Новости
30.06.2000
Trend Micro сообщает о появлении нового троянца "DUNPWS", который может воровать логины и пароли с компьютера-жертвы и посылать их на удаленный компьютер. Trend Micro характеризует, однако, риск инфицирования этим вирусом, как низкий. Другие названия этого вируса: DUNPWS.CK, PWSteal.WinUp, Trojan.PSW.Gip.113.b.

Computer Associates предупреждает о появлении в "диком" виде троянского вируса - "Simpsons". Вирус является примитивной троянской программой, написанной на командном языке DOS (т.е. является BAT-файлом). Он распространялся в виде исполняемого файла SIMPSONS.EXE (формат: самораспаковывающийся архив WinZip). При запуске инсталлятор выводит стандартное сообщение WinZip, распаковывает троянскую программу и запускает ее на выполнение. При запуске уничтожает все файлы на дисках в следующей последовательности: C:, A:, B:, D:. При этом он использует самую обычную DOS-команду "DELTREE /Y".

Trend Micro предупреждает о новом макро вирусе для Word97 - "Fatt.A" (или FATT.A, Macro.Word7.Fatt, Word97Macro/Fatt.A). Вирус копирует свои файлы Msfat.sys.vbs и Msfat.sys, в каталог c:\Windows\System, а также отключает в Word защиту от макро вирусов. Затем вирус проверяет не содержит ли макросов активный документ и модуль ThisDocument шаблона по умолчанию (обычно normal.dot), и если не находит, то вирус копирует себя и в шаблон и в документ.

Лаборатория Касперского сообщает о появлении нового опасного вируса-червя - "Win32.HLLW.Nulock". Червь является приложением Win32, написан на Delphi и имеет размер около 300Kb. Вирус инсталлирует себя в систему, остается в памяти Windows как отдельное приложение (имя которого присутствует в списке задач), и затем через некоторые промежутки времени (от 10 до 20 минут) копирует себя на диск A: (если такой есть).

Лаборатория Касперского сообщает о новом опасном вирусе под названием "Win32.Fosforo". Это нерезидентный Win32-вирус, он ищет PE EXE-файлы в текущем каталоге, каталоге Windows и системном каталоге Windows и записывается в их конец. Вирус шифрует себя полиморфик-циклом. Для скрытия своего кода использует технологию "EPO" (Entry Point Obscuring) - не меняет стартовый адрес заражаемой программы, а записывает команду перехода на свой код в середину файла.

Лаборатория Касперского предупреждает об опасном интернет-черве "I-Worm.Silver". Червь распространяется при помощи зараженных писем, также рассылает свои копии в IRC-каналы и по локальной сети. Червь является приложением Windows (PE EXE-файл), написан на языке Delphi и имеет размер около 90K (файл червя, однако, может быть встречен в упакованном виде, т.е. его размер может оказаться меньше указанного). (http://www.viruslist.com) [RedArc]

Из-за проблемы с coderz.net домашняя страница FRiZER'а перемещена на "http://frizemall.narod.ru Так же можно использовать "http://frizer.tsx.org". (http://frizemall.narod.ru) [RedArc]

В Литве арестован 24-х летний хакер "Student". Человек успел поработать на собственное государство, а затем и на ЦРУ.

Ultras выпустил новый вирус - Win95.alpha. Вирус - резидентен через IDT.

На странице Bumblebee http://bbbee.cjb.net имеется новый вирус, доступный для загрузки.

В Бразилии собирается формироваться новая вирусная группа. Скорее всего в нее войдут все бразильцы. (http://virus.cyberspace.sk) [RedArc]
28.06.2000
W97M_OSVALD.B - новый макро вирус, который инфицирует документы и шаблоны MS Word. Когда документ, инфицированный этим вирусом открыт, вирус заражает глобальный шаблон (NORMAL.DOT), копируя в него свой вирусный модуль (MODULO1), обеспечивая тем самым свое дальнейшее распространение. По наличию своего модуля MODULO1 в глобальном шаблоне вирус проверяет заражена ли "жертва".

Компания Sophos получила несколько сообщений от пользователей о появлении в "диком виде" нового вполне безобидного макро-вируса для MS Word WM97/Metys-D. Особенность данного вируса состоит в том, что его написал, наверно, азартный человек.

Антивирусная компания Sophos сообщает о появлении в "диком виде" нового варианта макро-вируса для Excel - "Divi", который получил название "Divi-N". Вирус создает файл с именем hr223.XLS в каталоге шаблонов Excel и инфицирует электронные таблицы при их открытии и закрытии. Вирус добавляет к каждому инфицированному файлу шестнадцатеричное число, а также флажок в форме переменной с именем IVID, который он (вирус) использует для определения - была ли электронная таблица уже инфицирована или нет.

Sophos предупреждает компьютерных пользователей о вирусной мистификации, которая появилась в последнее время. "Шутники" распространяют по электронной почте предупреждение о несуществующем вирусе для сотового телефона. При этом, в своем сообщении о "вирусе" они ссылаются они на компании Sophos и intY, а также на Motorola и Nokia, наверно, чтобы придать дезе достоверности. (http://www.viruslist.com) [RedArc]

10 наиболее распространенных "в диком виде" вредоносных программ по данным компании TrendMicro.

N Название (классификация TrendMicro)
1 VBS_KAKWORM.A
2 TROJ_SKA
3 TROJ_HOTKEYS.DLL
4 VBS_LOVELETTER
5 JOKE_SMALLPEN
6 VBS_NETLOG.WORM
7 JOKE_FLIPPED
8 JOKE_GESCHENK
9 VBS_NETLOG.B
10 TROJ_PRETTY_PARK

(http://dized.com.ua) [RedArc]

Новые статьи
ENTERING RING-0 WITHOUT USING WIN32 API - [Voodoo / SMF]
25.06.2000
Прогнозы "Лаборатории Касперского" о путях развития компьютерных вирусов оказались точными. Конец октября 1998 г. принес компьютерному миру настоящий сюрприз. В это время экспертами "Лаборатории Касперского" был обнаружен "WinScript.Rabbit" - первый компьютерный вирус, использовавший новые методы заражения скрипт-программ Windows (программ, написанных на командном языке Windows). (http://www.avp.ru) [RedArc]

Лаборатория Касперского обнаружила новый Win32-вирус, который получил название Win32.Dream. Win32.Dream - неопасный, резидентный "на время процесса" полиморфный Win32-вирус. Он остается в памяти Windows как самостоятельный процесс зараженного приложения и при открытии EXE- и HLP-файлов Windows записывается в их конец и необходимым образом модифицирует структуру файла. Для того, чтобы следить за открытием файлов, вирус перехватывает функцию Windows API "CreateFileA".

Лаборатория Касперского сообщает о появлении нового интернет-червя под названием I-Worm.Lucky. Этот интернет червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результете пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

"Now-A" - новый макро-вирус для MS Word 97. По утверждению компании Sophos, "Now-A" - довольно сложный макро вирус для MS Word 97. Сообщение об этом вирусе компания получила по системе REVS.

Через неделю после того, как Microsoft выпустила антивирусную "заплатку" для Microsoft Outlook, компания Reliable Software Technologies представила еще один вариант защиты информации. Бесплатный модуль JustBeFriends.dll встраивается в систему и блокирует обращения к Outlook Express, контролируя механизм работы со скриптами Visual Basic Script, что обусловлено появлением в последнее время множества вирусов, таких как ILOVEYOU, написанных именно на Visual Basic Script. Беря на себя контроль за распространением вируса по электронной почте, модуль, однако, не обеспечивает защиту от главного результата деятельности вредоносных программ - искажения и удаления файлов.

Компания Sophos сообщает о двух новых макро-вирусах: WM97/Thursday-W и WM97/Fs-Q. WM97/Thursday-W - еще один вариант WM97/THURSDAY, 13-ого декабря злодей пытается удалить все файлы и подкаталоги на диске C:. WM97/Fs-Q - простой макро-вирус для MS Word. Распространяется только в double-byte версиях Windоws кроме японской.

МАНИЛА, Филиппины - После критики в адрес Филиппин (там до недавнего времени не было никаких законов, карающих хакеров и вирусописателей), президент страны, Джозеф Эстрада (Joseph Estrada), подписал новый закон, предусматривающий наказания за преступления в интеренете. Однако, филиппинские должностные лица утверждают, что этот новый закон не может быть использован против человека, подозреваемого в распространении вируса "LoveLetter" (проще говоря - "закон обратной силы не имеет").

В "диком" виде был пойман образчик нового макро-вируса для MS Word, который получил имя - WM97/Ethan-CZ. Как сообщает компания Sophos, которая и нашла макро-злодея, это очень простой вирус. Содержит только один деструктивный макрос - каждый раз, когда пользователь на инфицированном компьютере закрывает документ, с вероятностью 50% на экране появляется системное окно MS Word - File & Properties & Summary с заголовком "R'Sink - 2000". Хоть данный вирус и не отичается излишней склонностью к злодеяниям, он может "смешиваться" с другими макро-вирусами, чтобы усилить свои дестуктивные возможности.

Компания Sophos получила по каналам REVS образчик нового червя - VBS/Stages-A, который был обнаружен в "диком виде". Этот саморазмножающийся вирус распространяется по каналам IRC, используя mIRC или Pirch, и также, ставшим уже традиционным способом, через электронную почту с помощью MS Outlook. (http://www.viruslist.com) [RedArc]

14.06.2000
Новые файлы
mixter.zip - несколько вирей под *NIX со страницы Mixter-а. [U_dev]

В раздел Линки добавлен сайт mixter-а - автора самой известной в мире DDoS проги - tfn2k. [U_dev]

В связи с тем что мы во-время не убрали бинарники вирусов, доступ к странице был временно закрыт. Сейчас я повыгреб из всех архивов бины, и впредь просьба слать только сырцы. [U_dev]
13.06.2000
Ухожу завтра в армию. На ближайший месяц координатором проекта остается U_dev. Связаться с ним можно по адресу: [email protected]

Корпорация Symantec объявила о создании антивируса для устройств, работающих на платформе OS Palm. Хотя пока не известны какие-либо вирусы, поражающие Palm-устройства, но вирусологи из Symantec говорят, что OS Palm также потенциально восприимчива к вирусным урозам, как и любая другая операционная система, и это только вопрос времени - когда вирусы с рабочего стола переместятся на высокоинтеллектуальные устройства. [viruslist]

Как сообщил прокурор провинции Квебек, 15-летнему канадскому хакеру по кличке Mafiaboy, которому в апреле был предъявлен счет по двум эпизодам одной из крупнейших в истории кибератак, возможно, придется отвечать и за другие нападения на хорошо известные веб-сайты. [viruslist]

В четверг фирмой MicroSoft выпущена заплата для Outlook. После установки заплаты вирусы на VBS приказывают долго жить. Кроме того, при обращении пользовательского приложения к адресной книге сам пользователь получает уведомление об этом в диалоговом режиме. [Asterix]

Новые файлы
z0mbie7.zip - Win9x.Z0mbie-7 permutating virus: PLY-alike algorithm [Z0mbie]
10.06.2000
К работе над проектом подключился RedArc. Свежие и толковые новости за последние несколько дней - его работа.

Спасибо Z0mbie за обнаруженную ошибку в статье "Сжатие данных" [Deviator] - TopDevice (Март). Следует читать - Шеннон-Фано.

Новые файлы
z0mbie6a.zip - RPME virus [Z0mbie]
9.06.2000
На сайте www.coderz.net появилось объявление с просьбой удалить со своих страничек бинарники вирусов. Никакой сенсации в этом нет, так как сайтоп сайта Evul давал на нем место под хостинг с условием, что сайты не будут содержать бинарники (у него из-за этого могуть проблеммы с ФБР). Правда немного непонятно как поступать с VBS вирусами, то ли они исполняемые модули то-ли исходный код. [Asterix]

В среду принято решение федерального суда США о разделе компании Microsoft на две. Интересно, как это отразится на вирусной сцене? [Asterix]

В Филипинах прекращено дело о создании вируса "I love you". Так как авторам по местным законам все равно сделать ничего нельзя.

Устройства связи следующего поколения станут не только более PC-подобными, но они могут также стать целью вирусных аттак. Имеются в виду сотовые телефоны, развитие которых идет семимильными шагами. С ними можно делать много забавных вещей: перенаправлять звонки, перехватывать разговоры и т.д. Редакция журнала *-zine обяъвляет начало Сотово Телфонно Вирусное Соревнование. Наиболее прикольный пэйлоад будет считаться победившим. [Asterix]
8.06.2000
Новые статьи
Помехозащищенные вирусы [Z0mbie]
Новые файлы
rpme.zip - RPME[Z0mbie]
6.06.2000
Появился новый VBS червь I-Worm.Timofonica. Распространяется он стандартно для червей такого класса - рассылает свои копиии по e-mail через Outlook (использует функции доступные только в win98/2000). Интересным в этом черве является то, что наряду с каждой своей копией он отсылает одно сообщение на SMS-шлюз испанской сотовой телефонной сети MoviStar, указывая случайный номер телефона.

Судом Свердловского района города Иркутска оправдан 18-летний студент Егор Власов, обвиненный по статье 273 УК РФ за хранение вирусов на сайте. Судебный процесс длился более месяца, однако в четверг суд счел неубедительными обвинения в том, что "размещенные файлы при скачивании информации могли уничтожить все содержимое компьютера".[SG]

Сотрудниками УФСБ по Вологодской области задержана "банда хакеров". По сообщению ЦОС МВД РФ, они взламывали пароли, юзали чужие логины, проникали в сети, рассылали вирусы по e-mail. Все участники группы задержаны, им предъявлено обвинение по ст.272,273.".[SG]

Согласно статистическим данным, опубликованным в июньском номере Virus Bulletin, впервые в истории первое место в списке наиболее <популярных> вредоносных программ занял вирус, написанный на скрипт языке и распространяющийся по электронной почте без использования вложенных файлов. 17,9% всех зарегистрированных в апреле 2000 г. вирусных инцидентов пришлись на обнаруженного в конце 1999 года Интернет-червя KakWorm. [Kasp. Lab]

Кевин Митник в пятницу формально обратился к судье с просьбой аннулировать приговор и позволить ему читать лекции и консультировать по проблемам компьютерной безопасности. Слушание назначено на 26-ое июня. [Viruslist]

Новые файлы
lme32.zip - LME32.alpha version 0.9 release [LordDark]
5.06.2000
Европейские антивирусные компании собираются разработать единую систему классификации вирусов. Что делается якобы для того чтобы предотвратить распространение масс-медиа неточной информации о вирусах.

Крупнейшая система неформального обмена файлами (что-то вроде Napster'a) сильно страдает от VBS червя "VBS_GNUTELWORM", запущенного в нее под разными многообещающими именами.

Prizzy's/29A выпустил новый продукт Win32.Dream. [Описание]

Дисклаймер со странички Z0mbie

Новые статьи
Перспективы развития вирусов [z0mbie]

Новые файлы
uncall.zip - VxD Call Restoring [z0mbie]
1.06.2000
Сервер онлайновой торговли ShoppingPlanet.com разослал 50000 своих клиентов стандартную информационную рассылку содержащую вирус WScript/Kak.worm. Данная компания, по-моему, в деле распространения вирусов сделала больше, чем все вирмейкеры вместе взятые.:)

SMF разрастается, туда принят новый trial member - Amon(Coder/Cracker)

CyberShadow выпустил новую версию Macro Virus FAQ On-Line

Новые статьи
Ultra Infection [Ultras/Matrix]
 
 
Статья недели
пока не известно
 
 
Вирус недели
пока не известно
 
 
Есть новости?
присылайте !