[TulaAnti&ViralClub] PRESENTS ...
MooN_BuG, Issue 8, Nov 1998 file 00F
ВЕСЕЛЫЕ ИСТОРИИ
by RedArc
1
Маркетинг по Kaspersky
─ Echo From 2:5022/12.0 (2:5022/12.23) ───────────────────────────── SU.VIRUS ─
Msg : 6272 из 6281
From : Gennadiy Dmitriev 2:5030/82.34 Пон 12 Окт 98 08:49
To : All Втр 13 Окт 98 14:47
Subj : Пеpеписка с Лаб. Каспеpского и Диалог-Hаyкой
───────────────────────────────────────────────────────────────────────────────
Здpавствyйте, All!
Хочy поделиться с yважаемым АЛЛ-лом некотоpой инфоpмацией к pазмышлению.
В июле этого года нами была пpиобpетена лицензия на годовyю подпискy AVP for
Win'95/NT and DSAV for Win'32/DOS. Оба пpодyкта встали ноpмально, без каких
либо вопpосов. Hа пpошлой неделе y меня возникли некотоpые подозpения на
наличие виpyса (опасения не подтвеpдились) о чём я и написал в Диалог-Hаyкy.
Одновpеменно возник вопpос об использовании ключа для пpодyктов AVP. Вот здесь
начинается самое интеpесное.
Диалог-Hаyка откликнyлась сpазy. В достаточно коppектной фоpме мы
обсyдили все вопpосы с Дмитpием Мостовым и Михаилом Колядко. За что им
огpомное _спасибо_.
А вот пеpеписка с [email protected] для меня напоминает pазговоp из
бессмеpтного пpоизведения "12 стyльев": "Сам дypак". Hа совеpшенно безобидный
вопpос "где посмотpеть", мне ответили, что лицензия кончилась. Хотя номеp её
(лицензии) я yказал. Однако на неё не обpатили внимания до явного yказания
(лень было?). Hо даже когда я спpосил "пpавильно ли, что в коpобке, котоpyю я
покyпал как пpодyкт для Win'95/NT, лицензионный ключ для обеих платфоpм был
pазный" мне ответили: "а кyда ты смотpел, когда покyпал?". Мда...
В общем, pеакция на мои вопpосы мне очень не понpавилась. Остался
непpиятный осадок в дyше. Хотел я ответить в том же дyхе, но посчитал, что
лyчше воздеpжаться. Пожалyй, это ни в коей меpе не относится к Евгению
Каспеpскомy лично, посколькy мне отвечали из слyжбы технической поддеpжки.
Только вот возникает вопpос: с совковыми пользователями yже влом общаться?
P.S. Эти стpочки лишь единственный эпизод в моей пеpеписке. Hе стоит их
воспpинимать как закономеpность, а лишь как инфоpмацию к pазмышлению. Для себя
я pешил, что если тех.слyжба Лабоpатоpии Каспеpского мне ещё pаз ответит в
таком дyхе, я вpядли станy дальше с ними поддеpживать связь. Значительно
пpиятней общатся с людьми, yважающими собеседника. Вот и всё.
С yважением, Gennadiy.
Сисадмин АО Тоpсион. E-mail: [email protected], [email protected]
--- GoldED/W32 3.00.Beta5+
--- GEcho 1.02+
* Origin: Fidonet 2:5030/82.34 | E-mail [email protected] (2:5030/82.34)
2
WinScript.Rabbit - 10 строк, которые грозят потрясти мир,
или Очередной компьютерный вирус написан на командном языке Windows -
станет ли это настоящим кошмаром для пользователей сети Internet?
Последняя неделя октября 1998 года принесла неожиданный сюрприз -
специалисты "Лаборатории Касперского" обнаружили новый компьютерный вирус,
действующий на неизвестном ранее принципе: вирус заражает скрипты Windows
(программы на командном языке Windows). При запуске вирус ищет на диске другие
файлы-скрипты и записывается вместо них. Самым опасным при этом является тот
факт, что вирус в состоянии распространяться через сеть Интернет - современные
броузеры выполняют зараженные скрипты на локальном компьютере, даже если они
расположены на удаленном Web-сервере.
Идея подобного вируса уже ранее была реализована в нескольких вирусах для
UNIX - в конце 80-х годов вирусы, написанные на командных языках клонов UNIX,
стали настоящим бедствием для глобальных компьютерных сетей того времени.
Наибольшую известность среди них получили сетевые вирусы-черви "Cristmas
Tree", "HI.COM", "Wank Worm". Не исключено, что новый вирус, написанный на
скриптах Windows, открывает новую эру сетевых компьютерных вирусов-червей.
Обнаруженный вирус является первым известным вирусом, поражающим скрипты
Windows. Он предельно прост - содержит всего чуть более 10 команд, - и
является, скорее всего, пробой пера одного из вирусописателей достаточно
известной хакерской группы "CodeBreakers". В вирусе присутствует ряд
неточностей, моментально демаскирующих появление вируса в системе: при запуске
вируса с удаленного Web-сервера с помощью броузера вирус заражает все файлы в
кеше броузера и копирует их в Desktop компьютера (поскольку для броузера
текущим каталогом является Desktop). При этом Desktop компьютера оказывается
заполнен иконками зараженных скриптов - вирус размножается как кролик, что и
послужило основанием для его имени: WinScript.Rabbit.
Несмотря на эти неточности и простоту своего кода вирус несет в себе
потенциальную угрозу для всех пользователей Интернет. Базируясь на
возможностях современных глобальных сетей, вирус имеет в своем распоряжении
мощный механизм распространения. Не исключено, что скрипт-вирус "Rabbit"
является "первой ласточкой", по примеру которой будут созданы новые вирусы,
использующие тот же принцип размножения. В будущем не исключено появление
целой серии подобных вирусов, атакующих не только скрипт-файлы, но и другие
элементы операционной системы Windows и даже Web-сервера.
Вирус рабоспособен под всеми версиями Windows32 (Windows95/98/NT), если
установлен Microsoft Scripting Host. В версиях Windows98 и NT 5.0 поддержка
скриптов является стандартной функцией. В других версиях Windows и Windows NT
обработка скриптов также возможна, если установлен специальный апдейт.
Для защиты от скрипт-вирусов "Лаборатория Касперского" рекомендует всем
пользователям Windows95/98/NT установить встроенную в броузер защиту, см.
Руководтсво Пользователя - для различных типов броузеров данная защита
включается различными способами, например:
Internet Explorer Windows98:
View/Folder Options/File Types/VBScript Script File/Edit/Confirm open
after download
Netscape:
стандартная опция открытия скриптов отсутствует, скрипты открываются как
обычные текстовые файлы и распространяться неспособны.
Детектирование и удаление известных на сегодняшний день скрипт-вирусов
включено в последний апдейт AntiViral Toolkit Pro (AVP). В ближайшем будущем
также планируется выпуск специальной версии AVP Inspector for Web Server,
детектирующей все изменения, произошедшие на страницах Web-серверов.
Лаборатория Касперского,
Тел. +7-(095)-948-4331
http://www.avp.ru
http://www.avp.com
http://www.avp.ch
3
Вот и осень... и улетают птицы...
* Area : SU.VIRUS (FidoNet Areas)
* To : All
* Subj : Внимание ! Официально ! Я ухожу с VX-сцены ! авсегда...
=============================================================================
Hi All !
Hу что, для начала я должен поздравить всех VXer'ов с большим юбилеем...
Hемного истории
...второго ноября 1988 года Роберт Моррис младший, аспирант
факультета информатики Корнельского Университета...
10 лет червю Морриса !
Hашему занятию уже десять лет и оно продолжает жить и развиваться,
ну и тем более не собирается умирать
Я создаю саморазмножающиеся механизмы уже 4 года, и ни разу не пожалел
об этом. Это самое настоящее искусство. Мне жалко смотреть на тупых
кодеров, потеющих на толстосумых дяденек, выдавая им гигабайты бухгалтерий
и прочих отходов на различного рода уродствах, типа VisualBasic'а
Мы толкаем вперед технологию. Все наиболее передовые идеи появляются именно
в вирусах. Мы всегда были и будем впереди несчастных av и их создателей,
которые откровенно, не стыдясь, делают на нас деньги, загружая несчастных
юзеров про то, что мы "стрррашные и злобные хакеры", что вирусы повсюду,
даже у них под кроватью. У на а про "вирус 666" и прочие байки о том, что
мы можем нанести ущерб чуть ли не государственной безопасности и поставить
мир на грань уничтожения я вообще не говорю
Hо, как это не прискорбно, я должен уйти...
По личным причинам...
Я наконец-то нашел ТУ, единственную, которая меня понимает и любит...
Я надеюсь, большинство меня поймет, хотя цена довольно высока - единственное
интересное занятие в жизни... но ОHА того стоит !
Hо товарищи aver'ы не должны обольщаться и жадно потирать руки...
Моя последняя, незаконченная разработка, а также все идеи по ее дальнейшему
развитию переданны надежному человеку, способному законьчить эту,
действительно, адскую штуку, которая, наконец, поставит в этой гонке
вооружений точку и aver'ов перед фактом, что они проиграли
Теперь, перед уходом я сделаю еще несколько вещей...
Вот мой прощальный product-list & technology:
MME.SSR.1XXXX
SSR.1945(a,b)
WinWord.Apparition
Win32.Libertine
+ еще около 5 невыпущенных продуктов под dos
+ несколько модификаций известных не моих вирусов
Еще 3 вещи, созданные мной за последние полгода будут опубликованы в
журнале моей группы IKX - Xine#4
Я не включил их в лист, т.к. не знаю, как их назовут aver'ы
Все эти 3 продукта также, как и Libertine, под новые операционные системы
Win32
2 из них пойдут в дикую природу. Один - zine only
Мне также пренадлежат следующие достижения:
Изобретение технологии "неизлечимости" - Seek aNd Destroy
Hаписание первого в мире engin'а, использующего в декрипторе 386е команды
Создание совместно с Lord'ом ASD первого в России macro-вируса
Это мой прщальный av-downed list:
DrWeb - полное исследование, я знаю про эмулятор, формат базы, эвристик
и прочее, наверное, больше чем Данилов
AVP - тоже самое
Adinf - поимет 3мя принципиально различными способами
AVPI - тоже, что и с Adinf'ом
Sheriff - поимет один раз совместно, другой раз единолично, для анализа в
последний раз использовался драйвер 1996 года. За 2 года автор
не соизволил даже хоть как-то поменять логику
(DlgScn, и не стыдно вам такую туфту впаривать ?!)
Все ники и (c) сохраняются исключительно за мной. Любое использование каких
либо материалов без моего разрешения незаконно
Коллекционеров это также касается !
В конце я хочу сказать несколько слов начинающим:
Если не уверены, то даже не начинаете !
Вы должны знать, что занимаясь этим вы обрекаете себя на одиночество,
а это похуже смерти...
Это говорю вам я, человек достигший высоты в этом искусстве...
WBR // Stainless Steel Rat /2Rats /RVA /iKx
p.s. большая просьба - воздержаться от комментариев в эхе
соболезнования принемаются только netmail'ом
p.p.s ну и естественно прошу не плюсовать, поскольку тогда я лишусь
возможности почитать пожелания и ответить на них
4
Обнаружен первый вирус, заражающий HTML-файлы
или Продолжение следует...
Похоже, что вирусописатели всерьез взялись за Internet: первая неделя
ноября преподнесла сюрприз - обнаружен вирус, заражающий HTML-файлы. Нельзя
сказать, что этот сюрприз оказался неожиданным. После того как деятели
компьютерного андеграунда "освоили" скрипты Windows (см. вирус
WinScript.Rabbit), появление первого HTML-вируса являлось всего лишь делом
времени. И вот это произошло.
Видимо, никому не нужно объяснять, какую роль в современном компьютерном
мире играет глобальная сеть Интернет и какое место в Интернете занимают
Web-сервера и HTML-страницы. Практически все пользователи регулярно посещают
различные страницы, т.е. открывают файлы типа HTML. Теперь это становится
далеко не безопасным занятием.
Но не нужно паниковать прежде времени! Обнаруженный HTML-вирус (и,
возможно, что и все возможные прочие HTML-вирусы) способен размножаться только
при двух условиях:
- установлена поддержка скриптов Windows
- отключена встроенная в броузер защита от запуска "подозрительных"
скриптов
Однако не следует уповать на встроенную в броузеры защиту - не исключено,
что в ней существуют дыры или "запасные входы", которые позволят вирусам
проникнуть в компьютер даже при корректных настройках броузера. По этой
причине сетевые интернет-вирусы становятся вполне реальной угрозой для
компьютерного общества, открыта первая страница в истории HTML-вирусов, и ...
продолжение следует...
Знаменателен, кстати, тот факт, что появление первого вируса, заражающего
HTML-страницы, совпало по времени с десятилетием печально известного вируса
Морриса (или Интернет-червя), который в ноябре 1988 года парализовал работу
нескольких глобальных сетей в США.
HTML.Internal
Первый известный вирус, заражающий HTML-файлы. При обращении к зараженной
странице вирус ищет HTML-файлы на локальном диске и заражает их. При заражении
использует скрипты, написанные на языке Visual Basic. Вирус размножается
только в том случае, когда в броузере отключены соответствующие Security
settings, в противном случае при запуске вируса броузер выдает сообщение об
ошибке.
Заголовок зараженных HTML-файлов содержит инструкцию, которая объявляет
вирусный скрипт как автоматически выполняемый при открытии файла броузером,
т.е. при открытии зараженной HTML-страницы управление автоматически передается
на код вируса. Основная процедура вируса с вероятностью 1/6, в зависимости от
системного датчика случайных чисел, вызывает процедуру заражения, которая ищет
все *.HTM и *.HTML-файлы в текущем и всех родительских каталогах и
записывается в их начало. При заражении первоначальное содержимое файлов
сдвигается вниз, по этой причине вирус не портит файлы и визуально (при
просмотре броузером) зараженные HTML-страницы никак не отличаются от
незараженных.
Первая строка кода вируса содержит текст-идентификатор:
The virus header contains the text ID-line:
<html> <!--1nternal-->
После заражения вирус выводит в status-bar сообщение:
HTML.Prepend /1nternal