INDEX: 

    1. ╚erv VBS/SST (alias Vbs.OnTheFly) - 12.02.2001
    2. Win32/Hybris - 26.01.2001
    3. Win32/Navidad.B - Emanuel - 11.01.2001
    4. W97M/Ftip - 09.01.2001
    5. I-Worm.ENERGY - 05.01.2001
    6. WIN32/Verona - 12.12.2000
    7. WIN32/Prolin - 08.12.2000
    8. VBS/Jean.A - 30.11.2000
    9. Win32/Navidad - 17.11.2000
    10. Win32/Mtx - 26.10.2000
    11. VBS.Stage.A - 20.06.2000
    12. VBS.NewLove - 16.05.2000
    13. VBS.LoveLetter - 4.05.2000
    14. PrettyPark - 1.04.2000
 
VBS/SST (alias Vbs.OnTheFly) - Popis Φerva.
 
VBS/SST (alias Vbs.OnTheFly)

╚erv je napφsan² vo Visual Basic Script (VBS) a Üφri e-mailom ktorΘho subjekt je:
   Here you have, ;o)

V texte e-mailu je:
   Hi:
   Check This!

Prφlohu tvorφ s·bor AnnaKournikova.jpg.vbs, ktor² obsahuje telo Φerva. Kurnikovß je znßma ruskß tenistka a prvß prφpona s·boru je klamnß.

Telo Φerva zaΦφna re¥azcom Vbs.OnTheFly Created By OnTheFly a konΦφ re¥azcom Vbswg 1.50b.

Do polo₧ky v registroch HKEY_CURRENT_USER\SOFTWARE\ONTHEFLY\ zapφÜe Worm made with Vbswg 1.50b. Polo₧ku HKEY_CURRENT_USER\SOFTWARE\ONTHEFLY\MAILED pou₧φva na poznaΦenie vykonanΘho rozoslania svojho tela. Ak sa v nej nenachßdza jedniΦka, vytvorφ spomenut² e-mail a rozoÜle ho na vÜetky adresy v adresßri.

26. Janußra spustφ web browser s adresou re¥azca poΦφtaΦov²ch obchodov v Holandsku www.dynabyte.nl.

Okrem tejto reklamy Φerv nevykonßva ₧iadnu deÜtrukΦn· Φinnos¥.

WIN32/Hybris - Popis Φerva.
 
Win32/Hybris

Win32/Hybris je emailov² Φerv s implementovanou schopnos¥ou modifikova¥ svoje vlastnosti prostrednφctvom doplnkov²ch modulov - pluginov, ktorΘ mo₧e zφskava¥ prostrednφctvom internetu. èφri v podobe s·borov prφloh elektronickej poÜty s nßhodn²m menom a prφponou bu∩ EXE alebo SCR. Po spustenφ sa Φerv pok·Üa infikova¥ s·bor WSOCK32.DLL. V prφpade, ak sa tßto kni₧nica pou₧φva, infekcia neprebehne, ale Φerv zabezpeΦφ svoju aktivßciu prostrednφctvom vytvorenia k╛·Φa v systΘmovom registri a to bu∩ v

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
alebo
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

╚erv napadnutφm WSOCK32.DLL zφska prφstup k funcißm zabezpeΦuj·cim odosielanie a prijφmanie poÜty a nadvΣzovaniu sie¥ovΘho spojenia. Pomocou uveden²ch funkciφ sa sna₧φ zφskava¥ adresy elektronickej poÜty a posiela¥ na ne svoje k≤pie. Tak₧e naprφklad po odoslanφ elektonickej poÜty na adresu niekto@nikde.uplne.inde o chvφ╛u Φerv na t· ist· adresu poÜle email v ktorΘho prφlohe je jeho k≤pia.

Tento Φerv ∩alej rozvφja v poslednej dobe rozÜφren· technol≤giu ugradovanie poΦφtaΦov²ch infiltrßciφ pomocou internetu. Pomocou pluginov m⌠₧e Win32/Hybris podstatne meni¥ svoje vlastnosti. Pluginy m⌠₧e Φerv zφskava¥ prostrednφctvom Usenetu z newsserverov (protokol nntp), jednak prostrednφctvom protokolu http (sl·₧i na prezeranie webstrßnok). Jeden z pluginov sp⌠sobil zahltenie antivφrusovej konferencia alt.comp.virus, ke∩ naprφklad 9. decembra 2000 bolo do konferencie Φervom odoslan²ch 444 sprßv s predmetmi ako

text DFDE DefefSzKHmDCbqvyreHuraLqHSnyPmvKnWjKbSHqrOTqzGU
text JJJI jiXyzWXaTijyHSbKXOXqPyU
encr XJWH WHqzafqzWvubWDunyHOjWLaTWzCfqXenenmrGfCvuB
encr SORM rmzODGXqzGnmjWZ

Sprßva s tak²mto alebo podobn²m predmetom obsahuje telo Φerva zak≤davanΘ variantom algoritmu RSA. PrvΘ Ütyri znaky s· vlastne "nßzvom " pluginu, nasleduje medzera a Ütyri znaky oznaΦuj·ce "verziu". Nasleduj·ci re¥azec re¥azec je pre ka₧d· z verziφ konÜtantn². Sprßva ∩alej obsahuje zak≤dovan² vlastn² k≤d pluginu uzavret² medzi znaky "****".╚erv kontroluje svoje pluginy a v prφpade, ₧e zistφ verziu pluginu, ktorß je vyÜÜia ako tß, ktor· aktußlne obsahuje, nahradφ p⌠vodn· novou. ╧alÜie pluginy dopσ≥aj· o infekciu archφvov typu RAR a ZIP, infekciu s·borov typu PE, polymorfizmus, nßhodn· vo╛ba subjektu a mena s·boru v elektrockej poÜte, o grafick² efekt Üpirßly, infikovanie poΦφtaΦov s inÜtalovan²m trojanom SubSeven.

V tele Φerva sa nachßdzaj· texty:

Software\Microsoft\Windows\CurrentVersion\RunOn
a
(c) Vecna

╚erv je vybaven² mechanizmom autorizßcie pluginov, ktor² zabezpeΦφ, ₧e pou₧itΘ bud· len moduly, ktorΘ certifikuje jeho autor.

WIN32/Navidad.B - Emanuel - Popis lieΦenia Φerva-vφrusu.
 
Win32/Navidad.B - Emanuel

  1. Stiahnite si z http://www.eset.sk s·bor wintask.exe a ulo₧te ho na Φist· na disketu. 
  2. Skopφrujte s·bor wintask.exe do systΘmovΘho adresßra Windows pomocou ikonky M⌠j poΦφtaΦ. 
  3. Spustite ╛ubovoln· aplikßciu (napr. Notepad). 
  4. Malo by sa zobrazi¥ okno, ₧e lieΦenie prebehlo ·speÜne. 
  5. Skontrolujte cel² poΦφtaΦ aktußlnou verziou NOD32. S·bor "wintask.exe" sa vyma₧e sßm pri najbli₧Üom reÜtarte. 
W97M/Ftip - Popis vφrusu.
 
W97M/Ftip

Je to Φerv napφsan² vo Visual Basicu, Üφriaci sa ako prφloha elektronickej poÜty v prostredφ kancelßrskeho balφka Microsoft Office. Prichßdza v podobe s·boru ftip.doc ako prφloha sprßvy elektronickej poÜty s predmetom:
RE:.
V tele sprßvy sa nachßdza nasledovn² text:

Chtel si ftipy, tak tady je mas!!! ;)))

[doc]
---
Odchozφ zprßva neobsahuje viry.
Zkontrolovßno antivirov²m systΘmem AVG (http://www.grisoft.cz).
Verze: 6.0.219 / Virovß bßze: 103 - datum vydßnφ: 5.12.2000

Namiesto pφsmen doc Φerv doplnφ meno aktußlneho u₧φvate╛a poΦφtaΦa. Samotn² k≤d Φerva sa zaΦφna dvoma riadkami s komentßrom, v ktorom mo₧no identifikova¥ nßzov, ktor² chcel da¥ svojmu v²tvoru autor a jeho podpis. Tieto riadky s·:
' W97/2k.i0nSt0rm
' Code by gl_st0rm

╚erv po naΦφtanφ infikovanΘho dokumentu vypne zobrazovanie upozornenφ, ktorΘ by ho mohli prezradi¥. Zakß₧e naprφklad zobrazovanie ch²b vo Visual Basicu, upozornenia na konverziu makier a ochranu proti vφrusom. ╧alej nastavφ ·rove≥ bezpeΦnosti pre Microsoft Office na hodnotu 1 (najni₧Üia hodnota). Potom nasleduje rozposlanie svojich k≤piφ na prv²ch 30 adresies elektornickej poÜty, ktorΘ sa nachßdzaj· v adresßri. To, ₧e z tohoto poΦφtaΦa u₧ bol Φerv rozposlan² si poznaΦφ vytvorenφm k╛·Φa v systΘmovom registri: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\i0nSt0rm a nastavenφm jeho hodnoty na ...by gl. To zabezpeΦφ, ₧e Φerv svoje rozposielanie nebude viac opakova¥. Po zatvorenφ infikovanΘho dokumentu sa v jednom prφpade z troch zobrazφ nasledovnΘ okno:

 
I-Worm.ENERGY - Popis vφrusu.
 
I-worm.ENERGY

Tento Φerv pochßdza z ╚eskej republiky a mß ve╛mi zaujφmav² sp⌠sob Üφrenia sa. Z napadnutΘho poΦφtaΦa sa Üφri pomocou s·borov ktorΘ ako prφloha sprevßdzaj· sprßvy elektronickej poÜty. NeÜφri sa vÜak v ka₧dej prφlohe, ale len v t²ch ktorΘ s· skomprimovanΘ pomocou programu RAR. Do archφvneho s·boru Φerv doplnφ s·bor SETUP.EXE, ktor² obsahuje jeho k≤piu.

Po spustenφ s·boru SETUP.EXE z napadnutΘho archφvu sa tento Φerv skopφruje ako s·bor ENERGY.EXE do systΘmovΘho adresßra Windows (typicky je to C:\WINDOWS\SYSTEM), ktor² si zistφ volanφm API funkcie GetSystemDirectory. Potom sa zaregistruje ako systΘmovß slu₧ba a naimportuje si adresy systΘmov²ch funkciφ. Zistuje aktußlne be₧iace procesy a na pozadφ ich sk·Üa infikova¥. Ak napßdan² proces pou₧φva kni₧nicu MAPI32.DLL, potom pre tento proces modifikuje funkciu MAPISendMail, ktor· sa pou₧φva pri odosielanφ elektonickej poÜty. ╚erv pri odosielanφ kontroluje poΦet prφloh, zis¥uje Φi nemaj· prφponu RAR a v takom prφpade ich napßda.

Ka₧dß k≤pia Φerva obsahuje text:
[I-Worm.Energy] by Benny/29A.  
WIN32/Verona - Popis vφrusu.
 
WIN32/Verona
Tento internetov² Φerv bol prv² raz zachyten² v Po╛sku. Vyu₧φva chybu help systΘmu Windows s nßzvom "HTML Help File Code Execution", ktorß umo₧≥uje spustenie spustenie programovΘho k≤du prostrednφctvom systΘmu HTML Help. Tßto chyba postihuje Microsoft Explorer verziφ 4.0, 4.01, 5.0 a 5.01. Podrobn² popis chyby nßjdete na adrese www.microsoft.com/technet/security/bulletin/fq00-037.asp. Ak mßte vo svojom systΘme verziu Internet Explorera, ktorß je postihnutß touto chybou, na adrese www.microsoft.com/TechNet/security/bulletin/ms00-037.asp si m⌠₧ete stiahnu¥ opravu.

Win32/Verona.A
╚erv je napφsan² v Delphi, jeho telo je komprimovanΘ utilitou UPX. èφri sa ako sprßva elektronickej poÜty s predmetom nßhodne vybran²m z nasledovnΘho zoznamu:

Romeo&Juliet
:))))))
hello world
!!??!?!?
subject
ble bla, bee
I Love You ;)
sorry...
Hey you !
Matrix has you...
my picture
from shake-beer
Sprßva mß v prφlohe s·bory myjuliet.chm a myromeo.exe. S·bory s prφponou CHM obsahuj· skompilovan² s·bor pre HTML help. Samotnß sprßva je v HTML formßte a obsahuje skript, ktorΘho ·lohou je spusti¥ s·bor myjuliet.chm. Po otvorenφ sprßvy, v ktorej prichßdza Φerv sa vykonß skript a spustφ s·bor myjuliet.chm. Tento help s·bor aktivuje vlastn² k≤d Φervu - s·bor myromeo.exe. Po svojom spustenφ myromeo.exe rozpoÜle svoje k≤pie na adresy v adresßri s vyu₧itφm jednΘho zo serverov umo₧nuj·cich "Relay" elektronickej poÜty pod╛a nasleduj·ceho zoznamu:
212.244.199.2
195.117.152.91
195.116.62.86
194.153.216.60
195.117.99.98
213.25.111.2
Win32/Verona.B
Tento Φerv vychßdza z Win32/Verona.A, nßzvy prφloh sa zmenili na xjuliet.chm a xromeo.exe. Spustenie s·boru xromeo.exe prebehne rovnako ako u Win32/Verona.A. RozpoÜle svoje k≤pie a v adresßri C:\Windows\ sa vytvorφ s·bor sysrnj.exe, ktor² obsahuje k≤piu Φerva. Manipulßciou so systΘmov²m registrom vytvorφ asocißciu medzi svojou k≤piu v s·bore sysrnj.exe a prφponami s·borov z nasledovnΘho zoznamu:
exe
jpg
jpeg
jpe
bmp
gif
avi
mpg
mpeg
wmf
wma
wmw
mp3
mp2
vqf
doc
xls
zip
rar
lha
arj
reg
To sp⌠sobφ jej aktivßciu pri dvojitom kliknutφ na s·bor s ktorouko╛vek vyÜÜie uvedenou prφponou. Zoznam subjektov sprßv, ktorΘ pou₧φva tento variant na svoje Üφrenie sa zmenil: 
Romeo&Juliet
where is my juliet ?
where is my romeo ?
hi
last wish ???
lol :)
,,...
!!!
newborn
merry christmas!
surprise !
Caution: NEW VIRUS !
scandal !
Zoznam serverov, ktorΘ Φerv m⌠₧e pou₧i¥ sa podstatne rozÜφril: 
195.117.117.6
212.244.197.164
195.205.96.185
195.116.104.14
195.117.3.111
195.116.221.65
212.244.67.20
194.181.138.141
195.205.121.183
195.117.88.7
212.160.95.1
212.244.241.81
195.205.208.33
212.106.133.133
195.116.72.5
213.25.175.3
195.117.99.98
213.25.111.2
Za pou₧itia newsservera na adrese 213.25.200.9 (news.tpi.pl) posiela sprßvu do konferencie alt.comp.virus. Sprßva mß pochßdza od "Romeo&Juliet" <romeo@juliet.v>. 
 
WIN32/Prolin - Popis Φerva-vφrusu.
 
WIN32/Prolin

Je to internetov² Φerv napφsan² vo Visual Basicu, Üφriaci sa ako prφloha elektonickej poÜty v programe Microsoft Outlook. Prichßdza v podobe emailu s predmetom A great shockwave flash movie ako s·bor prφlohy s nßzvom creative.exe. V tele sprßvy sa nachßdza text:

Check out this new flash movie that I downloaded just now ... It's Great
Bye
Po spustenφ s·boru prφlohy Φerv poÜle svoju k≤piu na vÜetky adresy v zozname adries Outlooku. V adresßri C:\WINDOWS\StartMenu\Programs\StartUp\ vytvorφ svoju k≤piu - s·bor creative.exe. To v prφpade, ₧e pri inÜtalßciφ systΘmu Windows nie je zmenen² inÜtalaΦn² adresßr zabezpeΦuje aktivßciu Φerva pri ka₧dom spustenφ systΘmu. Po rozposlanφ svojich k≤piφ posiela na adresu z14xym432@yahoo.com sprßvu s predmetom Job complete a textom:
Got yet another idiot
Neprφjemn²m nßsledom aktivßcie s·boru creative.exe je presun vÜetk²ch s·borov s prφponamy .jpg, .zip a .mp3 do kore≥ovΘho adresßra disku C:. K ich p⌠vodnΘmu nßzvu Φerv pridß ∩alÜiu text "change atleast now to LINUX". To znßmenß ₧e zmena prebieha pod╛a nasledovnej schΘmy:
 
Obrßzok.jpg ------> Obrßzok.jpgchange atleast now to LINUX
Obrßzok.zip ------> Obrßzok.zipchange atleast now to LINUX
Hudba.mp3 ------> Hudba.mp3change atleast now to LINUX
Na zßver Φerv vytvorφ v kore≥ovom adresßri disku C: s·bor messageforu.txt, ktorΘ obsahuje text:
Hi, guess you have got the message. I have kept a list of files that I have infected under this. If you are smart enough just reverse back the process. i could have done far better damage, i could have even completely wiped your harddisk. Remember this is a warning & get it sound and clear... - The Penguin 
Bezprostrende pod t²mto textom sa nachßdza zoznam s·borov vrßtane ich p⌠vodnΘho umiestnenia, ktorΘ Φerv presunul do kore≥ovΘho adresßra disku C a pridal im ∩alÜiu prφponu. Pod╛a tohoto zoznamu je mo₧nΘ odtrßni¥ nßsledky infekcie aj manußlne. Zoznam vypadß naprφklad nasledovne:
C:\WINDOWS\SYSTEM\OOBE\IMAGES\BGAMEX.JPG
C:\WINDOWS\SYSTEM\OOBE\IMAGES\BGCC.JPG
VylieΦi¥ svoj poΦφtaΦ po napadnutφ t²mto Φervom m⌠₧ete naÜou lieΦiacou utilitkou clean_prolin .
 
VBS/Jean.A - Popis Φerva-vφrusu.
 
VBS/Jean.A

Je to skriptov² Φerv pochßdzaj·ci pravdepodobne z Nemecka. O jeho p⌠vode svedΦφ jednak text sprßvy a aj poznßmky autora v k≤de Φerva. Prichßdza v podobe sprßvy elektronickej poÜty s predmetom News vom Weihnachtsmann a textom:

Guten Tag,

es ist bald Weihnachten.
Und wie sieht's aus mit sch÷nen Geschenken ?
Hierzu ein Tip vom Weihnachtsmann: 
Unter www.leos-jeans.de gibt es die besten Geschenke im Web !
Das bedeutet absolut stressfreies Einkaufen, schnelle und unkomplizierte Lieferung, riesige Auswahl.

Also nichts wie hin, und Frohe Weihnachten. 

V prφlohe sa nachßdza s·bor s k≤dom Φerva. Nßzov s·boru prφlohy je najΦastejÜie xmas.vbs, ale m⌠₧e by¥ aj in². Po spustenφ s·boru v prφlohe Φerv poÜle na prv²ch 50 adries z adresßra Outlooku svoju k≤piu. Prßzde polo₧ky adresßra Φerv ignoruje. 
 
WIN32/Navidad - Popis Φerva-vφrusu.
 
Win32/Navidad

Je to internetov² Φerv, Üφriaci sa prostrednφctvom elektronickej poÜty ako s·bor prφlohy s nßzvom Navidad.exe. Po spustenφ s·boru sa nainÜtaluje do systΘmu a zabezpeΦφ svoju aktivßciu.

Pri ka₧dom spustenφ Φerva objavφ dial≤govΘ okno s nadpisom "Error" s textou UI. Autor Φerva pri manipulßciφ s registrami urobil chybu - aj ke∩ telo Φerva je ulo₧enΘ v s·bore winsvrc.vxd, k╛·ce v registroch pracuj· s nßzvom winsvrc.exe. Aktivita Φerva saprejavuje v liÜte ·loh prφtomnos¥ou malej ikony s modr²m okom a nemo₧nos¥ou spusti¥ ak²ko╛vek program s prφponou EXE. V tele Φerva sa nachßdzaj· texty v ÜpanielΦine, ktorΘ s· pou₧itΘ pri zobrazovanφ okien, ak d⌠jde k manipulßciφ s ikonou:

Te estamos mirando..
Lo estamos mirando...
buena eleccion...
Lamentablemente cayo en la tentacion y perdio su computadora
Feliz Navidad
WIN32/Navidad - Popis lieΦenia Φerva-vφrusu.
 
  1. Stiahnite si z http://www.eset.sk s·bor winsvrc.exe a ulo₧te ho na Φist· na disketu. 
  2. ReÜtartnite poΦφtaΦ a poΦkajte na naÜtartovanie Windows. 
  3. Ke∩ sa zobrazφ okno, ktorΘ informuje, ₧e Windows nevie nßjs¥ winsvrc.exe, vlo₧te disketu do mechaniky "A:" a do editaΦnΘho polφΦka napφÜte "a:\". (Ak sa okno nezobrazφ (Windows ME), kliknite na ikonu "M⌠j poΦφtaΦ" a skopφrujte s·bor winsvrc.exe z diskety do systΘmovΘho adresßra Windows (zvyΦajne c:\windows\system na Windows 98, ME, alebo c:\winnt\system32 na Windows NT, 2000)). Potom spustite ╛ubovoln· aplikßciu. 
  4. Program vylieΦi Φerv Navidad a zobrazφ okienko o ·speÜnom lieΦenφ. 
  5. ReÜtartnite poΦφtaΦ a vyberte disketu (Prφpadne vyma₧te s·bor winsvrc.exe zo systΘmovΘho adresßra). 
WIN32/Mtx - Popis vφrusu 26.10.2000
 
Jednß sa jednu z najkomplexnejÜφch poΦφtaΦov²ch infiltrßciφ poslednej doby. Infiltrßcia pozostßva z vφrusu, Φerva, backdoorovΘho ftp servera, skriptu pre IRC klienty MIRC a PIRCH a Φerva. Jeho autorom je medzinßrodnß vφrusovß skupina MATRiX. 

╚erv sa inÜtaluje do systΘmu namiesto s·boru wsock32.dll - vytvorφ jeho napadnut· k≤piu, ktor· doΦasne nazve wsock32.mtx. Pomocou systΘmovΘho registra zabezpeΦφ jeho aktivßciu pri nasleduj·com reÜtarte systΘmu. ╚erv prevezme kontrolu nad odosielanφm elektronickej poÜty a posiela na adresy, na ktorΘ odchßdza poÜta eÜte jednu sprßvu s rovnak²m nadpisom, ale prßzdnym obsahom a prφlohou, ktorej nßzov vyberß z nasleduj·cich 31 mo₧nostφ:  

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
FREE_yahoo-email.DOC.pif
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
I_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif
Ve╛mi zaujφmanou Φinnos¥ou Φerva je jeho aktφvny boj za svoje pre₧itie - nedovolφ prφstup na internetovΘ strßnky, adresa ktor²ch obsahuje re¥azce:  
NAI.
nai.
avp.
AVP.
F-Se
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman
Tak²mto sp⌠sobom zabrßni prφstupu na strßnky spoloΦnostφ vyrßbaj·cich antivφrusovΘ programy. Na vÜetky tieto strßnky je mo₧n² prφstup len cez Φφseln· IP adresu. Tieto m⌠₧ete zφska¥ na strßnkach www.coderz.net/matrix, kde sa p⌠vodne nachßdzala strßnka vφrusovej skupiny Matrix. T·to strßnku sprßvca servera v s·vislosti s poruÜenφm pravidiel poskytovanie webovskΘho priestoru zruÜil a dal k dispozφciφ linky na zablokovanΘ strßnky. (Prφstup na strßnky spoloΦnosti ESET s.r.o. a ESET LLC nie s· ovplyvnenΘ.) 

╧alÜou aktφvnou obranou vφrusu je zablokovanie mo₧nosti posla¥ email spoloΦnostiam poskytuj·cim antivφrusovΘ programy. To je realizovanΘ vyh╛adßvanφm re¥azcom v adrese prφjemcu pod╛a nasledovnΘho zoznamu:  

wildlist.o
il.esafe.c
perfectsup
complex.is
HiServ.com
hiserv.com
metro.ch>
beyond.com
mcafee.com
pandasoftw
earthlink.
inexar.com
comkom.co.
meditrade.
mabex.com>
cellco.com
symantec.c
successful
inforamp.n
newell.com
singnet.co
bmcd.com.a
bca.com.nz
trendmicro
sophos.com
maple.com.
netsales.n
f-secure.c
F-Secure.c
╚erv obsahuje text: 
wildlist.o
il.esafe.c
perfectsup
complex.is
HiServ.com
hiserv.com
metro.ch>
beyond.com
mcafee.com
pandasoftw
earthlink.
inexar.com
comkom.co.
meditrade.
mabex.com>
cellco.com
symantec.c
successful
inforamp.n
newell.com
singnet.co
bmcd.com.a
bca.com.nz
trendmicro
sophos.com
maple.com.
netsales.n
f-secure.c
F-Secure.c
Backdoor komponent tejto infiltrßcie inÜtaluje ftp server (s·bor MTX_.EXE), ktor² umo₧nuje "s¥ahovanie" a inÜtalßciu s·borov a/alebo pluginov z urΦit²ch internetov²ch sajtov. Backdoor obsahuje textov² re¥azec:  
Software provide by [MATRiX] team:
Ultras, Mort, Nbk, Tgr, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and ideas
Vφrusovß komponenta infiltrßcie pou₧φva technol≤giu znßmu ako Entry Point Obscuring - na rozdiel od klasickΘho vφrusu nepresmerovavß adresu spustenia programu na svoj k≤d, ale vsunie na vhodnΘ miesto programu skok. Tßto met≤da mß za cie╛ s¥a₧enie detekcie antivφrusov²mi programami. Vφrusovß komponenta obsahuje text:  
SABI┴ ViRuS
Software provide by 
 [MATRiX] VX TeAm: Ultras, Mort, Nbk, Tgr, Del_Armg0, Anaktos
Greetz: All VX guy in #virus and Vecna for help us
Visit us at:
http://www.coderz.net/matrix
Vφrus sa po spustenφ nainÜtaluje do systΘmu a napßda s·bory typu Portable Executable s prφponami EXE, DLL, SCR a OCX v aktußlnom adresßri, v doΦasnom adresßri a a v adresßri v ktorom s· nainÜtalovanΘ Windows. 

Plugin pre IRC klienty MIRC a PIRCH zabezpeΦuje Üφrenie infiltrßcie pri pou₧itφ urΦit²ch k╛·Φov²ch slov na IRC. Plugin pre MIRC naprφklad pri pou₧itφ slov obsahuj·cich re¥azce worm, virus, file, exe, src bude ignorova¥ osobu, ktorß ich pou₧ila. 

Doteraz sa podarilo identifikova¥ 4 varianty tejto infiltrßcie. Infiltrßcie sa be₧ne vyskytuje medzi u₧φvate╛mi. NaÜtastie jej Üφrenie obmedzuj· poΦetnΘ chyby v jej k≤de. 
 
 
VBS.Stages.A - Popis virusu 20.06.2000
 
Je to Φerv napφsan² v jazyku Visual Basic Script (VBS). èφri prostrednφctvom e-mailov, ktorΘ sßm rozosiela na prv²ch 100 adries z adresßra. Subjekt e-mailov m⌠₧e by¥ "Life stages", "Funny" alebo "Jokes". Niekedy vφrus pridß k tomu slovφΦko "text". Text e-mailu vΣΦÜinou b²va 
"> The male and female stages of life." prφpadne nasledovan² pozdravom "Bye.". ╚erv sa k e-mailu pripßja ako attachment s nßzvom LIFE_STAGES.TXT.SHS. Po kliknutφ na tento attachment sa otvorφ Notepad s t²mto vtipn²m textom: 
The male stages of life: 

Age. Seduction lines. 
17   My parents are away for the weekend. 
25   My girlfriend is away for the weekend. 
35   My fiancee is away for the weekend. 
48   My wife is away for the weekend. 
66   My second wife is dead. 

Age. Favorite sport. 
17   Sex. 
25   Sex. 
35   Sex. 
48   Sex. 
66   Napping. 

Age. Definiton of a successful date. 
17   Tongue. 
25   Breakfast. 
35   She didn't set back my therapy. 
48   I didn't have to meet her kids. 
66   Got home alive. 

The female stages of life: 

Age. Favourite fantasy. 
17   Tall, dark and hansome. 
25   Tall, dark and hansome with money. 
35   Tall, dark and hansome with money and a brain. 
48   A man with hair. 
66   A man. 

Age. Ideal date. 
17   He offers to pay. 
25   He pays. 
35   He cooks breakfast next morning. 
48   He cooks breakfast next morning for the kids. 
66   He can chew his breakfast.
╚erv sa zapφÜe v systΘmov²ch registroch ako servisn² proces sp·Ü¥an² pri Ütarte systΘmu. Svoje telo skopφruje do adresßrov MyDocuments, Programs, System, Windows a Recycled pod menami LIFE_STAGES.TXT, MSINFO16.TLB, MSRCYCLD.DAT, SCANREG.VBS, RCYCLDBN.DAT, DBINDEX.VBS a VBASET.OLB. Taktie₧ sa skopφruje na vÜetky dostupnΘ sie¥ovΘ disky.

╧alej presunie s·bor REGEDIT.EXE do adresßra RECYCLED a premenuje ho na RECYCLED.VXD.

Dokß₧e sa Üφri¥ aj pomocou programov MIRC32 a PIRCH98. Aby si toto umo₧nil, vytvorφ v adresßri WINDOWS s·bor SOUND32B.DLL resp. v adresßri programu PIRCH98 s·bor EVENTS.INI.
 
VBS.Newlove - Popis virusu 19.05.2000
 
Je to Φerv napφsan² v jazyku VBS. Vznikol modifikßciou Φerva VBS.LoveLetter. Po inÜtalßciφ rozposiela na vÜetky adresy ulo₧enΘ v adresßri programu Microsoft Outlook svoje k≤pie. 

Sprßva, ktorß obsahuje k≤piu tohoto Φerva mß v poli "Predmet" uvedenΘ pφsmenß FW: (pou₧φvaj· sa na oznaΦenie ∩alej predßvanej sprßvy) nasledovanΘ nßhodn²m menom s·boru, pozostßvaj·cim z 1 a₧ 30 ve╛k²ch pφsmen. Ako prφponu tohoto s·boru Φerv vyberß jednu z nasleduj·ceho zoznamu: Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm a Txt. Predmet sprßvy m⌠₧e by¥ naprφklad

FW: INOUTGBUIPGNMOM.Gif

Telo sprßvy neobsahuje ₧iaden text. Sprßva ako prφlohu obsahuje s·bor s rovnak²m nßzvom ako z predmetu sprßvy, avÜak doplnenΘ o prφponu VBS. Po spustenφ prφlohy sa Φerv aktivuje. Tento Φerv obsahuje deÜtrukΦn· rutinu, ktorß prepisuje s·bory na vÜetk²ch prφstupn²ch diskoch k≤piou vφrusu. K takto zniΦen²m s·borom pridß eÜte prφponu VBS. To znamenß, ₧e s·bor "TETRIS.EXE" po zniΦenφ Φervom bude ma¥ nßzov "TETRIS.EXE.VBS" 

╚erv pou₧φva jednoduch² polymorfn² algoritmus - pri ka₧dej infekcii sa do jeho zdrojovΘho textu vkladaj· riadky s nßhodn²m komentßrom, Φo vyzerß nasledovne: 

 'QHISGJQVFMGZMYXLCKDFSGLIRQBM
                Set regedit = CreateObject("WScript.Shell")
 'QWEMXQVHETUKUXBWMQQQSELAGGOQRNAEWNOYMPVUSFFSWDRBQCLYL

To sp⌠sobuje postupnΘ narastanie dσ₧ky Φerva, ktorΘho ve╛kos¥ m⌠₧e by¥ aj nieko╛ko MB. 
 
VBS.LoveLetter - Popis virusu 04.05.2000
 
Je to script vφrus napφsan² v jazyku VBS. Vφrus sa v²znamne rozÜφril vo ve╛mi krßtkej dobe zhruba od poludnia 04. mßja 2000. Na zaΦiatku vφrusu je text: 
rem barok -loveletter(vbe) rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines 

Vφrus po spustenφ modifikuje nastavenie script timeout. Do adresßra "windows" zapisuje s·bor WIN32DLL a do adresßra "system" s·bory MSKernel32VBS a LOVE-LETTER-FOR-YOU.TXT.VBS. VÜetky tieto s·bory obsahuj· k≤d vφrusu. 

Prßca s registrami: 
Vytvßra k╛·Φe 
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32", dirsystem&"\MSKernel32.vbs" a
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL", dirwin&"\Win32DLL.vbs". 

ZabezpeΦφ, aby sa po spustenφ Microsoft Internet Explorera stiahla zo servera www.skyinet.net a spustila jedna zo Ütyroch verziφ s·boru WIN-BUGFIX.EXE

Html: Vφrus vytvßra v systΘmovom adresßri s·bor LOVE-LETTER-FOR-YOU.HTM , ktor² obsahuje Φerva Üφriaceho sa pomocou programu mIRC. 

E-mail: V prφpade, ₧e u₧φvate╛ pou₧φva mailov² klient MS Outlook, vφrus rozoÜle na vÜetky adresy v adresßroch e-mail obsahuj·ci nasledovnΘ Φasti: Subjekt: ILOVEYOU Text sprßvy: kindly check the attached LOVELETTER coming from me. Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs 

Aktivity so s·bormi: S·bory s prφponami: ".js", ".jse", ".css", ".wsh", ".sct" a ".hta", vφrus prepφÜe svojφm k≤dom. K s·borom s prφponami ".jpg", ".jpeg", ".mp3" or ".mp2" vytvorφ s·bory s rovnak²m menom ale s pridanou ∩alÜou prφponou "vbs". V s·boroch sa opΣ¥ nachßdza k≤d vφrusu. V prφpade "jpeg" a "jpg" originßl s·boru zma₧e. S·bory vyh╛adßva vo vÜetk²ch adresßroch vÜetk²ch diskov. 
 
Novß epidΘmia Φerva Pretty Park
 
Pod╛a ·dajov Φlenov celosvetovej organizßcie Wildlist International znova prudko narastß poΦet infiltrßciφ sp⌠soven²ch Φervom Win32/PrettyPark. Kopφruje tak nßrast ob╛uby komedißlneho serißlu South Park, ktorΘho postaviΦka Kyle bola pou₧itß ako ikona v Φerve. RozÜφrilo sa u₧ nieko╛ko variantov, lφÜiacich sa od seba najmΣ komprimßciou. Popis tohoto Φerva nßjdete vo vφrusovej encyklopΘdii.NOD32 od verzie 1.33 toto lieΦenie automatizuje.
LieΦenie Φerva Pretty Park
     
  1. Vypnite rezidentn· ochranu Amon a zavrite vÜetky aplikßcie. 
  2. Spustite program regedit.exe 
  3. V ╛avej Φasti hlavnΘho okna programu regedit kliknite na polo₧ku (k╛·Φ) HKEY_CLASSES_ROOT 
  4. V k╛·Φi HKEY_CLASSES_ROOT potom postupne otvßrajte podk╛·Φe exefile, v ≥om shell, v ≥om k╛·Φ open a nakoniec k╛·Φ command. V dolnom stavovom riadku editora regedit by mal byt text: 

    5. My Computer\HKEY_CLASSES_ROOT\exefile\shell\open\command 
  5. V pravej Φasti hlavnΘho okna programu regedit by mala byt hodnota polo₧ky: (Default) "FILES32.VXD "%1" %*" 
  6. Kliknite myÜou na t·to polo₧ku, aby sa zobrazilo okienko, kde sa dß meni¥ hodnota polo₧ky. Zme≥te t·to hodnotu z: FILES32.VXD "%1" %* na "%1" %* 
  7. Po potvrdenφ by sa v pravej Φasti hlavnΘho okna programu regedit by mala objavi¥ hodnota polo₧ky: (Default) ""%1" %*" 
  8. ReÜtartnite poΦφtaΦ v MS-DOS m≤de a prφkazom:

    9. del c:\windows\system\files32.vxd zma₧te s·bor zo systΘmu. Ak je Windows nainÜtalovan² v inom adresßri, resp. inom disku, upravte cestu v prφkaze del k s·boru files32.vxd. 
  9. Po prφkaze: exit by sa mal naÜtartova¥ systΘm Windows a poΦφtaΦ by mal by¥ vylieΦen². 

    10.  
 
 
Poslednß aktualizßcia: