[TulaAnti&ViralClub] PRESENTS ...
MooN_BuG, Issue 10, Apr 1998 file 017
ВЕСЕЛЫЕ ИСТОРИИ
by RedArc
������������������������������������ 1 ������������������������������������
ВНИМАНИЕ: НОВОГОДНЕЕ ПОЗДРАВЛЕНИЕ ВИРУСОПИСАТЕЛЕЙ.
Новый вирус - первый "современный" "Интернет-червь" (Internet Worm)
обнаружен "в живом виде". "Червь" "выпущен на волю" в январе 1999
(предположительно самим автором). Во второй половине января с.г.
злоумышленниками были разосланы письма на несколько Internet-серверов
международных агентств новостей, зараженные этим вирусом . Наибольшее
количество сообщений о появлении в компьютерах "червя" были зарегистрированы в
Европейских сетях Internet, особенно во Франции. Несколько дней назад
российская компания Лаборатория Касперского проанализировала данный вирус.
"Интернет-червь" распространяется как вложенный в письмо EXE-файл с
именем HAPPY99.EXE. При запуске этого файла "червь" вызывает видео - эффект,
напоминающий фейерверк, и поздравляет с Новым 1999 годом. Помимо этого,
"червь" вызывает процедуру инсталляции своего кода в систему: копирует себя в
системный каталог Windows, перехватывает функции работы с Internet,
конвертирует свой код в формат почтового вложения и добавляет его к отсылаемым
письмам.
Таким образом, "червь", инсталлированный в систему, рассылает свои копии
в Internet по всем адресам, на которые пользователь посылает сообщения.
"Червь" не использует дисковые файлы как основные объекты для размножения и
распространения своих копий, а рассылает свой код в сеть Internet в виде
вложений в электронные письма.
Лаборатория Касперского, ведущий разработчик антивирусного программного
обеспечения, рекомендует пользователям при обнаружении данного "поздравления"
в своем компьютере не отчаиваться, а грамотно удалить его:
1. Необходимо удалить файлы SKA.EXE и SKA.DLL из системного каталога
Windows, заменить файл WSOCK32.DLL на его незараженную копию WSOCK32.SKA.
2. Найти и удалить первоначальный EXE-файл HAPPY99.EXE.
Для дальнейшей защиты компьютера от данного вируса достаточно всего лишь
установить атрибут "только чтение" у файла WSOCK32.DLL. "Червь" не в состоянии
заразить систему в этом случае, т.к. он не обрабатывает атрибуты файлов.
Технические специалисты Лаборатории Касперского ежедневно получают на
анализ большое количество различных вирусов и их модификаций. Поэтому
нелишне напомнить:
1. Ни в коем случае не следует запускать файл HAPPY99.EXE вне зависимости
от того, откуда он был получен - даже, если письмо получено с адреса, который
Вам известен и которому Вы абсолютно доверяете.
2. Следует также помнить, что выполняемые файлы, которые Вы получаете из
сети Internet могут быть опасными для Вашего компьютера: в них могут оказаться
программы, способные заразить компьютер новым вирусом, разрушить данные,
передать с Вашего компьютера в Internet конфиденциальную информацию,
установить "шпионскую" программу скрытного управления с удаленного адреса и
т.п.
3. Открытие полученных из сети Internet файлов MS Office с отключенной
защитой от макро-вирусов и запуск непроверенных EXE-файлов чрезвычайно
рискованное дело.
Обо всем этом следует помнить каждый раз, когда Вы получаете очередное
письмо с вложенным в него файлом.
Технические детали
Червь представляет из себя файл HAPPY99.EXE размером точно 10.000 байт.
Данный файл является стандартным выполняемым файлом Windows32 (PE - Portable
Executable). Червь работоспособен под Win95/98, однако по причине ошибок не в
состоянии заразить WinNT.
Червь содержит строки текста, часть из которых зашифрована:
Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c) Spanska 1999.
Happy New Year 1999 !!
begin 644 Happy99.exe end
\Ska.exe \liste.ska
\wsock32.dll \Ska.dll \Ska.exe
При запуске файла управление передается на процедуру инсталляции червя.
Червь копирует свой файл HAPPY99.EXE в системный каталог Windows под именем
SKA.EXE и создает там же дополнительный DLL-файл SKA.DLL. Этот файл хранится в
теле червя в упакованном и зашифрованном виде в сегменте данных.
Затем червь копирует файл WSOCK32.DLL в файл WSOCK32.SKA (делает "бэкап")
и патчит код WSOCK32.DLL. Если в этот момент файл WSOCK32.DLL задействован
системой и его непозможно открыть на запись, червь создает новый ключ в
системном реестре и записывает в него команду авто-запуска своей копии при
очередном старте Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce=SKA.EXE
В файл WSOCK32.DLL червь записывает свою процедуру инициализации и меняет
адреса двух экспортируемых функций. Процедура инициализации является
достаточно короткой (всего 202 байта) и записывается в конец кодовой секции
файла WSOCK32.DLL перед секцией данных. Поскольку в файле WSOCK32.DLL для
этого достаточно места, его размер при заражении не увеличивается. Затем червь
корректирует таблицу экспортов файла таким образом, что две функции "connect"
и "send" указывают на код червя на два соответствующих перехватчика.
При обращении к ресурсам Интернет операционная система загружает
WSOCK32.DLL, процедура инициализации активизируется и перехватывает два
события: сетевое соединение и передачу данных. Червь обрабатывает два типа
соединений: по портам почты и новостей (порты 25 и 119 - smtp и nntp). В
момент установки одного из таких соединений червь загружает свою библиотеку
SKA.DLL, которая имеет две экспортируемые процедуры: mail и news. В
зависимости от номера порта червь вызывает одну из этих процедур, однако обе
они суть одно и тоже: обрабатывают заголовки посылаемых писем, запоминают
адрес, на который отправляется письмо, и затем посылают на тот же адрес новое
письмо с вложенным в него файлом HAPPY99.EXE. Червь также добавляет в
служебный заголовок "зараженных" писем свой идентификатор:
X-Spanska: Yes
Червь также запоминает в файле LISTE.SKA в системном каталоге Windows все
адреса, на которые расссылаются "зараженные" письма. Этот "лог-файл" имеет
ограниченный размер и содержит до 5K данных, т.е. примерно до 200 адресов, на
которые червь передал свои копии.
������������������������������������ 2 ������������������������������������
Обнаружен IRC-червь "Septic"
Нерезидентный зашифрованный вирус-червь, заражающий COM-, EXE- и
BAT-файлы DOS. Также распространяет свои копии через каналы mIRC и дописывает
к HTML-файлам команды, распространяющие вирус через Интернет при обращении
броузера к зараженной HTML-странице.
Вирус проявляется по первым и вторым числам каждого месяца: выводит
сообщения и вызывает видео-эффект, который при помощи VGA-команд меняет
палитру монитора с режима белый-на-черном на черный-на-белом и назад.
Сообщения выглядят следующим образом:
По первым числам:
Only in your dreams you can be truly free!
~+DarK.MeSsiAh+~ written by SeptiC [TI]
По вторым числам:
Pure evil comes from within! ~+DarK.MeSsiAh+~
Written by SeptiC [TI]
Вирус содержит блокировщик своего распространения: если в корне диска C:
присутствует файл _VAC.TXT, то вирус не вызывает свои процедуры размножения.
Вместо этого он выводит сообщение и возвращает управление программе-носителю:
You are protected by a devine power
~+DarK.MeSsiAh+~ will not touch your files
Заражение COM- и EXE-Файлов
Процедура поиска и заражения выполняемых файлов DOS является основной
частью вируса. Эта процедура получает управление при запуске зараженных
файлов, ищет на дисках COM- и EXE-файлы DOS и записывает код вируса в их
конец.
Вирус ищет файлы для заражения в текущем каталоге и его родительских
каталогах, во всех подкаталогах дисков от C: до G: включительно. Вирус
проверяет имена файлов и не заражает Файлы с именами: COMMAND, ?GA*, ??NP*,
???GW*; запускает процедуру заражения клиента mIRC, если обнаружен файл с
именем MI* (MIRC.EXE, MIRC32.EXE); портит антивирусные файлы с именами: F-*,
TO*, TB*, SC*, AV* (F-PROT, TBAV, SCAN, AVP) - записывает вместо них
программу, которая при запуске выводит текст:
~+DarK.MeSsiAh+~ a Digital Touch of DarKness! Written by SeptiC [TI]
Вирус также уничтожает файлы с именем ANTI-VIR.DAT.
Заражение BAT-файлов
Вирус также ищет и заражает BAT- и HTML-файлы в тех же каталогах тех же
дисков. При заражении BAT-файлов вирус записывает в их конец несколько
инструкций, модифицирующих исполнение DOS-команды "dir". При помощи
DOS-команды DOSKEY вирус заменяет команду "dir" на две инструкции: первая
исполняет дроппер вируса PORNO.COM, вторая вызывает "настоящую" DOS-команду
"dir". Таким образом при вызове инструкции "dir" в DOS-окне управление
получает дроппер вируса, который также ищет и заражает файлы на всех
перечисленных выше дисках.
Затем вирус тем же способом открывает и модифицирует файл
C:\AUTOEXEC.BAT.
Дроппер PORNO.COM создается вирусом в Command-каталоге Windows. Вирус
ищет этот каталог по трем вариантам:
C:\WINDOWS\COMMAND
C:\WIN95\COMMAND
C:\WIN98\COMMAND
Если такой каталог не обнаружен, вирус создает дроппер PORNO.COM в
текущем каталоге.
Заражение HTML-файлов
При заражении HTML-файла вирус создает в том же каталоге, где обнаружен
файл, еще один свой дроппер PATCH.COM и записывает в конец HTML-файла
небольшой набор из HTML-инструкций, передающих код вируса через Интернет. Эти
инструкции добавляют к первоначальному тексту HTML-файла две строки:
Download The Latest Patch!
Click Here!
Строка "Click Here!" является линком, при вызове которого броузер
докачивает и запускает на компьютере зараженный файл-дроппер PATCH.COM.
В результате пораженные HTML-страницы "продолжены" текстом вируса,
который предлагает обновить установленное программное обеспечение.
Естественно, что вместо этого на удаленный компьютер передается копия вируса.
Скрипты mIRC
Вирус заражает установленного на компьютере клиента mIRC. Для этого вирус
определяет его каталог по шести возможным вариантам:
C:\MIRC
C:\MIRC32
C:\PROGRAM\MIRC
C:\PROGRAM\MIRC32
C:\PROGRA~1\MIRC
C:\PROGRA~1\MIRC32
затем создает в каталоге mIRC-клиента зараженный SCRIPT.INI, который при
очередном запуске клиента активизируется и определяет работу пользователя в
каналах IRC.
Зараженный SCRIPT.INI содержит несколько инструкций. Основными из них
являются команды передачи вируса пользователям IRC-канала: при
приеме/посылке файлов вирус передает соответствующему пользователю свой
зараженный файл-дроппер PORNO.COM
Вирус также посылает различные сообщения в канал. При подключении
зараженного клиента к каналу вирус передает пользователю с именем
"SeptiC_dm" сообщение:
I am your servant! I have been turned into a zealot of darkness
Если в канале появляется сообщение, в котором присутствует строка
"D.Messiah", вирус передает в канал текст:
Only in your dreams you can be truly free!
~+DarK.MeSsiAh+~ Written by SeptiC [TI]
Если обнаружена строка "666", вирус изменяет тему канала (которая
выводится в заголовок окна канала), если зараженный пользователь имеет
достаточно привилегий для этого. Новый заголовок выглядит следующим образом:
~+DarK.MeSsiAh+~ a Digital Touch of DarKness! Written by SeptiC [TI]
Если обнаружена строка "sacrifice" все зараженные пользователи
отключаются от канала с сообщением:
Your word is my command, Power to satan!_
������������������������������������ 3 ������������������������������������
Появился вирус, заражающий Help-файлы для Windows!
Многие пользователи компьютеров уже давно привыкли, что источником
вирусной опасности могут быть не только программые файлы, но и файлы
документов. Сюда относятся документы Word, Excel, Access, с недавних пор Power
Point. И вот теперь новая напасть - Игорь Данилов, автор программы Doctor Web,
получил посылочку из Беларуси, в которой оказался очень нетривиальный вирус
нового типа. Вот что пишет сам Игорь:
"Hе знаю, как насчет подковать блоху, но вот Windows HELP-файлы умельцы
из Беларуси заражать научились."
Новая версия Doctor Web 4.04 выпущена 16 февраля 1999 года, а 18 февраля
вупущена обновленная основная вирусная быза. Эта версия в стандартном режиме
работы детектирует данный вирус во всех инфицированных объектах. Hо
обнаруживать и обезвреживать в памяти данный вирус умеет только Dr.Web for
Win32. Только она сканирует системную память Windows 95/98. Dr.Web for OS/2 и
for Novell NetWare, к сожалению, этого делать так и не научились.
Желаем здоровья Вам и Вашим компьютерам,
ЗАО "ДиалогНаука"
------------------------------- Win95.SK.7977 -------------------------------
Очень опасный резидентный полиморфный вирус, заражающий файлы в формате
PortableExecutable (исполняемые файлы для Windows 95/98), файлы помощи для
Windows 95/98 (HELP-файлы), а также, внедряющий свои копии в архивные файлы
ARJ, HA, RAR и ZIP форматов. При заражении PE-файлов вирус Win95.SK.7977 не
изменяет стартовый адрес программы, а записывает в таблицу настраиваемых
элементов (обычно, секция .reloc) свое основное зашифрованное тело, и внедряет
в точку входа или, чаще всего, в случайную область стартовой сегментной секции
до 168 байт полиморфного кода, который расшифровывает основной вирусный код в
область программного стека и передает ему управление. Далее вирус проверяет
наличие своей резидентной копии в памяти компьютера. Для этого он читает байт
из порта 534Bh и сравнивает его со значением 21h. Если из порта прочиталось
именно это число, то вирус восстанавливает исходные, замещенные вирусом
программные байты, и завершает свою работу. Если же система еще не
инфицирована, то Win95.SK.7977, производя некоторые манипуляции с глобальной и
локальной дескрипторными таблицами, устанавливает новый селектор c системными
привилегиями и переключается в нулевое кольцо защищенного режима. А в этом
режиме, понятно, вирус уже имеет право использовать системные вызовы (на
уровне драйверов виртуальных устройств), что он в дальнейшем с лихвой и
делает. Для начала вирус восстанавливает 168 оригинальных байт в стартовой
сегментной секции программы, а затем определяет - существует ли в системе
процесс с идентификатором 202h. Обычно, под таким номером в системе Windows
95/98 регистрируется системный отладчик SoftICE. Если SoftICE будет обнаружен,
то вирус прекращает свою попытку дальнейшей установки в память и возвращает
управление программе-вирусоносителю. Hе знаю, но почему-то вирус не желает
сосуществовать в системе рядом с этим отладчиком - боится, видимо, его
отладки. Если же SoftICE в системе отсутствует, то Win95.SK.7977 выделяет себе
блок памяти размером 24K в системной области, копирует в него 7977 байт своего
кода и устанавливает свои обработчики на IO_Handler и на
IFSMgr_FileSystemAPIHook. Обработчик IO_Handler контролирует чтение из порта
534Bh и возвращение значения 21h для отклика "я здесь" своим "жаждущим
резидентной жизни" вирусным собратьям. Обработчик же
IFSMgr_FileSystemAPIHook контролирует открытие, переименование и обращение к
атрибутам файлов; анализирует данные файлы и пытается произвести их заражение.
При перехвате IFSMgr_FileSystemAPIHook вирус переустанавливает на себя
системную функцию IFSMgr_InstallFileSystemAPIHook и при попытке каким-либо
виртуальным драйвером установить свой новый обработчик
IFSMgr_FileSystemAPIHook, вирус удаляет из цепочки обработчиков свой файловый
обработчик (который находится последним в этой цепочке), устанавливает
запрошенный драйвером обработчик и поверх его снова устанавливает свой
обработчик. Таким образом, вирусный обработчик всегда будет "стоять последним
в очереди" и "всплывать наверх" в цепочке драйверов, обслуживающих
IFSMgr_FileSystemAPIHook. Этот алгоритм "всплытия" был заимствован из вируса
Win95.CIH и предназначен, видимо, для обхода антивирусных резидентных
сторожей. Также при открытии файлов на запись и непосредственно записи в файлы
вирус использует прямые вызовы FSD (File System Driver), обходя всю цепочку
драйверов виртуальных устройств, обслуживающих файловые запросы. Далее, первым
делом после установки в память, Win95.SK.7977 открывает файл
\WINDOWS\SYSTEM.INI, ищет в ней переменную "shell=", копирует указанный в ней
файл (как правило, EXPLORER.EXE) в файл с новым расширением, отличным от
исходного в последней, увеличенной на единицу, букве (например, файл
EXPLORER.EXE копируется в файл EXPLORER.EXF) и заражает данный скопированный
файл. После чего вирус создает в системном каталоге WINDOWS файл WININIT.INI,
в котором, в разделе [rename] указывает, что файл EXPLORER.EXF необходимо
скопировать в EXPLORER.EXE, а EXPLORER.EXF после этого удалить. В результате,
после первой же перезагрузки Windows 95/98 система запустит этот
инфицированный файл. При открытии, переименовании или доступе к атрибутам
файлов с расширениями EXE, DLL, SCR или HLP вирус пытается инфицировать их.
Для того, чтобы заразить PortableExecutable EXE, DLL или SCR - файлы вирус
анализирует их заголовок и заражает только такие файлы, у которых присутствует
таблица-секция настраиваемых элементов и ее размер должен быть не менее 8148
байт. Вирус определяет адрес и размер стартовой сегментной секции и разбивает
ее для себя на блоки по 8404 байт. Затем он выбирает случайным образом
порядковый номер такого блока, читает его в память и сканирует его содержимое
для поиска определенных вирусом некоторых последовательностей байт. Как
правило, последовательности таких искомых байт присутствуют во всех
программах, созданных с помощью компиляторов языков высокого уровня (Pascal,
C++, ...). Именно такими инструкциями (например, "PUSH EBP; MOVE EBP,ESP"),
обычно, начинаются программные функции. Если требуемые вирусом байты
обнаружены, то проверятся условие, чтобы якобы найденная программная функция
была не менее 168 байт (в пределах 168 байт не должно быть инструкции возврата
- RET). В случае успеха вирус запоминает адрес этой функции (адрес
обнаруженной последовательности байт) и продолжает свой дальнейший поиск.
После такого сканирования, если была найдена хоть одна подходящая для
вирусного внедрения функция, то выбирается случайный адрес из всех
зафиксированных вирусом адресов функций. Ежели вирус не смог найти в 8404
байтах ни одной подходящей ему процедуры, то он выбирает для внедрения своего
кода стартовый адрес программы. После этого вирус приступает к генерации
своего зашифрованного тела и соответствующего ему полиморфного расшифровщика.
Этот расшифровщик записывается в область ранее выбранного адреса программной
функции, (оригинальные же 168 байт сохраняются в теле вируса), а основное тело
- в таблицу настраиваемых элементов (.reloc), причем, с вероятностью 1/8 вирус
может изменить в заголовке название самой этой сегментной секции на
совершенно случайное. В конце заражения заголовок PE-файла корректируется с
учетом внесенных вирусом изменений. Все - файл инфицирован. Механизм такого
заражения файлов явно позаимствован из вирусов семейства Zhengxi. И что же
получается в результате? А то, что при запуске такого зараженного файла
вирусный код может никогда не получить управления, если программная функция, в
которой он "поселился" не будет вызвана самой программой. Вирус может "годами
жить" в таком файле, пока, наконец, или сама программа, или пользователь,
управляющий ей, не выполнят каких-либо действий (например, нажмет кнопку F1),
повлекших за собой передачу управления программной функции, на месте которой и
"живет" этот самый вирус. Вирус также использует еще один, "украденный" из
Zhengxi, прием для распространения своей копии. Он внедряет в архивные файлы
ARJ, HA, RAR, ZIP файлы свои полиморфные DOS-копии со случайными именами и
расширениями COM или EXE. К архивам приписывается созданный вирусный файл в
неупакованном формате (store) и корректируются соответствующим образом,
необходимые для такой записи, служебные поля архивных файлов. Следует
заметить, что все "вирусные приемчики", описанные мной выше, были "утянуты"
автором вируса из вирусов Win95.CIH и Zhengxi,.. но вирус использует еще один
достаточно оригинальный, абсолютно новый, ни разу не встречавшийся ранее,
способ своего распространения. Через... файлы помощи системы WINDOWS... Да,
да, да, через обыкновенные HELP-файлы (HLP-файлы). Оказывается они также могут
быть переносчиком заразы! HELP-файлы могут иметь макро-команды, которые будут
выполняться при попытке открытия этих самых файлов средствами операционной
системы WINDOWS 95/98/NT... Hо обо всем по порядку. Вирус Win95.SK.7977
анализирует расширения HLP, открываемых файлов и проверяет их формат на
принадлежность именно этому типу файлов. Если HELP-файл подходит для заражения
и еще не инфицирован, то вирус записывает в конец файлов вирусные
макро-команды, корректирует служебное поле "|SYSTEM" и переносит байты
информации, относящиеся к данному объекту, сразу за своими макро-командами.
Потом вирус корректирует в заголовке HELP-файла новый размер измененного
файла, создает свою полиморфную DOS копию и приписывает ее в конец HELP-файла
по методу оверлея для EXE-файлов (размер полиморфной копии не учитывается
системой и игнорируется при открытии такого файла). Вирусные макро-команды
проверяют существование на диске файла C:\NTLDR и в случае его отсутствия
создают на диске C: файл со случайным именем, в который записывают 380 байт
некоего зашифрованного "вирусного пускателя". Проверка файла C:\NTLDR нужна
для того, чтобы не стартовать в среде WINDOWS NT, т.к., "жить" под этой
операционной системой вирус не умеет. Далее этот "пускатель" средствами
макро-команд запускается и в качестве параметра ему передается полный путь
открытого инфицированного HELP-файла. "Пускатель" расшифровывает себя,
открывает HELP-файл, имя которого ему было передано в качестве параметра
командной строки, читает из него полиморфную DOS копию, записывает эту копию в
файл, из которого и стартовал сам "пускатель", запускает этот файл на
выполнение и, по окончании его работы, - удаляет этот файл (по сути дела,
уничтожает следы своего присутствия на диске). Таким образом, осталось только
узнать, что же это за "полиморфная DOS копия" вируса? Это обычная
16-тиразрядная полиморфная копия вируса, в принципах создания и работы которой
также прослеживается плагиат из вирусов Zhengxi. Hо вот механизм заражения
системной памяти оригинален и не был замечен ранее в других вирусах. Hазовем
этот 16-тиразрядный вирус для краткости "дроппером", т.к., он не является
инфицированным объектом, а выполняет функции переносчика заразы. Итак, этот
дроппер работает только в DOS-сессии WINDOWS. В любой другой опреационной
сисеме он пытается завершить свою работу. Причем, инструкции, контролирующие
опереционную среду имплантированы непосредственно в полиморфный расшифровщик.
Также в расшифровщике могут присутствовать и команды, проверяющие наличие в
памяти отладчика SoftICE и прекращающие работу дроппера в случае его
нахождения. После расшифровки вирус проверяет нахождение своей резидентной
копии в памяти компьютера (читает байт из порта 534Bh) и с помощью интерфейса
DPMI переключается в 16-тиразрядное пользовательское кольцо защищенного
режима. Далее, манипулируя вызовами DPMI и дескрипторной таблицей, вирус
производит переключение в 32-ухразрядное третье кольцо защищенного режима. То
есть, управление получает 32-ухразрядный вирусный код, который работает в
инфицированных PE-файлах, - из режима виртуальной машины DOS-сессии вирус
попадает в защищенный режим WINDOWS-приложения. Hу а затем, как было уже
описано выше, путем некоторых "ухищрений" вирус оказывается на системном
(нулевом) кольце защищенного режима и размещает свою резидентную копию в
области системной драйверов виртуальных устройств. Следует отметить, что
заражение любого файла (исполняемого, архива или файла помощи) вирус
производит только через минуту после предыдущего заражения.
Win95.SK.7977 очень опасен. При открытии программ, начинающихся на "ADIN"
или "AVPI", а также, с большой долей вероятности, при открытии файлов,
начинающихся на "_AVP", "AVP", "VBA" или "DRW" вирус уничтожает все файлы на
всех логических дисках компьютера, после чего "завешивает" систему, вызывая
системную функцию Fatal_Error_Handler. Удаляет файл \WINDOWS\COMMAND.PIF. Hе
заражает файл, начинающийся на "JAR". Содержит текст "<C> 1997 VBA Ltd.
E-mail:support@vba.minsk.by". Свое название получил из-за номера порта, с
помощью которого проверяет свое наличие в памяти. 534Bh - это "SK" или "KS",
что, в сущности, одно и тоже.
И. Данилов
������������������������������������ 4 ������������������������������������
Вирус заражает HLP-файлы Windows
Но не так страшен черт, как его малюют
Конец зимы 1999 г. принес очередной сюрприз пользователям Microsoft
Windows и разработчикам антивирусных программ. Очередной Windows-вирус,
получивший название Win95.SK, помимо заражения выполняемых файлов, содержал
необычную подпрограмму: вирус записывал свой код в файлы помощи Windows
(HLP-файлы).
Кроме инфицирования HLP-файлов вирус также добавляет свои копии в архивы
наиболее популярных форматов, заражает ядро Windows 95/98 и остается
резидентно в памяти компьютера как системный драйвер Windows. В зараженных
файлах он шифруется полиморфным (мутирующим) кодом, использует малоизвестные
адреса и функции Windows, а также содержит большое число программных уловок,
существенно затрудняющих процесс его изучения.
В целом, вирус Win95.SK представляет собой достаточно сложную программу:
специалистам "Лаборатории Касперского" потребовалось целых два дня для
проведения детального анализа всех известных версий вируса и подключения в
антивирусную базу AVP процедур обнаружения и лечения зараженных файлов (они
включены в очередной апдейт, доступный на сайте компании). Помимо этого, было
установлено, что способности вируса к размножению крайне ограничены. Он
инфицирует далеко не все файлы, делает это весьма редко и при достаточно
специфических системных условиях.
Для тестирования процедур обнаружения и лечения вирусов (особенно
полиморфных) требуется большое количество инфицированных файлов (для семейства
Win95.SK - не менее тысячи для каждого варианта вируса). Однако он
размножается настолько редко, что специалисты "Лаборатории Касперского"
потратили еще 4 дня для получения достаточного количества зараженных файлов.
Но самым интересным в вирусе является отнюдь не его сложность, а механизм
внедрения в HLP-файлы Windows. О возможности заражения HLP-файлов Windows было
известно давно, однако ранее подобное не встречалось. Вирус Win95.SK
является первым известным вирусом, способным записывать свой код в файлы этого
типа.
Способность вируса заражать файлы помощи Windows базируется на том факте,
что HLP-файлы могут содержать в себе подпрограммы, написанные на специальном
скрипт-языке (макросы). Язык, используемый в HLP-скриптах, позволяет
создавать на диске файлы и запускать их на выполнение. Данные скрипты
автоматически исполняются обработчиком HLP-файлов (утилитой WinHelp) при их
открытии.
При заражении HLP-файлов вирус записывает свою копию в их конец и создает
в них новый макрос, который содержит 10 команд. Этот макрос при активизации
создает на диске зараженный файл и запускает его на выполнение. Таким
образом, вирус заражает систему при открытии инфицированного HLP-файла.
Помимо перечисленного вирус содержит опасную деструктивную функцию. При
запуске антивирусов AVP, AVP Inspector, ADINF и DRWEB он уничтожает все файлы
на всех дисках от C до Z.
В целом, Win95.SK является действительно сложным и неординарным вирусом,
что вызвало естественный профессиональный интерес со стороны антивирусных
экспертов. Однако, наряду с этим, новый вирус стал причиной необоснованной
рекламной шумихи.
С середины февраля по российским информационным каналам распространяются
пресс-релизы, в которых указывается, что вирус Win95.SK стал причиной
крупномасштабной эпидемии как в России, так и во всем мире. "Лаборатория
Касперского", ведущий российский разработчик антивирусного программного
обеспечения, считает своим долгом заявить, что данная информация не
соответствует действительности.
Эксперты "Лаборатории Касперского" провели детальный анализ вируса, и
оценивают вероятность его широкого распространения как весьма близкую к нулю.
Для этого существует ряд причин.
Во-первых, вирус содержит ошибки. Одна из них приводит к тому, что вирус
оказывается "несовместим" со многими конфигурациями Windows. При запуске
вируса в таких конфигурациях система выдает стандартное сообщение об ошибке в
своем ядре.
Во-вторых, вирус заражает файлы крайне неохотно. С большой долей
вероятности запуск вируса в обычных условиях не приведет к инфицированию
каких-либо других файлов в системе.
В-третьих, при запуске наиболее популярных в России антивирусных программ
вирус уничтожает все содержимое дисков, включая и все свои копии.
Таким образом, даже при условии того, что автор вируса разослал его в
электронные конференции (например, как это произошло с нашумевшими Win95.CIH и
I-Worm.Happy), эпидемия Win95.SK крайне маловероятна. Если неосторожный
пользователь запустит вирус на своем компьютере, его дальшейшее
распространение будет прервано по одной из причин: вирус вызовет ошибку и
система зависнет, либо ни один файл на компьютере пользователя не окажется
заражен, либо вирус уничтожит систему и самого себя.
Эксперты "Лаборатории Касперского" вполне допускают, что вирус, возможно,
и был заслан в конференции, и по этой причине заражены оказались несколько
десятков или даже сотня компьютеров, что никак нельзя назвать эпидемией. Тем
более эпидемией, вышедшей за пределы России: как показали исследования, вирус
способен размножаться из зараженных HLP-файлов только на тех компьютерах, где
установлена поддержка русского языка. Так что "возникновение мировой
эпидемии вируса Win95.SK так же вероятно, как появление популяции пираний в
Москва-реке или крокодилов в канализации Санкт-Петербурга" - заявил Евгений
Касперский,
Резюмируя вышесказанное, можно со всей ответственностью заявить, что
слухи об эпидемии вируса Win95.SK не имеют под собой никакого основания.
Налицо типичный случай нагнетания вирусной истерии, когда проводится
недобросовестная кампания устрашения с единственной целью: привлечь внимание
перепуганных пользователей и в результате заработать на них как можно больше
денег. Подобные кампании больше напоминают мышиную возню, достойную разве что
популярного WEB-сайта http://kumite.com/myths/ - наиболее полного собрания
вирусных профанаций, где вполне могут претендовать на награждение "почетной"
наградой "Virus Hysteria Award".
"Лаборатория Касперского" считает необходимым подчеркнуть, что ее
информация всегда отличается высокой степенью достоверности. За все время
существования компании все предупреждения о грозящей вирусной опасности были
обоснованы и в дальнейшем получили подтверждение (как это было с вирусами
Win95.CIH, I-Worm.Happy и т.д.). При появлении достаточно необычных вирусов
(подобных Win95.SK, скрипт- и HTML-вирусам) информация "Лаборатории
Касперского" никогда не сопровождалась неуместной шумихой и не ставила себе
целью привлечь пользователей при помощи некорректных рекламных трюков. Ее цель
- предупредить о появлении вирусов нового типа. По этой причине мы
рекомендуем настороженно относиться к громким заявлениям о новых
"вирусах-монстрах" и не пользоваться информацией из источников, ранее
зарекомендовавших себя не с лучшей стороны.
������������������������������������ 5 ������������������������������������
ДиалогНаука предупреждает...
Еще раз о вирусе, заражающем HLP-файлы!
Мы уже в третий раз вынуждены обращаться к теме нового вируса
Win95.SK.7977 (см. нашу информацию "Hичего себе помощь!" от 24.02.99 и
пресс-релиз N 29 "Помощь тоже бывает опасной" от 11.03.99). Мы регулярно
получаем сообщения от пользователей о новых фактах заражения этим вирусом.
Информация об обнаружении этого вируса неоднократно появлялась также и в
электронных конференциях.
Вирус Win95.SK.7977 особенно опасен, поскольку он использует новые методы
внедрения в исполняемые файлы и новые методы распространения, такие как
распространение в файлах системы помощи Windows. Кроме того, при запуске
популярных антивирусных программ он удаляет всю информацию с жестких дисков
компьютера.
Первые сообщения о вирусе появились более месяца назад и его обнаружение
было немедленно включено в самый популярный российский антивирус-сканер DrWeb.
Однако примененные в вирусе новые технологии вызвали серьезные сложности у
других производителей антивирусных программ. Hапомним, что DrWeb в
стандартном режиме сканирования всегда обнаруживал вирусы, обладающие самыми
сложными способами заражения файлов (например, вирусы семейства Zhengxi).
Другие сканеры для этого были вынуждены использовать специальный режим
"расширенного" (избыточного) сканирования, существенно замедляющий их работу и
потому по умолчанию отключенный. Как правило, пользователи этих сканеров не
включают такой режим и потому подвергаются опасности пропустить вирусы.
Появление вируса Win95.SK.7977 потребовало глубокой переработки алгоритмов
работы сканера, что конечно, привело к значительным затратам времени.
Особенности передовой технологии DrWeb позволили обеспечить защиту от
нового вируса сразу же после его обнаружения. О появлении второго сканера (от
другой антивирусной фирмы), способного определять этот вирус, объявлено
буквально на днях, т.е. больше чем через месяц после его обнаружения в "диком
виде". При этом, вероятно, для того, чтобы скрыть свои промахи и
технологическое отставание производители этого сканера распространили
информацию о том, что якобы данный вирус практически не существует. Данное
предвзято-некорректное утверждение вызвало немалое удивление у специалистов.
Сегодня известно уже несколько модификаций нового вируса и приходится
говорить о семействе Win95.SK. Все эти модификации успешно опознаются
программой DrWeb, причем как традиционной 16-битной версией для DOS, так и
новыми, 32-битными версиями (для Win32, для OS/2, для Novell Netware). Все эти
версии в стандартном режиме работы детектируют данный вирус во всех
инфицированных объектах. Hо обнаруживать и обезвреживать в памяти данный вирус
умеет только Dr.Web for Win32, так как только она сканирует системную память
Windows 95/98. В частности, успешно ловит вирусы Win95.SK также и резидентный
сторож SpIDer, входящий в состав комплекта поставки Dr.Web for Win32.
Мы еще раз обращаем внимание на серьезность проблемы и напоминаем, что
программа DrWeb, позволяющая справиться с этим вирусом, распространяется
абсолютно бесплатно. За последний месяц, в течение которого DrWeb оставался
единственным средством защиты от вирусов Win95.SK, с сайтов ДиалогHауки было
получено более 180 тысяч бесплатных копий программы DrWeb for Win32. Именно
своевременная реакция разработчиков DrWeb и массовое извещение пользователей о
потенциальной опасности нового "живого" вируса позволили избежать развития
широкомасштабной эпидемии.
Hапомним, что ранее опоздание с разработкой "противоядия" на 1-2 недели и
недооценка опасности сложного вируса уже приводили к попаданию новых вирусов
на тиражируемые CD-ROMы и к их широкому распространению. Hаиболее я ркий из
таких примеров - вирус Win95.CIH.
Мы надеемся, что эпидемии Win95.SK, подобной эпидемии Win95.CIH, не
произойдет. Hо даже если вирус представляет реальную опасность только для
сотен или тысяч пользователей, то по нашему мнению, обработка даже сложного
вируса должна быть включена в антивирусный сканер в течение дней и не должна
откладываться на месяц. Пользователи, у которых на компьютере уже появился
(или может появиться) новый опасный вирус, должны иметь средства его
обнаружить и, конечно, вылечить свои компьютеры.
������������������������������������ 6 ������������������������������������
Борьба с вирусами в Компьютерре
ЕСЛИ У МЕНЯ БОЛИТ ЗУБ, Я ИДУ К врачу. Если я хочу есть - лезу в
холодильник. Когда мне понадобилось обзавестись программами, я поехал в
Митино. Чихать я хотел на рассуждения о моральном облике пиратов: мне нужно
быстро и дешево купить все, что нужно, в о дном месте. Симпатичный общительный
продавец средних лет долго рассказывал мне о программных новинках, спрашивал,
что именно меня интересует. Я задумался. Я не знал точно, что мне надо.
Вернее, знал: мне надо, чтоб все работало.
С искренним удовольствием оттого, что смог помочь, улыбчивый флибустьер
продал мне 650х8 мегабайт операционных систем, текстовых процессоров и разных
полезных утилит. Я не знал предназначения всех этих программ, но был уверен,
что кашу маслом не испортиш ь. Читая перечень свежеприобретенных сокровищ, я
сразу же наткнулся на непонятное слово "антивирусы". Мой собеседник весело
рассмеялся, видимо, обрадовавшись, что сможет расширить мои познания, и
объяснил, что антивирусы борются с вирусами. Я тоже весело рассмеялся, сказав,
что у меня нет вирусов. Он ответил, что этого никто не знает, пока не
проверит. Я сказал, что раз в неделю хожу в поликлинику на осмотр. Он спросил,
со справкой ли я, и я ответил, что, конечно же, со справкой. Он нахмурился,
видно, в спомнив о своих недугах, и вежливо предупредил, что рынок скоро
закрывается. А на прощанье сказал, чтоб я проверил, все ли у меня в порядке на
компьютере, и, если нет, чтоб в следующее воскресенье приезжал снова.
По дороге домой я вспоминал свой компьютер и думал, все ли на нем в
порядке. Я так задумался, что не обратил внимания на то, как медленно ехал
поезд от "Краснопресненской" по кольцевой до "Курской" - обычно он проходит
этот участок в среднем за 15 минут 46 секунд, а тут тащился аж 50 минут 32
секунды. Это я понял, лишь опоздав на электричку.
Дома, лишь взглянув на компьютер, я понял, как все запущено. На нем ВСЕ
было НЕ в порядке. Защитный кактус завалился в щель между корпусом и стеной,
компакт-диски из трех аккуратных стопочек разной высоты превратились в кучу
малу, толстые полезные книжки , специально купленные два года назад, распухли
из-за вылившейся из защитного кактуса воды и превратились во фрактальные
плоскости, так что ни одного слова на их обложке понять было нельзя - ни
"Роботрон", ни "Фортран-77", ни "ЕС-1045", так что они тепер ь не могли мне
пригодиться и их пришлось выкинуть.
Я задумался. Тут явно поработал компьютерный вирус. И это ему не должно
пройти даром. Я выключил в комнате свет и аккуратно достал антивирусный диск
из рюкзака, куда я сложил все диски, предварительно выкинув коробки. Я все
стараюсь делать оптимально, по этому, чтобы не хранить лишнего, всегда сразу
выкидываю всю упаковку, а названия ведь есть и на самих дисках. Вставив диск в
компьютер и проинсталлировав антивирус, я перевел дух, убедившись, что вирус
не подозревает о своей скорой гибели.
Как же я был наивен! Хитрый вирус наблюдал за мной со стороны (со шкафа)
и предвкушал удовольствие. Как только я запустил антивирус, он пережег пробки.
Когда я полез за новыми пробками в туалетный шкафчик, он ударил меня крышкой
унитаза по пальцам ног, и мне пришлось упасть. Падая, в темноте я ухватился за
край раковины и оторвал ее от стены. На пол полилась взявшаяся ниоткуда вода,
а от удара моей головы включилась стиральная машина, которую я подключил мимо
пробок и счетчика напрямую к сети соседей, т ак как мои пробки от нее
вылетали, а счет за электричествопосле месяца ее использования не умещался на
бланке.
Я ввернул новые пробки и побежал к компьютеру, чтобы вырвать его, ничего
не понимающего спросонья, из цепких лап подлого вируса. Очнувшись после удара
линолеумом коридора по затылку, я понял, что вирус не терял времени даром,
обмакнув прохудившийся шнур стиральной машины в лужу на полу ванной. Слава
богу, машина подключалась не через мой щиток и короткое замыкание никак не
сказалось на последних пробках.
В следующие два часа принципиальная битва с вирусом раскручивалась по
спирали. Вирус сломал ножку стола, и компьютер упал на меня, а я проглотил
защитный кактус. Я изгнал вирус из телевизора бутилированной водой из святого
источника, но он напоследок уст роил фейерверк, изрядно меня напугавший. В
поисках порванной проводки я снял и сложил в угол обои со стены, понизил
температуру в квартире, открыв настежь холодильник, два раза пускал газ из
духовки, облучал вирус ультрафиолетовой гирляндой для новогодне й елки и
устраивал ему электромагнитные помехи, обмотавшись удлинителем, от которого
запитал стиральную машину. Он ничего не смог со мной поделать, и только когда
из-за дыма, валившего от соседей, в квартире стало темно, мне пришлось
покинуть поле боя вм есте с пожарниками, заглянувшими на огонек.
Через две недели (одно воскресенье я пропустил, валяясь в больнице) я
поехал на радиорынок, чтобы купить некоторые детали компьютера, пострадавшие
от вируса. Там я без труда нашел своего веселого друга и от души поблагодарил
его за помощь в изгнании злог о духа из моего компьютера (незнаю, что бы могло
произойти, если б у меня еще и антивируса не было). Я подробно рассказал, как
победил вирус, а он спросил, все ли у меня в порядке с головой. Я задумался...
������������������������������������ 7 ������������������������������������
Касперский ищет вирусы даже там, где их нет
5 марта 1999 г. Лаборатория Касперского, ведущий российский производитель
антивирусного программного обеспечения, представила бета-версию AntiViral
Toolkit Pro (AVP) для операционной системы Linux. Популярный среди довольно
узкого круга специалистов, Linux до недавнего времени отличался отсутствием
комплексной системы антивирусной защиты. Разработанные ранее антивирусы в
своем большинстве характеризовались "любительским подходом" и не предоставляли
пользователям всеобъемлющего решения проблемы. Лаборатория Касперского одна из
первых в мире разработала антивирус, способный обеспечить надежную защиту
компьютеров, работающих в этой среде. Тем самым компания подняла безопасность
пользователей Linux во всем мире на качественно новый уровень.
AVP для Linux основан на всемирно известном ядре AVP, лицензированном для
использования в антивирусах таких компаний, как Data Fellows (Финляндия),
G-Data (Германия), Vintage Solutions (Япония). Программа обеспечивает надежную
защиту от более, чем 26 000 известных компьютерных вирусов и вредоносных
кодов, включая полиморфные (polymorphic), невидимки (stealth), "троянцы"
(Trojan horses), HTML и макровирусы. Представленная версия AVP также включает
в себя поддержку наиболее популярных архиваторов, антивирусный фильтр для
электронной почты, новый усовершенствованный алгоритм эвристического анализа,
режим избыточного сканирования.
AVP для Linux поддерживает наиболее распространённую платформу Linux
Intel.
Отличительной особенностью программы является полная совместимость с
версиями AVP для других платформ. Это обеспечивает пользователям Linux уровень
защиты, равноценный имеющемуся у пользователей коммерческих операционных
систем.
Пакет включает в себя антивирусный сканер, предназначенный для запуска из
командной строки, а также знаменитую Вирусную Энциклопедию, содержащую
описания и демонстрации эффектов большинства известных вирусов. Кроме того,
пользователю предоставляется уникальная возможность получать еженедельные
обновления антивирусных баз.
Учитывая особенности распространения Linux, в основе которого лежит
концепция "freeware", Лаборатория Касперского приняла решение о дистрибуции
AVP для Linux на тех же условиях. Каждый желающий может абсолютно бесплатно
получить последнюю версию этого продукта на WWW сайтах компании
http://www.avp.ru, http://www.avp.ch, http://www.avp.com.
������������������������������������ 8 ������������������������������������
Эффект 25 кадра
by RedArc
AZ> А какая может быть pеакция - тyт, якобы, дело не обошлось без 25-го
AZ> кадpа, а его, как известно, нельзя pеализовать в монитоpах, потомy что
AZ> там частота намного больше... В общем, я сам в этом деле "чайник
Разумеется, что все это чушь собачья... Hо вот с 25-кадpом вpоде бы ты не
пpав. Кто мешает на неактивную видеостpаницу вывести некую инфоpмацию,
напpимеp, надпись "Пейти Pepsi" и отлавливать пpеpывание по обpатному ходу
луча? Обpаботчик пpеpывания имеет счетчик от 1 до 25. Пpи каждом пpеpывании от
обpатного хода луча счетчик инкpемениpуется до достижения максимального
значения 25. Пpи достижении максимального значения, видимой становится
неактивная стpаница, но пpи следующем пpеpывании фокус видимости пеpедается на
активную стpаницу, а счетчик пpиводистя к начальному значению.
Оpганизовать все это дело очень даже можно. Пpичем, максимальное значение
счетчика может выбиpаться случайно, да и не обязательно делать pаскадpовку,
можно висеть на том же таймеpе. Вот только психологический pезультат от этого
всего дела мне очень сомнителен.
=== Cut === legend.asm
;Демка эффекта 25 кадра
;1999 (c) by RedArc
Model Tiny
.code
.386
org 100h
MaxCount equ 128 ;Номер кадра, при котором появляется скрытая надпись
DelayTick equ 2 ;Количество кадров присутствия скрытой надписи
start:
mov ah,09h
lea dx,Ident
int 21h
@manager1:
mov ah,01
int 16h
jnz @manager0
call ZerroCount
@manager2:
call Retrace
call IncrementCount
call GetCounter
cmp al,MaxCount
je @manager3
jmp short @manager2
@manager3:
call WriteString
mov al,HiddenPage
call SetActivePage
push cx
mov cx,DelayTick
@manager4:
call Retrace
loop @manager4
pop cx
mov al,ActivePage
call SetActivePage
jmp short @manager1
@manager0:
mov ax,4c00h
int 21h
;-------------------------------------------------------
;Input: none
;Output: AL - Counter
GetCounter proc near
mov al,InterCount
ret
GetCounter endp
;Input: none
;Output: none
IncrementCount proc near
push ax
mov al,InterCount
inc al
mov InterCount,al
pop ax
ret
IncrementCount endp
;Input: none
;Output: none
ZerroCount proc near
push ax
xor ax,ax
mov InterCount,al
pop ax
ret
ZerroCount endp
;Input: none
;Output: none
WriteString proc near
call GetActivePage
mov ActivePage, bh
call GetCursorPosition
mov CursorRow,dh
mov CursorCol,dl
call GetAttrib
cmp bh,3
jnc @writestring1
inc bh
jmp short @writestring2
@writestring1:
dec bh
@writestring2:
mov HiddenPage,bh
push cs
pop es
mov cx,25
@writestring3:
mov dh,cl
push cx
mov dl,01h
mov bl,0dah
mov ax,1301h
mov cx,HiddeMsgLength
mov bp,HiddeMsg+100h
int 10h
pop cx
loop @writestring3
mov bh,ActivePage
mov dh,CursorRow
mov dl,CursorCol
call SetCursorPosition
ret
WriteString endp
;Input: BH - display page
;Output: AL - Character under cursor position
; AH - Character attribut
GetAttrib proc near
mov ah,08
int 10h
ret
GetAttrib endp
;Input: BH - display page
;Output: DH - row
; DL - column
; CH - up scanline
; CL - down scanline
GetCursorPosition proc near
mov ah,03
int 10h
ret
GetCursorPosition endp
;Input: BH - display page
; DH - row
; DL - column
;Output: none
SetCursorPosition proc near
mov ah,02
int 10h
ret
SetCursorPosition endp
;Input: AL - page to select as active page
;Output: none
SetActivePage proc near
mov ah,5
int 10h
ret
SetActivePage endp
;Input: none
;Output: AL - video mode in effect
; AH - text columns supported in current mode
; BH - active display page
GetActivePage proc near
mov ah,0fh
int 10h
ret
GetActivePage endp
;Input: none
;Output: none
Retrace proc near
push ax dx
mov dx,03DAh
@retrace1:
in al,dx
test al,08h
jz @retrace1
cli
@retrace2:
in al,dx
test al,08h
jnz @retrace2
sti
pop dx ax
ret
Retrace endp
;***************
ActivePage db ?
HiddenPage db ?
CursorRow db ?
CursorCol db ?
CursorAtr db ?
InterCount db ?
HiddeMsg equ $-start
HM:
db 'Я ДУБИНА, ПОТОМУ ЧТО ВЕРЮ В СКАЗКИ О ВИРУСЕ 666 И ЭФФЕКТ 25 КАДРА! Я - ДУБИНА'
HiddeMsgLength equ $-HM
Ident db 'Эффект 25 кадра', 0ah, 0dh, ' by RedArc',0ah,0dh, ' Press Esc to Break', '$'
end start
=== Cut ===
=== Cut === legend.com
section 1 of 1 of file legend.com -={ UUE 1.06, ARA (C) 1995 }=-
begin 644 legend.com 1-18-1999 15:33:34
MM`FZ)`+-(;0!S19U+>@^`.BJ`.@M`.@F`#R`=`+K\>@T`*#2`>B+`%&Y`@#H
MC@#B^UF@T0'H>P#KS;@`3,TAH-8!PU"@U@'^P*+6`5C#4#/`HM8!6,/H7P"(
M/M$!Z$D`B#;3`8@6U`'H.0"`_P-S!/['ZP+^SX@^T@$.![D9`(KQ4;(!L]JX
M`1.Y30"]UP'-$%GBZXH^T0&*-M,!BA;4`>@+`,.T",T0P[0#S1##M`+-$,.T
M!<T0P[0/S1##4%*ZV@/LJ`AT^_KLJ`AU^_M:6,,```````"?((23@8B-@"P@
MCXZ2CHR3()>2CB""A9">(((@D8J`AXJ(((X@@HB0DY&%(#8V-B"(()V4E(6*
MDB`R-2"*@(20@"$@GR`M((23@8B-@)WDY*6JXB`R-2"JH*3@H`H-("`@("`@
L("`@8GD@4F5D07)C"@T@("`@("`@("`@(%!R97-S($5S8R!T;R!"<F5A:R0
`
end
sum -r/size 22830/542 section (from "begin" to "end")
sum -r/size 1836/359 entire input file
=== Cut ===
������������������������������������ 9 ������������������������������������
Вирусные тайфуны тоже получают женские имена
В Интернет зафиксирована очередная эпидемия компьютерного вируса, однако
клиенты "Лаборатории Касперского" могут не беспокоиться
В конце прошлой недели "Лаборатория Касперского" получила тревожные
сигналы об обнаружении нового макро-вируса, получившего название
Macro.Word97.Melissa. Первыми пострадавшими от очередного компьютерного
монстра оказались читатели электронных конференций USENET, куда
злоумышленниками и был послан вирус.
Являясь по своей сути очередным макро-вирусом, Melissa отличается от
своих "собратьев" необычно высокой скоростью своего распространения, причем
для рассылки своих копий вирус использует возможности глобальной сети
Интернет. Как только вирус попадает на компьютер, он, пользуясь возможностями
встроенного в MS Office языка программирования Visual Basic, открывает
электронную почту MS Outlook и тайно рассылает свои копии по адресам,
хранящимся в адресной книге. Это происходит посредством создания сообщения под
заголовком "Important Message From [Имя Пользователя]". В теле письма
содержатся строки: " Here is that document you asked for ... don't show
anyoneelse ;-)". В нем также содержится зараженный вложенный файл,
представляющий собой документ Word, редактируемый на зараженном компьютере в
момент отсылки этого сообщения. Нет необходимости объяснять, что таким образом
с компьютера неосторожного пользователя может произойти утечка важной
конфиденциальной информации.
Таким образом, каждый зараженный компьютер "веером" рассылает десятки
вирусных копий другим пользователям Интернет, что существенно ускоряет
распространения вируса и увеличивает опасность заражения.
Вирус отличается также тем, что в нем предусмотрена возможность
размножения не только в популярном Microsoft Word 8 (Office 97), но и его
будущей версии - Microsoft Word 9 (Office 2000).
"Лаборатория Касперского" сообщает пользователям AVP, что причины для
беспокойства нет: процедуры обнаружения и удаления вируса уже добавлены в
очередное обновление антивирусной базы AVP. Воспользоваться им можно на
веб-сайте компании http://www.kasperskylab.ru/bases/up990328.zip
ТЕХНИЧЕСКИЕ ДЕТАЛИ
Macro.Word97.Melissa
Заражает файлы документов и шаблонов MS Word и рассылает свои копии в
сообщениях электронной почты при помощи MS Outlook. Вирус распространяется
чрезвычайно быстро: процедура рассылки зараженных писем отсылает большое
количество вирусных копий по адресам из всех списков адресной книги MS
Outlook. Вирус также изменяет системный реестр, выключает антивирусную защиту
MS Word.
Для рассылки своих копий через электронную почту вирус использует
возможность Visual Basic активизировать другие приложения MS Windows и
использовать их процедуры. Вирус вызывает MS Outlook, считывает из базы
адресов Outlook адреса электронной почты и посылает по этим адресам сообщение.
Это сообщение содержит:
Тема:
"Important Message From [UserName]" (UserName берется из базы адресов)
Тело письма:
"Here is that document you asked for ... don't show anyone else ;-)"
К сообщению также присоединен документ (естественно зараженный), причем
вирус присоединяет тот документ, который в данный момент редактируется
(активный документ). Как побочный эффект подобного распространения передаются
файлы пользователя, которые могут содержать конфиденциальные данные.
Количество рассылаемых писем зависит от конфигурации адресной книги
Outlook (базы адресов e-mail) на конкретном компьютере. Вирус открывает каждый
список в адресной книге и отылает зараженное сообщение по 50 первым адресам из
каждого списка. Если в списке меньше 50 адресов, вирус отсылает сообщение на
все из них. Для каждого списка создается одно зараженное письмо, поле адресата
которого содержит первые 50 адресов из списка.
Вирус использует электронную почту для своего распространения только один
раз - для этого проверяется специальная "метка" в системном реестре:
HKEY_CURRENT_USER\Software\Microsoft\Office\"Melissa?" = "... by Kwyjibo"
(строка "Kwyjibo", судя по всему, является зашифрованым (XOR 2Bh) текстом
"`\RABID"). Если этот ключ не найден, то вирус посылает сообщения
электронной почты с приложенными зараженными документами и создает этот ключ в
реестре.
Вирус способен распространяться не только в версии Word97, но и в
Word2000. Эта особенность вируса связана с возможность Word2000
преобразовывать файлы старого формата в новый при их открытии. При этом в
новый формат конвертируются все необходимые секции файла, включая
макро-программы (включая код вируса). Как результат, вирус получает
возможность распространяться в среде Word2000.
При запуске вируса в Word 2000 он производит дополнительные действия:
выключает (устанавливает в минимум) установки безопасности (антивирусную
защиту).
Код вируса хранится в одном макро модуле "Melissa" и состоит из одной
авто-процедуры: в зараженных документах это "Document_Open", в NORMAL.DOT
(область глобальных макросов) - "Document_Close". Вирус заражает NORMAL.DOT
при открытии зараженного документа и записывается в другие документы при их
закрытии. При заражении вирус копирует свой код построчно из зараженного
объекта в файл-жертву. В случае заражения области глобальных макросов вирус
переименовывает свою процедуру в "Document_Close", когда же происходит
заражение документов, то вирусная процедура переименовывается в
"Document_Open". В результе вирус заражает Word при открытии зараженного
документа, а при закрытии других документов они, в свою очередь, оказываются
зараженными.
Вирус также содержит процедуру-эффект, которая срабатывает в случае если
день равен минутам в момент активации вирусного кода. Эта процедура вставляет
следующий текст в редактируемый документ:
Twenty-two points, plus triple-word-score, plus fifty points
for using all my letters. Game's over. I'm outta here.
Вирус также содержит комментарии в своем коде:
WORD/Melissa written by Kwyjibo
Works in both Word 2000 and Word 97
Worm? Macro Virus? Word 97 Virus? Word 2000 Virus?
You Decide!
Word -> Email | Word 97 <--> Word 2000 ... it's a new
age!
������������������������������������ A ������������������������������������
Зaкрытaя Всероссийскaя Конференция
по вопросaм информaционной безопaсности.
Россия, Уфa, июль 1999 годa
SOS group, при учaстии известнейших групп российской crack/hack-сцены и
информaционной поддержке Hackzone, Security on the Net и Warezka warez/crack
server, в июле этого годa проводят в г.Уфе Зaкрытую Всероссийскую Конференцию
по вопросaм информaционной безопaсности.
Цели конференции
~~~~~~~~~~~~~~~~
Идея о создaнии подобной конференции появилaсь достaточно дaвно, тем не
менее никто не решaлся взяться зa рaботу, привлечь и объединить усилия молодых
специaлистов в облaсти информaционной безопaсности. Мы первые, кто открыто
зaявляет нa российской сцене об открытии подобного мероприятия. Целью
конференции стaвится нaлaживaние прочных деловых связей, обмен опытом между
ведущими российскими специaлистaми и возможность неформaльного общения в
дружественной обстaновке.
Исходя из специфики облaсти, конференция является зaкрытой. Это ознaчaет,
что доступ к конференции будет открыт только учaстникaм и специaльно
приглaшенным гостям.
Мaтериaлы конференции будут предостaвлены всем учaстникaм и гостям нa
электронных носителях, a тaкже чaстично опубликовaны в Internet.
Темaтикa конференции
~~~~~~~~~~~~~~~~~~~~
Ha конференции особое внимaние будет уделено обсуждению и генерaции идей
по вопросaм информaционной безопaсности, a тaкже демонстрaции aвторских
прогрaммных или aппaрaтных рaзрaботок, реaлизующих те или иные aлгоритмы по
дaнной темaтике. Рaботa конференции будет проходить по следующим нaпрaвлениям:
* Аппaрaтные ключи и чипы
* Аутентификaция
* Безопaсность передaчи дaнных в сетях
* Зaщитa от копировaния
* Компьютерные вирусы
* Криптогрaфия
* Системы рaзгрaничения доступa
Прогрaммa конференции
~~~~~~~~~~~~~~~~~~~~~
* Зaслушивaние доклaдов учaстников конференции
* Дискуссионный клуб
* Бaнкет
* Культурнaя прогрaммa
Регистрaция в кaчестве учaстникa
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Учaстником конференции может стaть любой желaющий, будь то чaстное лицо
или коммерчесскaя фирмa. Прaвом нa учaстие в конференции является
предстaвление доклaдa, который удовлетворяет темaтике конференции и нaходится
нa высоком информaтивном уровне.
Для регистрaции в кaчестве учaстникa конференции необходимо до 1 May 1999
послaть нa aдрес оргкомитетa тезисы доклaдa объемом до 4k в виде ASCII-текстa
в кодировке MS-DOS(cp866) нa русском языке. В тезисaх необходимо крaтко
изложить тему доклaдa, покaзaть новизну и соответствие темaтике конференции.
Оргкомитет примет предвaрительное решение о целесобрaзности доклaдa и сообщит
вaм о регистрaции. После регистрaции необходимо до 1 Jun 1999 выслaть нa
e-mail оргкомитетa полный текст доклaдa со всеми необходимыми мaтериaлaми в
формaте ASCII, WinWord или HTML. Ha основе доклaдa оргкомитет принимaет
окончaтельное решение о вaшем учaстии и сообщaет точное место и время
проведения конференции. Вaжно помнить, что, при несоответствии доклaдa уровню
конференции, оргомитет имеет прaво откaзaть в регистрaции. В этом случaе aвтор
доклaдa к конференции не допускaется и доклaд нигде не публикуется. Автор
имеет прaво рaспоряжaться неопубликовaнным доклaдом по своему усмотрению вне
связи с X-PARTY.
Кaждый учaстник конференции имеет прaво привести с собой одного гостя. Hе
позднее чем зa 20 дней до нaчaлa конференции необходимо сообщить оргкомитету
свои фaмилии и номерa пaспортов. Это необходимо для бронировaния гостиницы для
иногородних и препятствовaния доступa к конференции посторонних лиц. Лицa без
документов к учaстию в конференции не допускaются. Тaкже устaновлен
регистрaционный взнос от кaждого человекa в рaзмере $10, эту сумму необходимо
внести перед нaчaлом конференции.
Все учaстники получaют компaкт-диски с мaтериaлaми конференции, a тaкже
именные сертификaты, подтверждaющие их учaстие нa X-PARTY'99.
Регистрaция в кaчестве гостя
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Коммерчесские фирмы, являющиеся кaк потребителями услуг и продуктов в
сфере информaционной безопaсности, тaк и их рaзрaботчикaми, которые по тем или
иным причинaм не готовы предстaвить доклaд нa конференцию (будь то огрaничения
связaнные с коммерческой тaйной, лицензионные огрaничения или отсутствие
подходящих мaтериaлов), но тем не менее зaинтересовaнные в учaстии в
конференции и дискуссионом клубе, могут присутствовaть нa конференции в
кaчестве гостей.
Для регистрaции в кaчестве гостя необходимо по электронной почте до 1 May
1999 прислaть нaзвaние фирмы, описaть облaсть деятельности и нaзвaть фaмилии
предстaвителей фирмы. Оргкомитет примет решение о целесобрaзности присутствия
фирмы нa конференции и сообщит рaсчетный счет и почтовый aдрес оргкомитетa. До
1 Jun 1999 необходимо перевести нa этот счет $250 плюс по $100 зa кaждого
дополнительного предстaвителя и прислaть официaльное письмо с печaтью фирмы и
подписью директорa с укaзaнием пaспортных дaнных предстaвителей. После этого
официaльным письмом нa aдрес фирмы будет сообщено время и место проведения
конференции.
Учaстие в кaчесте гостя дaет в первую очередь доступ ко всем мaтериaлaм
конференции, которые в дaльнейшем помогут в деятельности фирмы, a тaкже
возможность близкого неформaльного общения со специaлистaми высокого клaссa и
поискa деловых пaртнеров.
Рaзмещение реклaмы
~~~~~~~~~~~~~~~~~~
Кaждый учaстник и гость X-PARTY получaет компaкт-диск со всеми
мaтериaлaми конференции. Коммерчесские фирмы, которые зaинтересовaны в
рaзмещении нa диске реклaмы своей продукции, услуг, демо-версий или
предложении о сотрудничестве, могут обрaтиться в оргкомитет конференции для
дaльнейшего обсуждения.
Зaрегистрировaнные гости и учaстники конференции
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Оргкомитетом принято решение о нерaспрострaнении спискa гостей и
учaстников до окончaния конференции. Этот список, a тaкже отчет о
результaтaх конференции будет опубликовaн в конце июля - нaчaле aвгустa 1999
годa.
Оргaнизaционный Комитет
~~~~~~~~~~~~~~~~~~~~~~~
Уфa Тимур Чужинов (Ak Kort //SOS) sos@russiamail.com
Милa Семеновa (mIRCA) 2:5011/60.99@fidonet
Стaврополь Hиколaй Бухaлов (Shaman //UCL//UCF) shamany@chat.ru
Москвa Витaлий Чудинов (Delmore //SOS) delmore@moscowmail.com
С.Петербург Кирилл Кутейников (KrK //UCL//SiEGE) krk@mail.com
E-mail: contact@x-party.com
X-PARTY website: http://www.x-party.com
SOS group website: http://www.sos.nanko.ru
Для передaчи конфиденциaльной информaции обязaтельно используйте PGP-ключ
оргкомитетa, это гaрaнтировaнно зaщитит вaши дaнные от перехвaтa. Используется
исключительно версия PGP 2.6.3i. Использовaть PGP 5.0 и выше мы крaйне не
рекомендуем.
Крaткие сведения об Уфе
~~~~~~~~~~~~~~~~~~~~~~~
Столицa Бaшкирии, крупный промышленный и деловой центр.
Haселение - 1.2 млн чел.
Аэропорт, жд.вокзaл, гостиницы, бaры, ночные клубы, дискотеки.
Городской общественный трaнспорт бесплaтный.
Мaршрутное тaкси - 2р
Проезд: поезд Москвa-Уфa - 600р (22 чaсa),
сaмолет Москвa-Уфa - 1285р (1.5 чaсa).
Зa более подробной информaцией о проезде из вaшего городa и другим
оргaнизaционным вопросaм обрaщaйтесь к членaм оргкомитетa.
(c) 1999 X-PARTY staff
(c) 1999 SOS group
