[TulaAnti&ViralClub] PRESENTS ...
MooN_BuG, Issue 7, Sep 1998 file 017
ВЕСЕЛЫЕ ИСТОРИИ
by RedArc
������������������������������������ 1 ������������������������������������
Переполох по поводу вируса WIN95.CIH от Диалога
─ Echo From 2:5022/12.0 (2:5022/12.23) ──────────────────────── ADINF.SUPPORT ─
Msg : 2083 из 2095
From : Igor Daniloff 2:5020/69.14 Втр 30 Июн 98 23:27
To : All Чтв 02 Июл 98 12:40
Subj : HОВАЯ ВИРУСHАЯ ОПАСHОСТЬ!!!
───────────────────────────────────────────────────────────────────────────────
* Crossposted in ADINF.SUPPORT
* Crossposted in SU.VIRUS
Hello All!
В H И М А H И Е! Hовая вирусная опасность! Появился вирус, разрущающий
аппаратную часть компьютеров. 26 числа каждого месяца, после срабатывания
деструктивного кода вируса материнские платы компьютеров можно выбрасывать на
помойку. о только в том случае, если в этих компьютерах, инфицированных
вирусом Win95.CIH, переключатель записи в перезаписываемое программируеммое
ПЗУ (Flash BIOS) находился в положении, разрешающем запись в это ПЗУ. А, как
правило, все компьютеры поставляются и продаются именно с таким положением
переключателя.
Вирус Win95.CIH был написан в Тайване, распространялся автором этого
детища в Интернет, и в настоящее время поразил большинство стран Юго-
Восточной Азии, а также некоторые европейские страны (в частности, очень
серьезно пострадала Швеция).
Я РЕКОМЕДУЮ ВСЕМ ПРОИЗВОДИТЕЛЯМ, ПОСТАВЩИКАМ И ПРОДАВЦАМ КОМПЬЮТЕРОВ
УСТАОВИТЬ ПЕРЕКЛЮЧАТЕЛЬ FLASH BIOS В ПОЛОЖЕИЕ ЗАПРЕЩАЮЩЕЕ ЗАПИСЬ ВО FLASH
BIOS!!!
Вирус Win95.CIH прекрасно детектируется и лечится с помощью программы
Dr.Web версии 4.01. Пожалуйста, проверяйте все приходящие файлы. Особенно
тщательно контролируйте все файлы, полученные через сеть - Интернет.
Win95.CIH
Очень опасный резидентный вирус. Заражает файлы в формате EXE PE под
управлением операционной системы Windows 95. При заражении файлов вирус не
увеличивает их длины, а использует довольно интересный механизм заражения
файлов. Каждая кодовая секция EXE PE файла выравнена на определенное
количество байт, обычно, не используемых программой. В такие области вирус и
записывает части своего кода, "разбрасывая" их иногда по всему файлу (или по
всем кодовым секциям). А также вирус может записать свою стартовую процедуру
(процедуру, первой получающей управление при запуске программы) или даже весь
свой код в область заголовка EXE PE файла и установить точку входа программы
на эту стартовую процедуру. Таким образом, точка входа файла может не
принадлежать ни одной кодовой секции файла.
При получении управления вирус выделяет себе блок памяти посредством
вызова функции PageAllocate и "собирает себя по частям" в единое целое в этом
выделенном участке памяти. Далее Win95.CIH перехватывает IFS API и отдает
управление программе-вирусоносителю. При открытии файлов с расширением EXE и
форматом PE вирус инфицирует их.
26 числа каждого месяца вирус уничтожает содержимое Flash BIOS, записывая
в него случайные данные ("мусор"). В результате после первой же перезагрузки
компьютер перестает загружаться. И, как правило, даже в промышленных условиях
восстановить содержимое Flash BIOS и вернуть работоспособность компьютеру
достаточно сложно. Я РЕКОМЕДУЮ всем пользователям современных компьютеров
установить ПЕРЕКЛЮЧАТЕЛЬ на материнской плате компьютера в положение,
запрещающее ЗАПИСЬ во Flash BIOS! Иначе ВЫ можете АВСЕГДА ПОТЕРЯТЬ свой
компьютер!
В настоящее время существует 3 модификации вируса Win95.CIH длиной 1003,
1010 и 1019 байт. Данные вирусы содержат в своем теле тексты:
Win95.CIH.1003 - CIH v1.2 TTIT
Win95.CIH.1010 - CIH v1.3 TTIT
Win95.CIH.1019 - CIH v1.4 TATUNG
ID...... И. Данилов
--- GoldED/2 2.51.A0901+
* Origin: ID, Igor Daniloff, St Petersburg, [email protected] (2:5020/69.14)
������������������������������������ 2 ������������������������������������
Переполох по поводу вируса Win95.CIH от Касперского
─ Echo From 2:5022/12.0 (2:5022/12.23) ────────────────────────── AVP.SUPPORT ─
Msg : 1753 из 1763
From : Vadim Bogdanov 2:5020/156 Срд 01 Июл 98 16:30
To : All Чтв 02 Июл 98 12:40
Subj : Win95.CIH
───────────────────────────────────────────────────────────────────────────────
Hi, All!
Лаборатория Касперского рекомендует всем пользователям Windows95 временно
воздержаться от использования программного обеспечения, полученного из
непроверенных источников.
С чувством глубокого сожаления "Лаборатория Касперского" (ЛК) вынуждена
констатировать тот факт, что все компьютеры, на которых установлена
операционная система Windows95 и которые подключены к Интернет, находятся под
реальной угрозой заражения новым компьютерным вирусом, внедряющимся в
исполняемые файлы Windows95 (Portable Executable). Особенно опасными являются
разрушительные проявления вируса - 26-го числа каждого месяца он
перезаписывает Flash BIOS и стирает информацию на всех установленных жестких
дисках. Hовый вирус, впервые обнаруженный на Тайване в начале июня этого
года, в течении нескольких недель разошелся буквально по всему миру - вирусные
эпидемии были зарегистрированы практически во всех странах Европы, Америки и
Юго-восточной Азии. 29 июня вирус был обнаружен в России. В Лабораторию
Касперского поступили сообщения из нескольких городов (например,
Сантк-Петербург). Зараженными оказались файлы на некоторых российских
WWW-сайтах. Так же вирус был обнаружен в пиратских копиях программного
обеспечения, распространяющегося по конференциям FIDO и Интернет.
Многие помнят повальную эпидемию макро-вируса Concept в августе-сентябре
1995 года. "Триумфальное шествие" этого макро-вируса буквально перевернула
вверх ногами основные представления о компьютерных вирусах и заставило
разработчиков антивирусного программного обеспечения внести значительные
изменения в выпускаемые продукты. Эта история повторяется и сейчас, но уже с
Windows-вирусом: попав в глобальную сеть Интернет, вирус за очень короткое
время стал причиной сотен (если не тысяч) эпидемий.
Так на наших глазах рушится миф о том, что Windows-вирусы никогда не
получат такого же широкого распространения, как старые добрые DOS-вирусы. К
сожалению, это не так. Доказательством этому факту является глобальная
пандемия нового компьютерного вируса, и мы поневоле являемся ее свидетелями.
Вирус был впервые обнаружен почти месяц назад, однако до сих пор далеко
не все антивирусы в состоянии детектировать и лечить его. Так команда
разработчиков WinZip предложила срочно обменяться корпоративными лицензиями с
ЛК, поскольку AVP оказался единственным антивирусом, способным противостоять
новому вирусу.
Дополнение к AVP, способное детектировать и удалять новый вирус был
выпущен практически сразу после появления вируса "в живом виде" - 8 июня 1998.
Последние версии AVP для DOS, Win16, Win32, OS/2 и NovellNetware доступны на
WWW-сайтах www.avp.ru, www.avp.com, www.avp.ch. Все они в состоянии
детектировать и лечить новый компьютерный вирус.
Подведем итоги: вирус распространяется по миру с ошеломляющей скоростью,
вирус имеет крайне опасные проявления, вирус детектируется и лечится далеко не
всеми антивирусными программами. По этим причинам Лаборатория Касперского
рекомендует всем пользователям Windows95 временно воздержаться от
использования программного обеспечения, полученного из непроверенных
источников, и обязательно пользоваться антивирусным ПО.
Комментарии излишни. Будьте бдительны, господа!
Win95.CIH
=========
Резидентный вирус, работает только под Windows95 и заражает PE-файлы
(Portable Executable). Имеет довольно небольшую длину - около 1Кб. Обнаружен
"в живом виде" в Тайване в июне 1998 - был разослан автором вируса в местные
Интернет -конференции. За последующую неделю вирусные эпидемии были
зарегистрированы в Австрии, Австралии, Израиле и Великобритании, затем вирус
был обнаружен и в других странах, включая Россию.
При запуске зараженного файла вирус инсталлирует свой код в память
Windows, перехватывает обращения к файлам и при открытии PE EXE-файлов
записывает в них свою копию. Содержит ошибки и, в некоторых случаях,
"завешивает" систему при запуске зараженных файлов. В зависимости от текущей
даты стирает Flash BIOS и содержимое дисков.
Запись в Flash BIOS возможна только на соответствующих типах материнских
плат и при разрешающей установке соответственного переключателя. Этот
переключатель обычно установлен в положение "только чтение", однако это
справедливо не для всех производителей компьютеров. К сожалению, Flash BIOS
на некоторых современных материнских платах не может быть защищена
переключателем: одни из них разрешают запись в Flash при любом положении
переключателя, на других защита записи в Flash может быть отменена программно.
При тестировании вируса в Лаборатории память Flash BIOS осталась
неповрежденной - по непонятным причинам вирус "завесил" систему без
каких-либо побочных эффектов. Однако из других источников известно, что вирус
при определенных условиях действительно портит содержимое Flash BIOS.
После успешного стирания Flash-памяти вирус переходит к другой
деструктивной процедуре: стирает информацию на всех установленных винчестерах.
При этом вирус использует прямой доступ к данным на диске и, тем самым,
обходит встроенную в BIOS стандартную антивирусную защиту от записи в
загрузочные сектора.
Известно три версии вируса. Они достаточно похожи друг на друга и
отличаются лишь незначительными деталями кода в различных подпрограммах.
Версии вируса имеют различные длины, строки текста и дату срабатывания
процедуры стирания дисков и Flash BIOS:
Длина Текст Дата срабатывания Обнаружен "в живом виде"
1003 CCIH 1.2 TTIT 26 апреля Да
1010 CCIH 1.3 TTIT 26 апреля Hет
1019 CCIH 1.4 TATUNG 26 каждого месяца Да - во многих странах
Технические детали
==================
При заражении файлов вирус ищет в них "дыры" (блоки неиспользуемых
данных) и записывает в них свой код. Присутствие таких "дыр" обусловлено
структурой PE-файлов: позиция каждой секции в файле выровнена на определенное
значение, указанное в PE-заголовке, и в большинстве случаев между концом
предыдущей секции и началом последующей есть некоторое количество байт,
которые не используются программой. Вирус ищет в файле такие неиспользуемые
блоки, записывает в них свой код и увеличивает на необходимое значение размер
модифицированной секции. Размер заражаемых файлов при этом не увеличивается.
Если в конце какой-либо секции присутствует "дыра" достаточного размера,
вирус записывает в нее свой код одним блоком. Если же такой "дыры" нет,
вирус дробит свой код на блоки и записывает их в конец различных секций файла.
Таким образом, код вируса в зараженных файлах может быть обнаружен и как
единый блок кода, и как несколько несвязанных между собой блоков.
Вирус также ищет неиспользуемый блок данных в PE-заголовке. Если в конце
заголовка есть "дыра" размером не менее 184 байт, вирус записывает в нее
свою startup-процедуру. Затем вирус изменяет стартовый адрес файла: записывает
в нее адрес своей startup-процедуры. В результате такого приема структура
файла становится достаточно нестандартной: адрес стартовой процедуры программы
указывает не в какую-либо секцию файла, а за пределы загружаемого модуля - в
заголовок файла. Однако Windows95 не обращает внимания на такие "странные"
файлы, грузит в память заголовок файла, затем все секции и передает управление
на указанный в заголовке адрес - на startup-прецедуру вируса в PE-заголовке.
Получив управление, startup-процедура вируса выделяет блок памяти
VMM-вызовом PageAllocate, копирует туда свой код, затем определяет адреса
остальных блоков кода вируса (расположенных в конце секций) и дописывает их к
коду своей startup-процедуры. Затем вирус перехватывает IFS API и возвращает
управление программе-носителю.
С точки зрения операционной системы эта процедура наиболее интересна в
вирусе: после того, как вирус скопировал свой код в новый блок памяти и
передал туда управление, код вируса исполняется как приложение Ring0, и вирус
в состоянии перехватить AFS API (это невозможно для программ, выполняемых в
Ring3).
Перехватчик IFS API обрабатывает только одну функцию - открытие файлов.
Если открывается файл с расширением EXE, вирус проверяет его внутренний формат
и записывает в файл свой код. После заражения вирус проверяет системную дату и
вызывает процедуру стирания Flash BIOS и секторов диска(см. выше).
При стирании Flash BIOS вирус использует соответствующие порты
чтения/записи, при стирании секторов дисков вирус вызывает VxD-функцию
прямого обращения к дискам IOS_SendCommand.
http://www.avp.ru
Regards, Vadim
--- GoldED 2.42.G1219+
* Origin: Kami BBS 095-948-6333 V34 24h (2:5020/156)
������������������������������������ 3 ������������������������������������
Афера вирусологов раскрывается... самими вирусологами
─ NetMail (2:5022/12.23) ──────────────────────────────────────────── NETMAIL ─
Msg : 1525 из 1526 Rcv Pvt K/s
From : Dmitry Mostovoy 2:5020/69.4 Втр 07 Июл 98 23:20
To : Igor Dikshew 2:5022/12.23
Subj : Re: Win95.CIH
───────────────────────────────────────────────────────────────────────────────
@Recd from 2:5022/12.0 08 Jul 98 17:12:38
@TOPT 23
@FMPT 4
@INTL 2:5022/12 2:5020/69
@MSGID: 2:5020/69.4 35a2ad5c
@REPLY: 2:5022/12.23 35a229f1
*** Reply to letter from AVP.SUPPORT.
Hi Igor!
07 Jul 98, letter Igor Dikshew to Andy Nikishin:
ID> когда он устpоил пpаздник по всему миpу... :( Кстати, Юpий Фомин
ID> говоpит, что никакой миpовой эпидемии виpуса небыло. Т.е. в
ID> междунаpодных эхах "Пpо это" нет ни одного письма... Как же так?
;-))) Я не хочу поднимать флейм в конференциях, но история была такой.
Команда AVP проморгала этот вирус. В их "Энцеклопедии" было написано, что
26-го числа он создает какие-то видеоэффекты. Игорь Данилов заметил это и в
пику Касперскому ;-) выпустил описание порчи оборудования. Заметь, что ни про
какую эпидемию в его описании не было ни слова.
Команде Касперского пришлось "умыться" и, чтобы никто не заметил их
прокола, они придумали эту самую "мировую эпидемию", "100 тысяч посещений их
сайта в день", "AVP - единственный спаситель мира" и прочую муру. Это в стиле
их рекламных методов.
... Дмитрий Мостовой
--- GoldED 2.50+
@Via Squish/386 1.11 2:5020/69, Tue Jul 07 1998 at 23:29 UTC
@Via UniMail/OS2 0.43b 2:5020/2200, 07 Jul 1998 19:57:06 UTC +0400
@Via 2:5020/79 FTrack 1.08.b1 08 Jul 98 00:01:34
@Via 2:5020/238@fidonet @19980708.000030.UTC+4 T-Mail 2605.DOS.04 0162
@Recd from 2:5020/238 @19980708.001311.UTC+4
@Via 2:5022/12@fidonet @19980708.165452.UTC+4 T-Mail 2604.DOS
������������������������������������ 4 ������������������������������������
Дело получает весьма запутанный характер взаимных обвинений
─ NetMail (2:5022/12.23) ──────────────────────────────────────────── NETMAIL ─
Msg : 1901 из 1913 +1912 Rcv Pvt K/s
From : Eugene Kaspersky 2:5020/156 Птн 31 Июл 98 16:10
To : Igor Dikshew 2:5022/12.23
Subj : Re: Win95.CIH
───────────────────────────────────────────────────────────────────────────────
@Recd from 2:5022/12.0 05 Aug 98 15:56:08
@TOPT 23
@INTL 2:5022/12 2:5020/156
@MSGID: 2:5020/156 35c1ecd5
@REPLY: 2:5022/12.23 35a3b219
Hi, Igor!
Сpд Июл 08 1998, Igor Dikshew -> Eugene Kaspersky:
oops, давненько оно тут лежит - затерялось...
ID> Пожалуйста, пpокомментиpуй мылом вот это:
а что тут комментировать? Мостовой от зависти слюной давится - вот и все...
... ну ладно:
ID> ;-))) Я не хочу поднимать флейм в конференциях, но история была
ID> такой. Команда AVP проморгала этот вирус. В их "Энцеклопедии" было
ID> написано, что 26-го числа он создает какие-то видеоэффекты.
проморгали мы не вирус - лечилка на него вышла в тот же день или через
день, я точно не помню. А эффекты - да какая разница, что он там делает? Flash
стирает или просто диск форматит. Главное в этом вирусе то, что опровергнут
тезис о невозможности глобальной эпидемии Win-вируса. Hарод начал активно
меняться Win32-программами - и вот вам последствия. Win32-вирус (пока первый)
разошелся так же широко, как некогда расползались DOS-вирусы. И это не
последний такой - уж будьте уверены. Кстати, на прошлой неделе по Франции и
Бельгии довольно широко прошелся Win32.DeTroie. Он работает только под
французской версией Win, поэтому за пределы этих стран он не вышел, но из
Франции я получил больше десятка репортов.
ID> Игорь Данилов заметил это и в пику Касперскому ;-) выпустил описание
ID> порчи оборудования.
нам про Flash сказали почти сразу - этот вирус очень аккуратно поковыряли
в Sophos-е. Править описание я сразу не стал - зачем? А вот когда пошли
репорты со всего мира - вот тут-то пришлось переделать...
Да и какая разница - написано/не написано. Главное вирус детектить и
лечить нормально, а что там про него в AVPVE будет написано - дело десятое.
ID> Заметь, что ни про какую эпидемию в его описании не было ни слова.
неужто?... а зря. Таки была эпидемия и очень конкретная.
ID> Команде Касперского пришлось "умыться" и, чтобы никто не заметил их
ID> прокола, они придумали эту самую "мировую эпидемию",
репорты со всего мира: Китай/Тайвань, Азия, Россия, Европа, обе Америки,
ЮАР. Достаточно, или страны перечислить?
ID> "100 тысяч посещений их сайта в день",
пик - 114 тыщ за день на www.avp.ch. Hеизвестно, сколько на US-mirror и
на www.avp.com. За июль - более 1млн посещений www.avp.ch, avp.com ожидает
тоже около миллиона. То бишь известность/популярность AVP выросла раз в
пять/шесть :-))
ID> "AVP - единственный спаситель мира" и
дык так оно и было! Лечилок было две - Trend и AVP. Прочие McAfee,
Solomon, Symantec выпустили их _через_месяц_ после того! И AVP оказался
единственным подходящим - скачал с avp.ch evaluation и лечись на здоровье! Вот
потому-то на www.game-over.com (или net?) и висела подробная инструкция, как
лечить Чиха при помощи AVP :-))
Вот Мостового-то зависть зеленая загрызла, если он такое пишет... И занял
он типичную позицию страуса: засунул голову в песок - и конец всем
неприятностям.
Ах, главный конкурент оказался в центре внимания! Экая досада! Hо ничего
- голову в песок, и нет никакой эпидемии, нет никакого сайта, да уж чего там!
- сунем голову поглубже - да никакого AVP вообще не существует! И как хорошо,
как в старые-добрые времена, когда не было вокруг никого, и можно было
спокойно торговать отстоем и вешать лапшу на уши... Ах как хорошо там в песке!
вот только жопа голая снаружи торчит...
ID> прочую муру. Это в стиле их рекламных методов.
уффф... И это говорит Мостовой?!! "Hу вы блин даете!" Поднять что-ли
SU.VIRUS xx-летней давности, где его Игорь Муттик мордой-об-стол за... мягко
говоря "некорректные" рекламные приемы? Или в архивах порыться - оригиналы
Adinf-овой рекламы поискать?
ну все. Hадоело. И так хватит.
решил добавить:
Кто уж обделался с Чихом - так это Adinf. Оказалось, что не ловит он его
в стандартном режиме! Изменения в зараженных файлах видны глазуально, никакого
стелс/полиморфизма в вирусе нет - однако не берет его Adinf. Причина банальна:
не умеет Adinf работать с PE-файлами. Формата их (достаточно простого, между
прочим) не понимает.
Спустя 3 года после выхода Windows95 не разбирать PE-формат, - это,
извините, ламерство.
кстати, письмо это можешь использовать как хочешь - я за свои слова не
боюсь :-)
Regards,
Eugene
--- GoldED 2.42.G1219+
* Origin: WWW: http://www.avp.ru BBS: +7 (095) 948-3601,-6333 (2:5020/156)
@Via 2:5020/156 @19980731.161219 FastEcho 1.45 171235983
@Via 2:5020/245 @19980805.001509 FastEcho 1.45 591460086
@Via Squish/386 1.11 2:5020/69, Wed Aug 05 1998 at 01:59 UTC
@Via UniMail/OS2 0.43b 2:5020/2200, 04 Aug 1998 22:29:46 UTC +0400
@Via 2:5020/79 FTrack 1.09.b2 05 Aug 98 02:30:05
@Via 2:5020/238@fidonet @19980805.090335.UTC+4 T-Mail 2605.DOS.04 0162
@Recd from 2:5020/238 @19980805.105923.UTC+4
@Via 2:5022/12@fidonet @19980805.152355.UTC+4 T-Mail 2604.DOS
������������������������������������ 5 ������������������������������������
Приколы над Даниловым
─ Echo From 2:5022/12.0 (2:5022/12.23) ───────────────────────────── SU.VIRUS ─
Msg : 5330 из 5339
From : Valentin Kolesnikov 2:5020/52 Пон 06 Июл 98 18:23
To : All Втр 07 Июл 98 12:24
Subj : Re: Ninnysh.Generic
───────────────────────────────────────────────────────────────────────────────
From: "Valentin Kolesnikov" <[email protected]>
> Ninnysh.Generic :-) Пришли этот файл - посмотрим.
> ID...... И. Данилов
С радостью :-) 18 байт однако. Ха-ха-ха !
;_ Пример 3
;_ (с) DrMad, 1998
.model tiny
.code
.startup
Start:
call Next
Next:
pop bx
sub bx, 103h
lea di, Start[bx]
mov cx, 3
rep movsb
ret
end
--
With best regards,
Valentin Kolesnikov
Avp Team http://www.avp.ru BBS +7 (095) 948-6333
--- ifmail v.2.11
* Origin: Mr. Postman (2:5020/52@fidonet)
������������������������������������ 5 ������������������������������������
Игорь Данилов продолжает заниматься плагиатом
─ Echo From 2:5022/12.0 (2:5022/12.23) ───────────────────────────── SU.VIRUS ─
Msg : 5358 из 5362
From : Andrew Blank 2:5031/26.333 Срд 08 Июл 98 22:27
To : All Чтв 09 Июл 98 12:11
Subj : Письмо о DrWeb!!!
───────────────────────────────────────────────────────────────────────────────
3дpавствуй добpый человек All!
Это письмо прислал мне SSR. Просил сфорвардить.
==== Кусать отсуда ====
-------------------------------------------------------------
Товаришь Данилов продолжает заниматься плагиатом. Его жертвами стали
несколько игровых компаний, включая ID Software Объектами плагиата стали на
этот раз не алгоритмы, а звуковые эффекты, выдранные Даниловым из игрушек , и
использованные в DrWeb32 Итак, лист эффектов, вызывающих подозрение:
Alert - подозрение на выдранность из Worms2 by Team17
Cured - писк R2D2 из YodaStories by LucasArts
Deleted - явно из Quake I by ID Software
Moved - из YodaStories by LucasArts
Renamed - явно из Quake I by ID Software
-------------------------------------------------------------
==== И до обеда ====
Может и увидимся когда-нибудь All
... Non-System disk or disk error
--- Ручка-самописка веpсии 2.50+
* Origin: Crash! Boom! Bang! (2:5031/26.333)
������������������������������������ 7 ������������������������������������
Долгожданный Internet Cracker
Евгений Касперский предупреждает: "Внимание! Зафиксирована попытка
взломов паролей Dial-Up"
26 июня 1998 Лабораторией Касперского зафиксирована попытка взлома
персональных паролей Dial-Up.
В качестве инструмента взлома использовалось письмо с порнографическим
содержанием и вложенным EXE-файлом, который при запуске искал на жестком диске
адресата имена и пароли входа в Интернет, а затем отсылал их своему хозяину.
Лаборатория Касперского известила о попытке несанкционированного доступа
основных Российских провайдеров Интернет и выпустила специальное дополнение к
AVP by Eugene Kaspersky, детектирующее и уничтожающее нового "электронного
вора".
"Четыре основных способа добычи информации использовались тайными
агентами и шпионами с незапамятных времен: подкуп, шантаж, вино и женщины.
Именно последний способ был использован неизвестным злоумышленником для взлома
персональных паролей доступа в Инт ернет. Поскольку Интернет - вещь
виртуальная, то, естественно, использовались виртуальные женщины в формате
JPG, что однако не делает виртуальной абонентскую плату за доступ к глобальным
сетям" - Е.Касперский Разосланное письмо содержало заголовок "Free SexCD each
guest!!!" и текст:
Free SexCD each guest!!!
Sex Viewer (Click on CD icon, and get free SexCD now!)
Free Anime Henitai Collection
lolita Sex
Russian Young women
And much more!
В письмо были также вложены порнографическая картинка и EXE-файл, который
собственно и является "троянским конем". Для получения "free CD" требуется
всего лишь запустить эту программу, которая "развлекает" пользователя еще
четырьмя порнографическими карт инками, а сама в то же время ищет на диске
ссылки на Dial-Up, вытаскивает из них имена и определяет пароли. Затем
результаты "вскрытия" системы отсылаются обратно автору "троянца".
Технические детали:
Файл-"троянец" FREECD.EXE написан на MS Visual Basic v 5.0 и для работы
требует MSVBVM50.DLL. Имеет достаточно сложную структуру, позволяющую
поместить в один достаточно небольшой выполняемый файл несколько различных
ресурсов: четыре JPG-картинки и три в ыполняемых файла, которые в свою очередь
объединены в самораспаковывающийся архив, который запускается из вложенного в
основной EXE-файл документа Word:
FreeCD.exe
L--T---OleDocument
│ L---ArchiveZip.exe
│ +--senm.exe
│ +--S.EXE
│ +--S.pif
│ L--pwv.exe
+---Picture1.jpg
+---Picture2.jpg
+---Picture3.jpg
L---Picture4.jpg
Основная программа должна распаковать архив и запустить одну из программ
в архиве (PWV.EXE), которая выясняет пароли на Dial-Up, а другие (S.EXE и
SENM.EXE) отправляет их автору (создает файл MES и посылает его на
[email protected]). Во время выяснения и пере сылки паролей основная программа
должна отвлечь пользователя показом картинок и перечислением "интересных" URL:
http://postman.ru/~babaka/links.htm
http://nagual.ml.org:8080/~ache/anime/
http://www.holynature.ru/HN_Gallery/index.html
http://www.lolitasex.com/
Системные данные изменены таким образом, что в поле "from" стоит
фиктивный адрес: [email protected]. Реальный адрес "хозяина" письма сейчас
устанавливается. Наличие адресов российских сайтов недвусмысленно говорит о
происхождении "троянца".
Специальное дополнение к AVP, детектирующее и уничтожающее "электронного
вора" можно получить на сайте Лаборатории Касперского http://www.avp.ru
БЕСПЛАТНО
=== Cut ===
section 1 of 1 of file newvir.rar -={ UUE 1.06, ARA (C) 1995 }=-
begin 644 newvir.rar 7-22-1998 12:44:14
M4F%R(1H'`#O0<P@`#0`````````=S'0`@"H`4@D``!L3````2+:V*_QAXB04
M-0H`(````$Y%5U9)4BY(5$T,&5$0S-#``!67_WX5;>@0/1#T?37`]6K4-6I)
MMR1)M1--;)/S`45B2R,]83A::GXGA+7@T\.D8C$T31NZWH@$_N(HXCB/3$<)
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M,,^B7'R`Y.1+GS55)KJZFLER\OMYP3.B/[3T_6&;,]45*=!I-.-'4,#'-(^Y
MG3E?XCL^"Z+VR)T_KU[+TDN06YZ)<LMSH^QL4.-%0XB!6!I?Q#/"`73_,5GT
MUK9>E\/P]8GT+[+5=>QQ;+&!LVMIHM+V[-#N"*TXU3AK6M[FM-$*^T$#5S/_
M)H_$4]F^PW8H,$9K<=7LU6*UB``?K3*)CX\-(,U=S?"@"[^&JC%LCBUZR.ZX
M;D:NFS5<)JBBG;3&NZV3=,W;.,C*J3*_7E0_,ON!60CT-!_;21'F"[INV388
M&P'^J%#[F>?PP#0HCPN,O1KW>N&'.TP/8R^_07&\><,X7YT1GNK,6#J+D.5=
M9]#MMVJGWC.\@N@TX%DIE4K;J5G_Y0EP2\MDY,NV:5`-NR?@_\$N6"(61S6I
M^=EJL_-.LE(HM&-9W;@W=U`3+)Y+I;9W!#L362C;@A^U@=A,1+0A$E=D&WG.
M2`-U<*@21,`1H+3+CZ&:71URY4_44E*%_3&G3%)L[O:\(AS#C4S;KV?3Z&!&
M0MDS]]'NVN]W!@0R1/R?PGRUOB^VH$BNT^TKCNR/^:)RH:*^YAQC>'_1[;5=
MB^[90#1MK97#5[-K?9`5_,=>JNZ$SR0G@)1;#NP!(XR^TD.@Z#,X-T0X3U-H
MG8`)?N5NPE9T#P`!6((RT:=G=A%X%QH=MVF@=T2&`/JWHNFU$+\X11X0P-1B
MBDAY]C"[-JH3!OM8+Q^78W\H'79JVN`T#99`@T;U+?NJ?[TS,$KHA/K<,VC&
M0W@F%#,!CT.R(AKF:E0KVX3N+2,ANKU.`:>%S8(WTRTQ>=-!17H?FH7]&;V(
M11,@K3K2Y[@XB"V*@+KP:=K<(!5@$%A!]GTHR<UQQ3;`V8!GM.K[+VP"K0V+
M=78)#+XXF`T3%T9N,3R+H1;J)%VQ?KT?KAJ)*PVD9`(9RWP5]>:HH7N*>#(R
M2*1H^J74GJ3EN=Q#_M$G`(L_F)^'4%C8%26YOA&J&E+H*J:PLR]#(D*Q^\4P
MBA3W3Q\(L:5I',4&BP;!*EZW.]_#63QY2LGC>RIQRT94ZTN1(4CK*F7A&OD&
M8-(G=/N^<Z?.G70CC]DN?*U"ZTO[UA.Q(===DSQ"^3+19A,+/%>FH*%1)Y>G
MML0'9VN8>TO;%A^O89K4TG"WCS;YY9!2U`,H>ZV<.VQ8;MP`7!*UNL]8=,VL
MQ5@)8+_84N@>=D[U9F\E/27R,F`&)L,;-EY44&V`4LB/@X2/6,4$6.$OV@:(
M,S#1U:MF!BD3P%GW320*PBTWH%9>I>L,'W*QZ':-])5KOEOV+8C-]ZKJ%E@K
M?'IKC%-VVP1)/YOL^JPFU:_:E;%G(UT]\%Y&$#M+"X5=!-2;-(CL.]?MA-)P
MG0P@]+]LV(,)5-KIQJ5E$9KH6@<-W6G7..S;@<%L]@1K4%N+TI@NULBT:CPB
M]`/W9+X7HU>=?8B81/S[&-ZL^^*2/3[((PFIK_(GM#?V=CS[!>OG965D9,0`
M0#_`)B3479,SN$T%9T\SR_+&G*QR]\O5B=$/T#4'904L[#>FV$K0^70S.KT8
MF3EY;QVKAD25&+LF^`F-@1M8%?IPD:=BSQD(3(I4&CD>GT.,)=56'P&4`86S
M6+R-4A\]%3AX`80+H(N5VQ#O<*D6P]3YTAB`$SN^^D]08-!WFVJ&(1X##QLD
M.`!#*2O*[UXJ!4;UREX1'Z`!1LG!N1.?E@3=0<UL_[XXV120Y)`$`"9;W0=4
M<&@+O@OX6RKU]YFA@I!?Q"5WAW,TKV)T]>-@NHM;E^G@0BIP8T/S2YNEAIJ8
ME2IX%"\Q-<CE)\&=(:.7#AY_%0^W(4R9<>>"@EKVI)_V3_YE&AAGNCZJO?4_
M:K,3M9'$_*X<XVY.#M[B077NJ8KIW`:B9K=]Y"'EAYJL=8ZBG2B?OF:A>3X>
MG<YZEQY=S'P7*P/&'>]K!/ZGHK@MN\2,FX_4VW!)>E<N`M/2H+!E5O!L%W:R
MF4E[3"<;R(P7H9OS:"7>]^^4>`:6SS8*[>41,>BC7L[0J`Z#T%!LG<RNUF/*
M`5S'>7>-)3EF05P]!MJDGAJ$>&/F97<3F)M)(/",DR,+U6=,F?)/G1HDI1;W
MXA?$T]B:##*2Q#QM@T8%,^5K>PS&H(%DN2&(!I._P\LT&[*8P&ZI'Z(1@!OK
M/?9&+>]G^OE:,IQ!#TBF"`L3NYV7A(K<6,75FJ:=WZJRTS$BF3+G+28TJ)-G
MQ?Y:,;B>]&BR%97>G1!S13-PA$/9&QGL-+FKF5&U`51$D\5+FZF)UNCQ)N#!
MS4,]-^N+?7GX"/[9?ZW$'_ER-<WTB<2S?9[7[NP<F0I-UXHY^BG@2STB_L^&
M)_NMO?P:YP2H\N3%Y2ZY?J>4N$2-3M'E>L_)RD*(R$!^,T@4"DN$8'`ON)M%
M@"+^4Q03?:,+PZ<T\NP#O6F;!1RWK#(X#&X_QUL0J.B7')C*R%I>)J`J+J=;
MI_(KHR4B[>XN/,\;_".1I$+Y&'LKV!607,7^/6O>OY)PW!>_8W-]=LHJ['-8
MH5'KRC=N(3Z1;RWV8.3(.+G7P<8IM?<L#X?+KM&@:U6TD:8LH[0R[*X<AI-?
M!VSV;=$#K9)^*N[7Y7Q(D4?Z?,THRRDZ]^O3;]Y.(-'TC+\N#CX$N3"+[GCN
M(3]CCH;!:HNEIXB0Q<TEBBMI+SL<CX23/*^$CR`;1N_,`BB_U\?E^OZ/Z?9]
2/U/2#Y+VB3`^0&]\A-:3(QB`
`
end
sum -r/size 58966/3421 section (from "begin" to "end")
sum -r/size 24372/2448 entire input file
=== Cut ===
