bor myjuliet.chm. Po otvorenφ sprßvy, v ktorej prichßdza Φerv
sa vykonß skript a spustφ s·bor myjuliet.chm. Tento help s·bor aktivuje
vlastn² k≤d Φervu - s·bor myromeo.exe. Po svojom spustenφ myromeo.exe rozpoÜle
svoje k≤pie na adresy v adresßri s vyu₧itφm jednΘho zo serverov umo₧nuj·cich
"Relay" elektronickej poÜty pod╛a nasleduj·ceho zoznamu:
212.244.199.2
195.117.152.91
195.116.62.86
194.153.216.60
195.117.99.98
213.25.111.2
Win32/Verona.B
Tento Φerv vychßdza z Win32/Verona.A,
nßzvy prφloh sa zmenili na xjuliet.chm a xromeo.exe. Spustenie s·boru xromeo.exe
prebehne rovnako ako u Win32/Verona.A. RozpoÜle svoje k≤pie a v adresßri
C:\Windows\ sa vytvorφ s·bor sysrnj.exe, ktor² obsahuje k≤piu Φerva. Manipulßciou
so systΘmov²m registrom vytvorφ asocißciu medzi svojou k≤piu v s·bore sysrnj.exe
a prφponami s·borov z nasledovnΘho zoznamu:
exe
jpg
jpeg
jpe
bmp
gif
avi
mpg
mpeg
wmf
wma
wmw
mp3
mp2
vqf
doc
xls
zip
rar
lha
arj
reg
To sp⌠sobφ jej aktivßciu pri dvojitom
kliknutφ na s·bor s ktorouko╛vek vyÜÜie uvedenou prφponou. Zoznam subjektov
sprßv, ktorΘ pou₧φva tento variant na svoje Üφrenie sa zmenil:
Romeo&Juliet
where is my juliet ?
where is my romeo ?
hi
last wish ???
lol :)
,,...
!!!
newborn
merry christmas!
surprise !
Caution: NEW VIRUS !
scandal !
Zoznam serverov, ktorΘ Φerv m⌠₧e pou₧i¥
sa podstatne rozÜφril:
195.117.117.6
212.244.197.164
195.205.96.185
195.116.104.14
195.117.3.111
195.116.221.65
212.244.67.20
194.181.138.141
195.205.121.183
195.117.88.7
212.160.95.1
212.244.241.81
195.205.208.33
212.106.133.133
195.116.72.5
213.25.175.3
195.117.99.98
213.25.111.2
Za pou₧itia newsservera na adrese 213.25.200.9
(news.tpi.pl) posiela sprßvu do konferencie alt.comp.virus. Sprßva mß pochßdza
od "Romeo&Juliet" <romeo@juliet.v>.
|
|
|
WIN32/Prolin
- Popis Φerva-vφrusu. |
WIN32/Prolin
Je to internetov² Φerv napφsan² vo
Visual Basicu, Üφriaci sa ako prφloha elektonickej poÜty v programe Microsoft
Outlook. Prichßdza v podobe emailu s predmetom A great shockwave flash
movie ako s·bor prφlohy s nßzvom creative.exe. V tele sprßvy
sa nachßdza text:
Check out this new flash movie
that I downloaded just now ... It's Great
Bye
Po spustenφ s·boru prφlohy Φerv poÜle
svoju k≤piu na vÜetky adresy v zozname adries Outlooku. V adresßri C:\WINDOWS\StartMenu\Programs\StartUp\
vytvorφ svoju k≤piu - s·bor creative.exe. To v prφpade, ₧e pri inÜtalßciφ
systΘmu Windows nie je zmenen² inÜtalaΦn² adresßr zabezpeΦuje aktivßciu
Φerva pri ka₧dom spustenφ systΘmu. Po rozposlanφ svojich k≤piφ posiela
na adresu z14xym432@yahoo.com sprßvu s predmetom Job complete a textom:
Got yet another idiot
Neprφjemn²m nßsledom aktivßcie s·boru
creative.exe je presun vÜetk²ch s·borov s prφponamy .jpg, .zip a .mp3 do
kore≥ovΘho adresßra disku C:. K ich p⌠vodnΘmu nßzvu Φerv pridß ∩alÜiu text
"change atleast now to LINUX". To znßmenß ₧e zmena prebieha pod╛a
nasledovnej schΘmy:
Obrßzok.jpg ------> Obrßzok.jpgchange
atleast now to LINUX
Obrßzok.zip ------> Obrßzok.zipchange
atleast now to LINUX
Hudba.mp3 ------> Hudba.mp3change
atleast now to LINUX
Na zßver Φerv vytvorφ v kore≥ovom adresßri
disku C: s·bor messageforu.txt, ktorΘ obsahuje text:
Hi, guess you have got the
message. I have kept a list of files that I have infected under this. If
you are smart enough just reverse back the process. i could have done far
better damage, i could have even completely wiped your harddisk. Remember
this is a warning & get it sound and clear... - The Penguin
Bezprostrende pod t²mto textom sa nachßdza
zoznam s·borov vrßtane ich p⌠vodnΘho umiestnenia, ktorΘ Φerv presunul do
kore≥ovΘho adresßra disku C a pridal im ∩alÜiu prφponu. Pod╛a tohoto zoznamu
je mo₧nΘ odtrßni¥ nßsledky infekcie aj manußlne. Zoznam vypadß naprφklad
nasledovne:
C:\WINDOWS\SYSTEM\OOBE\IMAGES\BGAMEX.JPG
C:\WINDOWS\SYSTEM\OOBE\IMAGES\BGCC.JPG
VylieΦi¥ svoj poΦφtaΦ po napadnutφ t²mto
Φervom m⌠₧ete naÜou lieΦiacou utilitkou clean_prolin
.
|
|
|
VBS/Jean.A
- Popis Φerva-vφrusu. |
VBS/Jean.A
Je to skriptov² Φerv pochßdzaj·ci pravdepodobne
z Nemecka. O jeho p⌠vode svedΦφ jednak text sprßvy a aj poznßmky autora
v k≤de Φerva. Prichßdza v podobe sprßvy elektronickej poÜty s predmetom
News vom Weihnachtsmann a textom:
Guten Tag,
es ist bald Weihnachten.
Und wie sieht's aus mit sch÷nen Geschenken
?
Hierzu ein Tip vom Weihnachtsmann:
Unter www.leos-jeans.de gibt es die
besten Geschenke im Web !
Das bedeutet absolut stressfreies
Einkaufen, schnelle und unkomplizierte Lieferung, riesige Auswahl.
Also nichts wie hin, und Frohe Weihnachten.
V prφlohe sa nachßdza s·bor s k≤dom Φerva.
Nßzov s·boru prφlohy je najΦastejÜie xmas.vbs, ale m⌠₧e by¥ aj in². Po
spustenφ s·boru v prφlohe Φerv poÜle na prv²ch 50 adries z adresßra Outlooku
svoju k≤piu. Prßzde polo₧ky adresßra Φerv ignoruje.
|
|
|
WIN32/Navidad
- Popis Φerva-vφrusu. |
Win32/Navidad
Je to internetov² Φerv, Üφriaci sa
prostrednφctvom elektronickej poÜty ako s·bor prφlohy s nßzvom Navidad.exe.
Po spustenφ s·boru sa nainÜtaluje do systΘmu a zabezpeΦφ svoju aktivßciu.
Pri ka₧dom spustenφ Φerva objavφ dial≤govΘ
okno s nadpisom "Error" s textou UI. Autor Φerva pri manipulßciφ s registrami
urobil chybu - aj ke∩ telo Φerva je ulo₧enΘ v s·bore winsvrc.vxd, k╛·ce
v registroch pracuj· s nßzvom winsvrc.exe. Aktivita Φerva saprejavuje v
liÜte ·loh prφtomnos¥ou malej ikony s modr²m okom a nemo₧nos¥ou spusti¥
ak²ko╛vek program s prφponou EXE. V tele Φerva sa nachßdzaj· texty v ÜpanielΦine,
ktorΘ s· pou₧itΘ pri zobrazovanφ okien, ak d⌠jde k manipulßciφ s ikonou:
Te estamos mirando..
Lo estamos mirando...
buena eleccion...
Lamentablemente cayo en la tentacion
y perdio su computadora
Feliz Navidad
|
|
WIN32/Navidad
- Popis lieΦenia Φerva-vφrusu. |
-
Stiahnite si z http://www.eset.sk s·bor
winsvrc.exe
a ulo₧te ho na Φist· na disketu.
-
ReÜtartnite poΦφtaΦ a poΦkajte na naÜtartovanie
Windows.
-
Ke∩ sa zobrazφ okno, ktorΘ informuje,
₧e Windows nevie nßjs¥ winsvrc.exe, vlo₧te disketu do mechaniky "A:" a
do editaΦnΘho polφΦka napφÜte "a:\". (Ak sa okno nezobrazφ (Windows ME),
kliknite na ikonu "M⌠j poΦφtaΦ" a skopφrujte s·bor winsvrc.exe z diskety
do systΘmovΘho adresßra Windows (zvyΦajne c:\windows\system na Windows
98, ME, alebo c:\winnt\system32 na Windows NT, 2000)). Potom spustite ╛ubovoln·
aplikßciu.
-
Program vylieΦi Φerv Navidad a zobrazφ
okienko o ·speÜnom lieΦenφ.
-
ReÜtartnite poΦφtaΦ a vyberte disketu
(Prφpadne vyma₧te s·bor winsvrc.exe zo systΘmovΘho adresßra).
|
|
WIN32/Mtx
- Popis vφrusu 26.10.2000 |
Jednß sa jednu z najkomplexnejÜφch
poΦφtaΦov²ch infiltrßciφ poslednej doby. Infiltrßcia pozostßva z vφrusu,
Φerva, backdoorovΘho ftp servera, skriptu pre IRC klienty MIRC a PIRCH
a Φerva. Jeho autorom je medzinßrodnß vφrusovß skupina MATRiX.
╚erv sa inÜtaluje do systΘmu namiesto
s·boru wsock32.dll - vytvorφ jeho napadnut· k≤piu, ktor· doΦasne nazve
wsock32.mtx. Pomocou systΘmovΘho registra zabezpeΦφ jeho aktivßciu pri
nasleduj·com reÜtarte systΘmu. ╚erv prevezme kontrolu nad odosielanφm elektronickej
poÜty a posiela na adresy, na ktorΘ odchßdza poÜta eÜte jednu sprßvu s
rovnak²m nadpisom, ale prßzdnym obsahom a prφlohou, ktorej nßzov vyberß
z nasleduj·cich 31 mo₧nostφ:
README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
FREE_yahoo-email.DOC.pif
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
I_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif
Ve╛mi zaujφmanou Φinnos¥ou Φerva je jeho
aktφvny boj za svoje pre₧itie - nedovolφ prφstup na internetovΘ strßnky,
adresa ktor²ch obsahuje re¥azce:
NAI.
nai.
avp.
AVP.
F-Se
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman
Tak²mto sp⌠sobom zabrßni prφstupu na strßnky
spoloΦnostφ vyrßbaj·cich antivφrusovΘ programy. Na vÜetky tieto strßnky
je mo₧n² prφstup len cez Φφseln· IP adresu. Tieto m⌠₧ete zφska¥ na strßnkach
www.coderz.net/matrix, kde sa p⌠vodne nachßdzala strßnka vφrusovej skupiny
Matrix. T·to strßnku sprßvca servera v s·vislosti s poruÜenφm pravidiel
poskytovanie webovskΘho priestoru zruÜil a dal k dispozφciφ linky na zablokovanΘ
strßnky. (Prφstup na strßnky spoloΦnosti ESET s.r.o. a ESET LLC nie s·
ovplyvnenΘ.)
╧alÜou aktφvnou obranou vφrusu je zablokovanie
mo₧nosti posla¥ email spoloΦnostiam poskytuj·cim antivφrusovΘ programy.
To je realizovanΘ vyh╛adßvanφm re¥azcom v adrese prφjemcu pod╛a nasledovnΘho
zoznamu:
wildlist.o
il.esafe.c
perfectsup
complex.is
HiServ.com
hiserv.com
metro.ch>
beyond.com
mcafee.com
pandasoftw
earthlink.
inexar.com
comkom.co.
meditrade.
mabex.com>
cellco.com
symantec.c
successful
inforamp.n
newell.com
singnet.co
bmcd.com.a
bca.com.nz
trendmicro
sophos.com
maple.com.
netsales.n
f-secure.c
F-Secure.c
╚erv obsahuje text:
wildlist.o
il.esafe.c
perfectsup
complex.is
HiServ.com
hiserv.com
metro.ch>
beyond.com
mcafee.com
pandasoftw
earthlink.
inexar.com
comkom.co.
meditrade.
mabex.com>
cellco.com
symantec.c
successful
inforamp.n
newell.com
singnet.co
bmcd.com.a
bca.com.nz
trendmicro
sophos.com
maple.com.
netsales.n
f-secure.c
F-Secure.c
Backdoor komponent tejto infiltrßcie inÜtaluje
ftp server (s·bor MTX_.EXE), ktor² umo₧nuje "s¥ahovanie" a inÜtalßciu s·borov
a/alebo pluginov z urΦit²ch internetov²ch sajtov. Backdoor obsahuje textov²
re¥azec:
Software provide by [MATRiX] team:
Ultras, Mort, Nbk, Tgr, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and ideas
Vφrusovß komponenta infiltrßcie pou₧φva
technol≤giu znßmu ako Entry Point Obscuring - na rozdiel od klasickΘho
vφrusu nepresmerovavß adresu spustenia programu na svoj k≤d, ale vsunie
na vhodnΘ miesto programu skok. Tßto met≤da mß za cie╛ s¥a₧enie detekcie
antivφrusov²mi programami. Vφrusovß komponenta obsahuje text:
SABI┴ ViRuS
Software provide by
[MATRiX] VX TeAm: Ultras, Mort, Nbk, Tgr, Del_Armg0, Anaktos
Greetz: All VX guy in #virus and Vecna for help us
Visit us at:
http://www.coderz.net/matrix
Vφrus sa po spustenφ nainÜtaluje do systΘmu
a napßda s·bory typu Portable Executable s prφponami EXE, DLL, SCR a OCX
v aktußlnom adresßri, v doΦasnom adresßri a a v adresßri v ktorom s· nainÜtalovanΘ
Windows.
Plugin pre IRC klienty MIRC a PIRCH
zabezpeΦuje Üφrenie infiltrßcie pri pou₧itφ urΦit²ch k╛·Φov²ch slov na
IRC. Plugin pre MIRC naprφklad pri pou₧itφ slov obsahuj·cich re¥azce worm,
virus, file, exe, src bude ignorova¥ osobu, ktorß ich pou₧ila.
Doteraz sa podarilo identifikova¥ 4
varianty tejto infiltrßcie. Infiltrßcie sa be₧ne vyskytuje medzi u₧φvate╛mi.
NaÜtastie jej Üφrenie obmedzuj· poΦetnΘ chyby v jej k≤de.
|
|
VBS.Stages.A
- Popis virusu 20.06.2000 |
Je to Φerv napφsan² v jazyku Visual
Basic Script (VBS). èφri prostrednφctvom e-mailov, ktorΘ sßm rozosiela
na prv²ch 100 adries z adresßra. Subjekt e-mailov m⌠₧e by¥ "Life stages",
"Funny" alebo "Jokes". Niekedy vφrus pridß k tomu slovφΦko "text". Text
e-mailu vΣΦÜinou b²va
"> The male and female stages of life."
prφpadne nasledovan² pozdravom "Bye.". ╚erv sa k e-mailu pripßja ako attachment
s nßzvom LIFE_STAGES.TXT.SHS. Po kliknutφ na tento attachment sa otvorφ
Notepad s t²mto vtipn²m textom:
The male stages of life:
Age. Seduction lines.
17 My parents are away for the weekend.
25 My girlfriend is away for the weekend.
35 My fiancee is away for the weekend.
48 My wife is away for the weekend.
66 My second wife is dead.
Age. Favorite sport.
17 Sex.
25 Sex.
35 Sex.
48 Sex.
66 Napping.
Age. Definiton of a successful date.
17 Tongue.
25 Breakfast.
35 She didn't set back my therapy.
48 I didn't have to meet her kids.
66 Got home alive.
The female stages of life:
Age. Favourite fantasy.
17 Tall, dark and hansome.
25 Tall, dark and hansome with money.
35 Tall, dark and hansome with money and a brain.
48 A man with hair.
66 A man.
Age. Ideal date.
17 He offers to pay.
25 He pays.
35 He cooks breakfast next morning.
48 He cooks breakfast next morning for the kids.
66 He can chew his breakfast.
╚erv sa zapφÜe v systΘmov²ch registroch
ako servisn² proces sp·Ü¥an² pri Ütarte systΘmu. Svoje telo skopφruje do
adresßrov MyDocuments, Programs, System, Windows a Recycled pod menami
LIFE_STAGES.TXT, MSINFO16.TLB, MSRCYCLD.DAT, SCANREG.VBS, RCYCLDBN.DAT,
DBINDEX.VBS a VBASET.OLB. Taktie₧ sa skopφruje na vÜetky dostupnΘ sie¥ovΘ
disky.
╧alej presunie s·bor REGEDIT.EXE do
adresßra RECYCLED a premenuje ho na RECYCLED.VXD.
Dokß₧e sa Üφri¥ aj pomocou programov
MIRC32 a PIRCH98. Aby si toto umo₧nil, vytvorφ v adresßri WINDOWS s·bor
SOUND32B.DLL resp. v adresßri programu PIRCH98 s·bor EVENTS.INI.
|
|
VBS.Newlove
- Popis virusu 19.05.2000 |
Je to Φerv napφsan² v jazyku VBS.
Vznikol modifikßciou Φerva VBS.LoveLetter. Po inÜtalßciφ rozposiela na
vÜetky adresy ulo₧enΘ v adresßri programu Microsoft Outlook svoje k≤pie.
Sprßva, ktorß obsahuje k≤piu tohoto
Φerva mß v poli "Predmet" uvedenΘ pφsmenß FW: (pou₧φvaj· sa na oznaΦenie
∩alej predßvanej sprßvy) nasledovanΘ nßhodn²m menom s·boru, pozostßvaj·cim
z 1 a₧ 30 ve╛k²ch pφsmen. Ako prφponu tohoto s·boru Φerv vyberß jednu z
nasleduj·ceho zoznamu: Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url,
Htm a Txt. Predmet sprßvy m⌠₧e by¥ naprφklad
FW: INOUTGBUIPGNMOM.Gif
Telo sprßvy neobsahuje ₧iaden text.
Sprßva ako prφlohu obsahuje s·bor s rovnak²m nßzvom ako z predmetu sprßvy,
avÜak doplnenΘ o prφponu VBS. Po spustenφ prφlohy sa Φerv aktivuje. Tento
Φerv obsahuje deÜtrukΦn· rutinu, ktorß prepisuje s·bory na vÜetk²ch prφstupn²ch
diskoch k≤piou vφrusu. K takto zniΦen²m s·borom pridß eÜte prφponu VBS.
To znamenß, ₧e s·bor "TETRIS.EXE" po zniΦenφ Φervom bude ma¥ nßzov "TETRIS.EXE.VBS"
╚erv pou₧φva jednoduch² polymorfn²
algoritmus - pri ka₧dej infekcii sa do jeho zdrojovΘho textu vkladaj· riadky
s nßhodn²m komentßrom, Φo vyzerß nasledovne:
'QHISGJQVFMGZMYXLCKDFSGLIRQBM
Set regedit = CreateObject("WScript.Shell")
'QWEMXQVHETUKUXBWMQQQSELAGGOQRNAEWNOYMPVUSFFSWDRBQCLYL
To sp⌠sobuje postupnΘ narastanie dσ₧ky
Φerva, ktorΘho ve╛kos¥ m⌠₧e by¥ aj nieko╛ko MB.
|
|
VBS.LoveLetter
- Popis virusu 04.05.2000 |
Je to script vφrus napφsan² v jazyku
VBS. Vφrus sa v²znamne rozÜφril vo ve╛mi krßtkej dobe zhruba od poludnia
04. mßja 2000. Na zaΦiatku vφrusu je text:
rem barok -loveletter(vbe) rem by:
spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines
Vφrus po spustenφ modifikuje nastavenie
script timeout. Do adresßra "windows" zapisuje s·bor WIN32DLL a do adresßra
"system" s·bory MSKernel32VBS a LOVE-LETTER-FOR-YOU.TXT.VBS. VÜetky tieto
s·bory obsahuj· k≤d vφrusu.
Prßca s registrami:
Vytvßra k╛·Φe
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32",
dirsystem&"\MSKernel32.vbs" a
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL",
dirwin&"\Win32DLL.vbs".
ZabezpeΦφ, aby sa po spustenφ Microsoft
Internet Explorera stiahla zo servera www.skyinet.net a spustila jedna
zo Ütyroch verziφ s·boru WIN-BUGFIX.EXE
Html: Vφrus vytvßra v systΘmovom adresßri
s·bor LOVE-LETTER-FOR-YOU.HTM , ktor² obsahuje Φerva Üφriaceho sa pomocou
programu mIRC.
E-mail: V prφpade, ₧e u₧φvate╛ pou₧φva
mailov² klient MS Outlook, vφrus rozoÜle na vÜetky adresy v adresßroch
e-mail obsahuj·ci nasledovnΘ Φasti: Subjekt: ILOVEYOU Text sprßvy: kindly
check the attached LOVELETTER coming from me. Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs
Aktivity so s·bormi: S·bory s prφponami:
".js", ".jse", ".css", ".wsh", ".sct" a ".hta", vφrus prepφÜe svojφm k≤dom.
K s·borom s prφponami ".jpg", ".jpeg", ".mp3" or ".mp2" vytvorφ s·bory
s rovnak²m menom ale s pridanou ∩alÜou prφponou "vbs". V s·boroch sa opΣ¥
nachßdza k≤d vφrusu. V prφpade "jpeg" a "jpg" originßl s·boru zma₧e. S·bory
vyh╛adßva vo vÜetk²ch adresßroch vÜetk²ch diskov.
|
|
Novß
epidΘmia Φerva Pretty Park |
Pod╛a ·dajov Φlenov celosvetovej organizßcie
Wildlist
International znova prudko narastß poΦet infiltrßciφ sp⌠soven²ch
Φervom Win32/PrettyPark. Kopφruje tak
nßrast ob╛uby komedißlneho serißlu South Park, ktorΘho postaviΦka Kyle
bola pou₧itß ako ikona v Φerve. RozÜφrilo sa u₧ nieko╛ko variantov, lφÜiacich
sa od seba najmΣ komprimßciou. Popis tohoto Φerva nßjdete vo vφrusovej
encyklopΘdii.NOD32 od verzie 1.33 toto lieΦenie automatizuje.
|
LieΦenie
Φerva Pretty Park |
-
Vypnite rezidentn· ochranu Amon a zavrite
vÜetky aplikßcie.
-
Spustite program regedit.exe
-
V ╛avej Φasti hlavnΘho okna programu regedit
kliknite na polo₧ku (k╛·Φ) HKEY_CLASSES_ROOT
-
V k╛·Φi HKEY_CLASSES_ROOT potom
postupne otvßrajte podk╛·Φe exefile, v ≥om shell, v ≥om k╛·Φ
open
a nakoniec k╛·Φ command. V dolnom stavovom riadku editora regedit
by mal byt text:
My Computer\HKEY_CLASSES_ROOT\exefile\shell\open\command
-
V pravej Φasti hlavnΘho okna programu
regedit by mala byt hodnota polo₧ky: (Default) "FILES32.VXD "%1" %*"
-
Kliknite myÜou na t·to polo₧ku, aby sa
zobrazilo okienko, kde sa dß meni¥ hodnota polo₧ky. Zme≥te t·to hodnotu
z: FILES32.VXD "%1" %* na "%1" %*
-
Po potvrdenφ by sa v pravej Φasti hlavnΘho
okna programu regedit by mala objavi¥ hodnota polo₧ky: (Default) ""%1"
%*"
-
ReÜtartnite poΦφtaΦ v MS-DOS m≤de a prφkazom:
del c:\windows\system\files32.vxd
zma₧te s·bor zo systΘmu. Ak je Windows nainÜtalovan² v inom adresßri, resp.
inom disku, upravte cestu v prφkaze del k s·boru files32.vxd.
-
Po prφkaze: exit by sa mal naÜtartova¥
systΘm Windows a poΦφtaΦ by mal by¥ vylieΦen².
|
|
|
|
Poslednß aktualizßcia:
|
|
|