[TulaAnti&ViralClub] PRESENTS ...
MooN_BuG, Issue 8, Nov 1998                                           file 00F

                               ВЕСЕЛЫЕ ИСТОРИИ
                                               by RedArc

  1 
                            Маркетинг по Kaspersky

─ Echo From 2:5022/12.0 (2:5022/12.23) ───────────────────────────── SU.VIRUS ─
 Msg  : 6272 из 6281
 From : Gennadiy Dmitriev                   2:5030/82.34    Пон 12 Окт 98 08:49
 To   : All                                                 Втр 13 Окт 98 14:47
 Subj : Пеpеписка с Лаб. Каспеpского и Диалог-Hаyкой
───────────────────────────────────────────────────────────────────────────────
Здpавствyйте, All!

     Хочy  поделиться с yважаемым АЛЛ-лом некотоpой инфоpмацией к pазмышлению.
В  июле  этого года нами была пpиобpетена лицензия на годовyю подпискy AVP for
Win'95/NT  and  DSAV  for Win'32/DOS. Оба пpодyкта встали ноpмально, без каких
либо  вопpосов.  Hа  пpошлой  неделе  y  меня возникли некотоpые подозpения на
наличие  виpyса  (опасения не подтвеpдились) о чём я и написал в Диалог-Hаyкy.
Одновpеменно возник вопpос об использовании ключа для пpодyктов AVP. Вот здесь
начинается самое интеpесное.
     Диалог-Hаyка   откликнyлась  сpазy.  В  достаточно  коppектной  фоpме  мы
обсyдили  все  вопpосы  с  Дмитpием  Мостовым  и  Михаилом  Колядко. За что им
огpомное _спасибо_.
     А  вот  пеpеписка  с  [email protected]  для  меня  напоминает  pазговоp  из
бессмеpтного  пpоизведения "12 стyльев": "Сам дypак". Hа совеpшенно безобидный
вопpос  "где  посмотpеть", мне ответили, что лицензия кончилась. Хотя номеp её
(лицензии)  я  yказал.  Однако  на неё не обpатили внимания до явного yказания
(лень  было?). Hо даже когда я спpосил "пpавильно ли, что в коpобке, котоpyю я
покyпал  как  пpодyкт  для Win'95/NT, лицензионный ключ для обеих платфоpм был
pазный" мне ответили: "а кyда ты смотpел, когда покyпал?". Мда...
     В  общем,  pеакция  на  мои  вопpосы  мне  очень  не понpавилась. Остался
непpиятный  осадок  в  дyше.  Хотел я ответить в том же дyхе, но посчитал, что
лyчше  воздеpжаться.  Пожалyй,  это  ни  в  коей  меpе  не относится к Евгению
Каспеpскомy  лично,  посколькy  мне  отвечали из слyжбы технической поддеpжки.
Только вот возникает вопpос: с совковыми пользователями yже влом общаться?
     P.S.  Эти  стpочки лишь единственный эпизод в моей пеpеписке. Hе стоит их
воспpинимать как закономеpность, а лишь как инфоpмацию к pазмышлению. Для себя
я  pешил,  что  если  тех.слyжба Лабоpатоpии Каспеpского мне ещё pаз ответит в
таком  дyхе,  я  вpядли  станy  дальше  с ними поддеpживать связь. Значительно
пpиятней общатся с людьми, yважающими собеседника. Вот и всё.

С yважением, Gennadiy.
Сисадмин АО Тоpсион. E-mail: [email protected], [email protected]

--- GoldED/W32 3.00.Beta5+
--- GEcho 1.02+
 * Origin: Fidonet 2:5030/82.34 | E-mail [email protected] (2:5030/82.34)



  2 
          WinScript.Rabbit - 10 строк, которые грозят потрясти мир,
    или Очередной компьютерный вирус написан на командном языке Windows -
      станет ли это настоящим кошмаром для пользователей сети Internet?

     Последняя   неделя  октября  1998  года  принесла  неожиданный  сюрприз -
специалисты  "Лаборатории  Касперского"  обнаружили  новый компьютерный вирус,
действующий  на  неизвестном  ранее  принципе:  вирус заражает скрипты Windows
(программы на командном языке Windows). При запуске вирус ищет на диске другие
файлы-скрипты  и  записывается вместо них. Самым опасным при этом является тот
факт, что вирус в состоянии распространяться через сеть Интернет - современные
броузеры  выполняют  зараженные скрипты на локальном компьютере, даже если они
расположены на удаленном Web-сервере.
     Идея подобного вируса уже ранее была реализована в нескольких вирусах для
UNIX  - в конце 80-х годов вирусы, написанные на командных языках клонов UNIX,
стали  настоящим  бедствием  для  глобальных  компьютерных сетей того времени.
Наибольшую  известность  среди  них  получили  сетевые  вирусы-черви "Cristmas
Tree",  "HI.COM",  "Wank  Worm".  Не исключено, что новый вирус, написанный на
скриптах Windows, открывает новую эру сетевых компьютерных вирусов-червей.
     Обнаруженный  вирус является первым известным вирусом, поражающим скрипты
Windows.  Он  предельно  прост  -  содержит  всего  чуть  более 10 команд, - и
является,  скорее  всего,  пробой  пера  одного  из вирусописателей достаточно
известной   хакерской   группы   "CodeBreakers".  В  вирусе  присутствует  ряд
неточностей, моментально демаскирующих появление вируса в системе: при запуске
вируса  с удаленного Web-сервера с помощью броузера вирус заражает все файлы в
кеше  броузера  и  копирует  их  в  Desktop компьютера (поскольку для броузера
текущим  каталогом  является Desktop). При этом Desktop компьютера оказывается
заполнен  иконками  зараженных скриптов - вирус размножается как кролик, что и
послужило основанием для его имени: WinScript.Rabbit.
     Несмотря  на  эти  неточности  и  простоту своего кода вирус несет в себе
потенциальную   угрозу   для   всех   пользователей   Интернет.  Базируясь  на
возможностях  современных  глобальных  сетей, вирус имеет в своем распоряжении
мощный  механизм  распространения.  Не  исключено,  что  скрипт-вирус "Rabbit"
является  "первой  ласточкой",  по примеру которой будут созданы новые вирусы,
использующие  тот  же  принцип  размножения.  В будущем не исключено появление
целой  серии  подобных  вирусов, атакующих не только скрипт-файлы, но и другие
элементы операционной системы Windows и даже Web-сервера.
     Вирус  рабоспособен  под всеми версиями Windows32 (Windows95/98/NT), если
установлен  Microsoft  Scripting  Host. В версиях Windows98 и NT 5.0 поддержка
скриптов  является стандартной функцией. В других версиях Windows и Windows NT
обработка скриптов также возможна, если установлен специальный апдейт.
     Для  защиты  от скрипт-вирусов "Лаборатория Касперского" рекомендует всем
пользователям  Windows95/98/NT  установить  встроенную  в  броузер защиту, см.
Руководтсво  Пользователя  -  для  различных  типов  броузеров  данная  защита
включается различными способами, например:

 Internet Explorer Windows98:
     View/Folder  Options/File  Types/VBScript  Script  File/Edit/Confirm open
after download

 Netscape:
     стандартная  опция открытия скриптов отсутствует, скрипты открываются как
обычные текстовые файлы и распространяться неспособны.

     Детектирование  и  удаление  известных на сегодняшний день скрипт-вирусов
включено  в  последний апдейт AntiViral Toolkit Pro (AVP). В ближайшем будущем
также  планируется  выпуск  специальной  версии  AVP Inspector for Web Server,
детектирующей все изменения, произошедшие на страницах Web-серверов.

Лаборатория Касперского,
Тел. +7-(095)-948-4331
http://www.avp.ru
http://www.avp.com
http://www.avp.ch



  3 
                      Вот и осень... и улетают птицы...

  * Area : SU.VIRUS (FidoNet Areas)
  * To : All
  * Subj : Внимание ! Официально ! Я ухожу с VX-сцены ! авсегда...
  =============================================================================

  Hi All !
  Hу что, для начала я должен поздравить всех VXer'ов с большим юбилеем...
  Hемного истории

  ...второго ноября 1988 года Роберт Моррис младший, аспирант
  факультета информатики Корнельского Университета...

  10 лет червю Морриса !
  Hашему занятию уже десять лет и оно продолжает жить и развиваться,
  ну и тем более не собирается умирать
  Я создаю саморазмножающиеся механизмы уже 4 года, и ни разу не пожалел
  об этом. Это самое настоящее искусство. Мне жалко смотреть на тупых
  кодеров, потеющих на толстосумых дяденек, выдавая им гигабайты бухгалтерий
  и прочих отходов на различного рода уродствах, типа VisualBasic'а
  Мы толкаем вперед технологию. Все наиболее передовые идеи появляются именно
  в вирусах. Мы всегда были и будем впереди несчастных av и их создателей,
  которые откровенно, не стыдясь, делают на нас деньги, загружая несчастных
  юзеров про то, что мы "стрррашные и злобные хакеры", что вирусы повсюду,
  даже у них под кроватью. У на а про "вирус 666" и прочие байки о том, что
  мы можем нанести ущерб чуть ли не государственной безопасности и поставить
  мир на грань уничтожения я вообще не говорю

  Hо, как это не прискорбно, я должен уйти...
  По личным причинам...
  Я наконец-то нашел ТУ, единственную, которая меня понимает и любит...
  Я надеюсь, большинство меня поймет, хотя цена довольно высока - единственное
  интересное занятие в жизни... но ОHА того стоит !

  Hо товарищи aver'ы не должны обольщаться и жадно потирать руки...

  Моя последняя, незаконченная разработка, а также все идеи по ее дальнейшему
  развитию переданны надежному человеку, способному законьчить эту,
  действительно, адскую штуку, которая, наконец, поставит в этой гонке
  вооружений точку и aver'ов перед фактом, что они проиграли

  Теперь, перед уходом я сделаю еще несколько вещей...
  Вот мой прощальный product-list & technology:

  MME.SSR.1XXXX
  SSR.1945(a,b)
  WinWord.Apparition
  Win32.Libertine
  + еще около 5 невыпущенных продуктов под dos
  + несколько модификаций известных не моих вирусов

  Еще 3 вещи, созданные мной за последние полгода будут опубликованы в
  журнале моей группы IKX - Xine#4
  Я не включил их в лист, т.к. не знаю, как их назовут aver'ы
  Все эти 3 продукта также, как и Libertine, под новые операционные системы
  Win32
  2 из них пойдут в дикую природу. Один - zine only

  Мне также пренадлежат следующие достижения:
  Изобретение технологии "неизлечимости" - Seek aNd Destroy
  Hаписание первого в мире engin'а, использующего в декрипторе 386е команды
  Создание совместно с Lord'ом ASD первого в России macro-вируса


  Это мой прщальный av-downed list:

  DrWeb - полное исследование, я знаю про эмулятор, формат базы, эвристик
  и прочее, наверное, больше чем Данилов
  AVP - тоже самое
  Adinf - поимет 3мя принципиально различными способами
  AVPI - тоже, что и с Adinf'ом
  Sheriff - поимет один раз совместно, другой раз единолично, для анализа в
  последний раз использовался драйвер 1996 года. За 2 года автор
  не соизволил даже хоть как-то поменять логику
  (DlgScn, и не стыдно вам такую туфту впаривать ?!)

  Все ники и (c) сохраняются исключительно за мной. Любое использование каких
  либо материалов без моего разрешения незаконно
  Коллекционеров это также касается !

  В конце я хочу сказать несколько слов начинающим:
  Если не уверены, то даже не начинаете !
  Вы должны знать, что занимаясь этим вы обрекаете себя на одиночество,
  а это похуже смерти...
  Это говорю вам я, человек достигший высоты в этом искусстве...

  WBR // Stainless Steel Rat /2Rats /RVA /iKx

  p.s. большая просьба - воздержаться от комментариев в эхе
  соболезнования принемаются только netmail'ом
  p.p.s ну и естественно прошу не плюсовать, поскольку тогда я лишусь
  возможности почитать пожелания и ответить на них



  4 
                Обнаружен первый вирус, заражающий HTML-файлы
                          или Продолжение следует...

     Похоже,  что  вирусописатели  всерьез  взялись за Internet: первая неделя
ноября  преподнесла  сюрприз  - обнаружен вирус, заражающий HTML-файлы. Нельзя
сказать,  что  этот  сюрприз  оказался  неожиданным.  После  того  как деятели
компьютерного    андеграунда    "освоили"    скрипты    Windows   (см.   вирус
WinScript.Rabbit),  появление  первого  HTML-вируса  являлось всего лишь делом
времени. И вот это произошло.
     Видимо,  никому не нужно объяснять, какую роль в современном компьютерном
мире  играет  глобальная  сеть  Интернет  и  какое  место в Интернете занимают
Web-сервера  и  HTML-страницы. Практически все пользователи регулярно посещают
различные  страницы,  т.е.  открывают  файлы  типа HTML. Теперь это становится
далеко не безопасным занятием.
     Но  не  нужно  паниковать  прежде  времени!  Обнаруженный  HTML-вирус (и,
возможно, что и все возможные прочие HTML-вирусы) способен размножаться только
при двух условиях:
     - установлена поддержка скриптов Windows
     -  отключена  встроенная  в  броузер  защита  от запуска "подозрительных"
скриптов
     Однако не следует уповать на встроенную в броузеры защиту - не исключено,
что  в  ней  существуют  дыры  или  "запасные входы", которые позволят вирусам
проникнуть  в  компьютер  даже  при  корректных  настройках  броузера. По этой
причине   сетевые  интернет-вирусы  становятся  вполне  реальной  угрозой  для
компьютерного  общества, открыта первая страница в истории HTML-вирусов, и ...
продолжение следует...
     Знаменателен, кстати, тот факт, что появление первого вируса, заражающего
HTML-страницы,  совпало  по  времени с десятилетием печально известного вируса
Морриса  (или  Интернет-червя),  который в ноябре 1988 года парализовал работу
нескольких глобальных сетей в США.

HTML.Internal

     Первый известный вирус, заражающий HTML-файлы. При обращении к зараженной
странице вирус ищет HTML-файлы на локальном диске и заражает их. При заражении
использует  скрипты,  написанные  на  языке  Visual  Basic. Вирус размножается
только  в  том  случае,  когда  в  броузере отключены соответствующие Security
settings,  в  противном  случае при запуске вируса броузер выдает сообщение об
ошибке.
     Заголовок  зараженных  HTML-файлов содержит инструкцию, которая объявляет
вирусный  скрипт  как  автоматически выполняемый при открытии файла броузером,
т.е. при открытии зараженной HTML-страницы управление автоматически передается
на  код вируса. Основная процедура вируса с вероятностью 1/6, в зависимости от
системного датчика случайных чисел, вызывает процедуру заражения, которая ищет
все   *.HTM   и   *.HTML-файлы  в  текущем  и  всех  родительских  каталогах и
записывается  в  их  начало.  При  заражении  первоначальное содержимое файлов
сдвигается  вниз,  по  этой  причине  вирус  не  портит файлы и визуально (при
просмотре   броузером)   зараженные   HTML-страницы  никак  не  отличаются  от
незараженных.

Первая строка кода вируса содержит текст-идентификатор:

The virus header contains the text ID-line:

<html> <!--1nternal-->

После заражения вирус выводит в status-bar сообщение:

HTML.Prepend /1nternal