Russian Viral Review #1
September'99

About

Что это такое и зачем нужно ? Я решил ежемесячно издавать этот (с позволения сказать) журнал. В нем я буду писать о происходящем в компьютерном мире. Конечно, не во всем, а лишь в той его части, которая так или иначе связана с вирусами. Я собираюсь описывать наиболее значимые (на мой взгляд) события на вирусной сцене (кто ушел, кто пришел; какая группа создалась, какая распалась; кто что зарелизил), в стане антивирусов (новые версии антивирусов, их тестирование и сравнение друг с другом; найденные в них рулесы, баги и фичи); интересные идей из новых вирусов, оригинальные новые вирусы, Wild List'ы и прочее, прочее...

Любые отклики и помощь приветствуются. Если вам есть что сказать, пишите на [email protected].

Имена людей выделены зеленым, имена вирусов желтым, имена антивирусов красным. Условные обозначения : TR - новости о троянах, CH - тестирования антивирусов, VX - новости вирусной сцены, AV - новости от аверов.


24-08-99 AV

Лаборатория Касперского (ЛК) выпустила очередной пресс-релиз. В нем говорится о злоумышленниках, рассылающих от имени ЛК троянские программы по электронной почте, отрицается причастность к этому ЛК и пользователям напоминается о бдительности. В частности, там есть такие строки (выделено мной) :

Во-первых, мы никогда не рассылаем исполняемых файлов (.EXE, .COM и т.д.) в открытом виде. 

Во-вторых, Евгений Касперский - великий программист, он не занимается написанием 
и рассылкой пресс-релизов, это делают сотрудники Лаборатории Касперского, в подписи которых 
всегда стоит адрес электронной почты и контактные телефоны. 
А я и не знал, что мы с Касперским коллеги !!! ;-)

31-08-99 AV

Вышел шестой номер вестника "Касперский сообщает..." . В нем приводятся подробные описания вирусов Win32.Kriz, Win95.CIH-Killer, Macro.Word97.Blaster, IRC-Worm.Lucky.

01-09-99 VX

По некоторым данным, распалась группа SG (в прошлом, SGWW). Произошло это по причине ухода с VX-сцены лидера этой группы LovinGOD'а, у которого возникли проблемы с законом. Эта новость пока не подтверждена...

02-09-99 VX

После ухода Duke'а из группы X-Vex2000 в конце августа 1999 года, и последовавшего за этим ухода из группы HomeSlice, международная трейдерская группа X-Vex2000 прекратила свое существование.

03-09-99 AV

Virus Bulletin провел тестирование антивирусов для Windows NT. Среди победителей - AVP и NOD-ICE.

03-09-99 AV

Лаборатория Касперского сообщила о мировой (США и Европа) эпидемии макро-вируса Macro.Word97.Thus. Вирус поражает документы Word97 при их открытии, закрытии и создании. В качестве проявления вирус 13 декабря удаляет все файлы с диска C: . Вирус можно обнаружить по метке "Thus_001" в пораженных файлах.

05-09-99 VX

Mongoose из группы Misdirected Youth объявил о своем уходе со сцены и о развале группы Misdirected Youth. Вот его прощальное письмо, посланное Франком Хеннеси в конференцию PVT.VIRII :

Newsgroups: fido7.pvt.virii
From: Frank Hennessy 
Date: Sun, 05 Sep 99 21:40:30 +0400
Subject: новости от Misdirected Youth

     Hello there, All!

     вот че мангуста пpосил меня кинуть:

=== Cut ===
      Misdirected Youth настал конец так как я ухожу видимо John Darland задеp-
 живаться тоже не собиpается, а Ян pешил писать для себя. Пpава на  выпуск жуp-
 нала (social distortion) и все собpанные матеpиалы отдаются (если есть желание
пишите 2:5020/327.8) + отдаются все недоделанные pазpаботки

      Я  небуду уходить двадцать pаз (как это делали ssr и дpугие) и pаспускать
 нюни небуду + писать чтоб все пожелания и соболезнования посылали на мой пидо-
 адpес (!не адpес Фpэнка).
=== Cut ===

     Тепеpь совет от меня (fh): pебята не уходите из-за знаменитых певиц и
актpис типа Милен Фаpмеp как это сделал ssr (а может он ушел из-за шуpы или
моисеева).

06-09-99 TR

Dr.Null выпустил свежую версию (2.33) мыльного трояна Naebi Coceda. На этот раз к троянцу прилагается JPG-файл, на котором Касперский простирает руку в сторону надписи "НАЕБИ СОСЕДА".

Автор сайта http://xbx.ipc.ru истекает слюной, нахваливая очередную версию трояна. Дескать, в ней сделана закачка файлов для апдейта трояна, как это сложно, как это круто... На самом деле все это содрано из открытых исходников трояна Hooker (Trojan.PSW.Hooker по AVP) и никакой заслуги Dr.Null'а в этом нет.

06-09-99 VX

Основана новая вирмейкерская группа Shadow Virus Group. Они намерены заниматься разработкой новых вирусных технологий в области скриптовых вирусов. Они уже открыли свой сайт по адресу http://www.ultimatechaos.org/shadowvx, который напичкан скриптами, делающими чтение содержимого сайта близким к невозможному :( Информацию о самой группе, представленная на сайте, нельзя назвать исчерпывающей :

We are a newly founded vX related group who specialise in the creation
of new virus ideas. We have currently started coding the first VBScript
Companion Virus.  Information about this as we progress.
The founder, Ruzz`, is experienced in the vX scene and the WinScript
environment.

Current Members Are: Ruzz` - Founder (VB, VBA, VBS, HTML, XML, JavaScript, JScript) b0w2dac0w - Coder (ASM, VB, VBA, VBS, HTML) Kamaileon - Coder (ASM) VxFaeRiE - Coder (Asic, ASM, Basic, Batch, HTML, VB) AcidFlux - Coder (Java, ASM, C, Asic)

Я, к сожалению, не могу назвать этот проект перспективным, поскольку они видят различия между JavaScript и JScript, да и как они намерены "кодить" вирусы в HTML/XML (именно в НИХ, а не в скриптах) я не представляю...

08-09-99 VX

Benny/29A обновил свою страничку и выложил на нее исходники первого в мире вируса для Windows 98 - Win98.Millenium.

09-09-99 CH

Вышел в свет новый кумулятив AVP. Как обычно, часть вирусов сменила свои имена. Появились новые интересные семейства mIRC_Trojan.*, Script.*.

Изменены сигнатуры для поиска based-вирусов (возможно, на такой шаг аверов подвинуло появление утилит-клонеров типа DSVCT) : стали детектироваться IVP-based, BW-based, PS-MPC-based вирусы, которые ранее лишь подозревались эвристикой; часть Corrupted и Intended вирусов стала детектироваться как Vienna-based. Аверы довольны, трейдеры встревожены, вирмейкерам на это наплевать.

До сентябрьского кумулятива в базах AVP было очень мало скриптовых вирусов. Создавалось впечатление, что AVP просто избегает их или игнорирует (поэтому вирмейкеры ловили момент и усиленно писали скриптовые вирусы). Но в новом кумулятиве появилась новая база SCRIPT.AVC, в которую добавлены сигнатуры нескольких десятков скриптовых вирусов и конструкторов. Получился довольно неплохой "удар" по скриптовым вирусам (VBS, HTML).

В базу MALWARE.AVC в семейство Constructor.* добавлены компиляторы языка SPL и утилита DSVCT. Хотя детектируются еще не все настоящие конструкторы, а аверы уже перешли к детектированию вирусных мутаторов. Также пополнилось семейство VirTools : VLoader - загрузчик вирусов, AntiDebug - обходчик отладчика, JVS - Jerk1N's Virus Scrambler, и тому подобное.

На сайте www.avp.ch этот кумулятив распространяется вместе с новой версией программы AVP for DOS32 v3.0 build 131. Оказалось, что в ней изменена процедура проверки регистрационного ключа. Программа ищет в текущей директории файлы с расширением KEY, и если внутренний формат файла совпадает с форматом ключа, то этот ключ ПОДКЛЮЧАЕТСЯ ! Таким образом мне удалось подключить 3 лицензионных ключа одновременно ;-)))

Если меня и удивил этот кумулятив, то совсем немного - Касперский в своем репертуаре...

10-09-99 VX

Вирусно-ориентированный сервер CODERZ.NET изменил свою политику. Теперь на нем нельзя размещать бинарные тела вирусов, MP3, материалы противоречащие закону и т.п. Но размещать исходники вирусов никто не запрещает ;-)

10-09-99 AV

Авторы AVP добрались до вируса Win32.CTX, написанного GriYo/29A. По этому поводу был выпущен пресс-релиз, содержащий описание этого вируса. Приведенный ниже текст взят с сайта http://www.avp.ru, (c) Kaspersky Lab.

10 сентября 1999 г.

Зашифрованный вирус Win32.CTX угрожает компьютерной безопасности

Нерезидентный полиморфный (зашифрованный) Win32-вирус. При каждом запуске зараженного файла вирус ищет PE EXE-файлы (выполняемые файлы Windows) в текущем каталоге (кроме корневого каталога), в каталоге Windows, в системном каталоге Windows и заражает до пяти файлов в каждом из каталогов.

При запуске зараженного файла через полгода после его заражения и точно в час заражения вирус вызывает видео-эффект: инвертирует на экране все цвета и затем завешивает приложение вызывая бесконечный цикл. Данная процедура срабатывает только при достаточном разрешении видео-монитора.

Вирус содержит текст-"копирайт":

 [  CTX Phage Virus BioCoded by GriYo / 29A  Disclaimer: This software has
 been designed for research purposes only. The author is not responsible
 for any problems caused due to improper or illegal usage of it  ]

Заражение EXE-файлов

При заражении файлов вирус увеличивает размер последней секции файла, шифрует и записывает туда свой код. Вирус не меняет стартовый адрес заражаемой программы и для того, чтобы получить управление при ее старте, использует технологию "Entry Point Obscuring" (EPO). Вирус сканирует кодовую секцию файла, ищет в ней команды CALL/JMP, которые вызывают импортируемые программой функции, случайным образом выбирает одну из них и записывает вместо нее команду передачи управления на свой код. Если команд вызова импортируемых функций не обнаружено, вирус не заражает этот файл.

Процедура заражения содержит незначительные ошибки, по причине которых некоторые заражаемые файлы оказываются испорченными. В случае Windows NT это может остановить загрузку системы.

"Совместимость" с Win2000

Вирус обходит встроенную в Win2000 защиту от вирусов и проверку на целостность системы (SFC - System File Check). Для этого вирус получает доступ к функциям SFC.DLL и проверяет каждый заражаемый файл. Если файл контролируется системой, вирус не заражает его.

Полиморфик-генератор

Полиморфик-генератор вируса очень похож на аналогичные, используемые в вирусах Win95.HPS и Win95.Marburg, однако в данном вирусе он несколько усилен. Помимо этого код вируса шифруется от 4 до 7 раз в зависимости от случайного счетчика.

В результате код вируса "закрыт" несколькими полиморфик-циклами (от 4 до 7 циклов), что в сочетании с EPO-приемом скрытия кода вируса делает его достаточно сложным для обнаружения и лечения.

10-09-99 AV

Лаборатория Касперского разродилась еще одним пресс-релизом. Привожу его целиком и полностью :

10 сентября 1999 г.

Softool'99: время тотальной легализации
"Лаборатория Касперского" выгодно обменяет Ваш пиратский диск!
"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, объявляет о проведении крупномасштабной акции обмена пиратских дисков.

С 28 сентября по 2 октября 1999 г. во время компьютерной выставки Softool'99 (Москва, ВВЦ, павильон 69) на стенде "Лаборатории Касперского" (стенд D14) обладателям пиратских дисков с любой коммерческой антивирусной программой будет предоставлена уникальная возможность приобрести взамен их лицензионные копии AntiViral Toolkit Pro (AVP) Gold c 50% скидкой! Таким образом, цена годовой подписки на всемирно известного охотника за вирусами составит всего $25!

AVP Gold является идеальным средством антивирусной защиты для компьютеров, работающих под управлением операционных систем DOS, Windows 95/98 и Windows NT Workstation. В комплект входят антивирусный сканер "AVP Сканер" (DOS, Windows 95/98/NT), резидентный перехватчик вирусов "AVP Монитор" (Windows 95/98/NT), средство управления антивирусной защитой AVP Центр Управления и программа автоматической загрузки обновлений антивирусной базы через сеть Интернет. Все пользователи AVP Gold обеспечиваются круглосуточной технической поддержкой по электронной почте.

Пользователи смогут приобрести AVP Gold в новой необычной упаковке с полным комплектом документации и официальной лицензией. Кроме того, "Лаборатория Касперского" приготовила для всех покупателей приятный сюрприз абсолютно бесплатно!

Интересно, что придумает Касперский на этот раз ? Как-то были презервативы, стилизованные под AVP... Может теперь будет AVP стилизованное под презерватив ?

10-09-99 TR

Выпущен троянец Donald Dick 1.52. Это один из немногих бакдоров, написанных в России и от других отечественных разработок его отличает компактность. В этой версии изменен протокол работы, поэтому версия не совместима с предыдущими. Добавлена возможность деинсталляции, расширена работа с клавиатурой и многое другое.

11-09-99 CH

Ralph Roth выпустил новую (пока только тестовую) версию своего сканера-эвристика RHBVS v3.00 beta 1 (ROSE's heuristic based virus scanner). Антивирус содержит под своей крышей 318 эвристических методов и дает пользователю достаточно подробную эвристическую информацию о подозрительном файле.

По заявлению автора, этот антивирус умеет детектировать 100% mIRC, VBS, JS вирусов, из числа имеющихся в распоряжении автора. Антивирус детектирует 1934 троянцев/дропперов, 1129 IRC-червей и 153 скриптовых вируса (JS/VBS/HTML/CS/WBT).

Очень хорошо поставлена Trivial-эвристика (даже лучше, чем в AVP) - детектирует 95-98% процентов Trivial-вирусов. Этот антивирус - один из немногих имеющих BAT-эвристику. Например, под именем BV.Simple.Generic определяются BAT компаньоны-малютки. Зато эвристика HLL вирусов хоть и имеется (по словам автора), но внешне никак не проявляется :-/ К сожалению, до BAT и HLL эвристики сканера NOD32 ему еще ой как далеко...

Большое внимание автор уделяет вирусам в текстовых файлах - BV (*.BAT), VBS (*.vbs, *.html), CSC (*.csc), JS (*.js), WBT (*.wbt), Mirc (*.ini). По числу детектируемых скриптовых вирусов этот антивирус может занять первое место в мире, вместе с F-Prot. Антивирусные базы включают в себя вирусы, появившиеся всего за несколько недель до выпуска антивируса. Меня приятно поразила оперативность автора - уже детектируются все скриптовые вирусы из журналов DVL (включая последний 8-й номер) : WBT.Beware.A, WBT.Simple.A, CSC.PVT, VBS.MB.*, VBS.First.*, VBS.Tramp.A и так далее.

Из документации следует, что RHBVS может эмулировать полиморфные расшифровщики а также детектировать и эмулировать антиэвристические приемы.

Интересным (на мой взгляд) является то, что антивирусные базы троянов, malware и скриптовых вирусов программы RHBVS прекрасно подходят для программ-сканеров Mr2S и VirScan Plus того же автора.

Один из замеченных багов: некоторые сигнатуры вирусов (BAT) содержатся в базе сигнатур, но сами вирусы не детектируются.

Минусами этого сканера является то, что он не может :
- находить бутовые вирусы (как на дисках, так и в файлах-образах);
- находить macro-вирусы в документах Office;
- тестировать файлы в архивах (хотя, антивирус умеет распознавать форматы архивов);
- тестировать упакованные файлы (пакованые и непакованные с помощью PKLITE вирусы добавляются в базу под разными именами);
- тестировать файлы размером менее 32 байт (крошечные трояны, Trivial и BAT-малютки попросту пропускаются!);
- тестировать файлы, длина имени и пути к которым более чем 79 байт (автор грешит на баги в DOS-сессии WinNT).

13-09-99 AV

С пресс-релизе Лаборатории Касперского рассказывается об еще одном продукте от GriYo/29A. Предлагаю вашему вниманию перепечатку с сайта www.avp.ru (c) by Kaspersky Lab.


13 сентября 1999 г.

I-Worm.Cholera

Вирус-червь, поражает компьютеры под управлением MS Windows. Распространяется через сеть Интернет и локальные компьютерные сети. На компьютер попадает обычно в виде эелектронного письма с вложенным EXE-файлом SETUP.EXE. Сообщение имеет заголовок (Subject) "Ok...", а само сообщение состоит только из символа улыбки:

    :-)

Зараженный файл SETUP.EXE является исполняемым файлом около 40Кб длиной, написанном на языке программирования Microsoft C++. Большую часть исходного кода занимают библиотеки C++, а непосредственно сам червь занимает около 7Кб.

Червь получил свое название из-за строки в своем коде:

    CH0LERA - Bacterium BioCoded by GriYo / 29A

Эта строка, как и все остальные данные червя зашифрованы.

Инсталлирование в систему

Сразу же после запуска червя (т.е. после запуска зараженного файла, вложенного в сообщение электронной почты), он самоинсталируется в директорию Windows под именем RPCSRV.EXE. Для того, чтобы запускаться каждый раз при очередной загрузке Windows, червь добавляет команду "Run=" в файл WIN.INI в директории Windows (в случае Win9x) или модифицирует соответствующий ключ системного рестра.

Для поиска директории Windows червь не использует соответствующие функции Windows. Вместо этого он сканирует все локальные диски на компьютере и ищет подкаталоги со следующими именами: \WINDOWS, \WIN95, \WIN98, \WIN, \WINNT. При обнаружении такого каталога червь_ищет в ней файл WIN.INI. Если этот файл найден, червь инсталирует себя в этот каталог и регистрирует в файле WIN.INI или реестре.

Таким образом, червь может создать несколько своих копий на одном компьютере, поразив все установленные версии операционной системы Windows. Это означает, что в случае, если на компьютере установлена система загрузки нескольких версий Windows, то червь активизируется при запуске каждой из них.

Для сокрытия своей деятельности в момент своей инсталляци червь показывает диалоговое окно следующего содержания:


 Setup
   Cannot open file: it does not appear to be a valid archive.
   If you downloaded this file, try downloading the file again.
                           [ OK ]

Дальнейшее распространение

При следующем запуске Windows червь активизируется посредством команды "Run=" в инициализационном файле WIN.INI. После этого он берет контроль на себя, регистрирует себя в памяти Windows в качестве скрытого приложения (невидимого сервиса), что дает червю возможность оставаться активным, даже если пользователь выйдет из системы (log off). Вслед за этим червь запускает две другие подпрограммы. Одна из них обеспечивает распространение червя через локальную сеть, другая - через электронную почту. Кроме того, остается активной подпрограмма инсталяции. Это означает, что заражаются и все новые обнаруженные на инфицированном компьютере версии Windows. Все перечисленные подпрограммы работают как основные процессы, т.е. параллельно.

Первая из подпрограмм обеспечивает распространение червя по локальной компьютерной сети. Она собирает информацию о всех сетевых дисках, ищет на них каталоги Windows и, в случае, если таковые обнаружены, копирует в них зараженный файл RCPSRV.EXE и регистрирует червя в файле WIN.INI или реестре. В результате, при следующей загрузке вместе с Windows на удаленном компьютере запускается и сам червь, готовый распространяться дальше.

Вторая подпрограмма посылает зараженные сообщения по электронной почте. Для этого червь использует протокол SMTP. Отличительная черта распространения червя по электронной почте состоит в том, что он рассылает себя, используя прямое соединение. Это определяет независимость способности червя к распространению от типа установленной на компьютере программы для обработки электронной почты.

Раз в шесть секунд эта подпрограмма определяет все активные программы и ищет среди них следующие приложения для работы с Интернет: Outlook, CuteFTP, Internet Explorer, Telnet, Mirc. Обнаружение любой из перечисленных программ дает червю основание полагать, что данный компьютер подключен к сети Интернет (это необходимо для используемого червем прямого SMTP соединения). Вслед за этим червь извлекает из системного реестра адрес SMTP сервера и адрес электронной почты зараженного компьютера. На основании этих данных он создает новое сообщение, содержащее вложенный инфицированный файл SETUP.EXE и отсылает его. Адреса электронной почты, по которым червь рассылает свои копии, берутся из файлов в подкаталогах Windows. Червь сканирует эти каталоги и ищет файлы с расширениями .HTM, .TXT, .EML, .DBX, .MBX, .NCH, .IDX. Затем он просматривает эти файлы и выбирает строки, похожие на адреса электронной почты. За каждый прием червь рассылает себя не более чем 10 адресатам.

14-09-99 CH

Касперский выпустил новый апдейт к AVP, теперь в базах AVP 30111 вируса. Но, погнавшись за количеством, он позабыл про качество :( Тестирование апдейта оставило в моей душе гнетущее впечатление...

Новый апдейт стал детектировать 3 моих вируса :
1. HLLW.BigBug.8820
2. HLLO.TPPE.15600
3. HLLP.Duke.16200
На примере этих вирусов я расскажу о найденных мной ошибках в этом апдейте.

1. Почему вирус назван HLLW ? Вот Ralph Roth, например, в своем детекторе RHBVS назвал этот вирус HLLP.8820, и это намного ближе к истине, поскольку HLLP вирусы излечимы. Для тех кто не знает, напомню краткое содержание вируса BigBug : в зависимости от случайного числа вирус поражает EXE-файлы одним из 4 способов - как HLLC/HLLO/HLLP/HLLW вирус. При поражении способом HLLC (как компаньон) вирус шифрует кусочек жертвы по некоторому варьирующемуся смещению. Если файл поражен HLLO или HLLW методом, то его придется удалить. Но файла пораженные HLLC или HLLP методами сохраняют работоспособность и подлежат лечению. А вот AVP так не думает ! И удаляет ВСЕ файлы, пораженные этим вирусом. Собственно, на это я и рассчитывал создавая BigBug ;-))) И Касперский на это клюнул... Вот вам первая серьезная ошибка.

2. Как и в случае с программой DrWeb, детектируются не все потомки вируса, а лишь один единственный. Именно этот потомок был помещен мной в дистрибутив TPPE v0.3 и отослан в AVP 10.05.99. Вот цитата с сайта Duke's Virus Labs по этому поводу :

10.05.99 Сегодня я послал свой вирус HLLO.TPPE.Demo v0.3 - демонстрацию моего полиморфного генератора TPPE 0.3 - в Лабораторию Касперского (AVP), чтобы он составил конкуренцию вирусам участвующим в конкурсе VirusBuster'а. Посмотрим, кто кого обойдет - возможно мой вирус окажется лучше всех представленных на конкурс :) Я признаю, что TPPE 0.3 не такой уж крутой, если 10000 из 10000 пораженных файлов будут детектироваться AVP к концу августа 1999 года.

Как видите, TPPE не так уж плох ;-)))

3. Опять же, этот полиморфный вирус, поражающий исходные тексты программ на языке паскаль, детектируется только в первой генерации (откомпилированный вирус) и не детектируется ни в одном из пораженных файлов.

15-09-99 AV

Ни один из отечественных антивирусов (AVP и DrWeb) не обладает даже намеком на BAT-эвристику. Некоторые зарубежные антивирусы (NOD32) пытаются еще этим заниматься, но их робкие попытки находятся еще на зачаточном уровне. Именно поэтому Duke/SMF (то есть я ;) и выпустил сегодня программу BAT Heuristic v1.0. Программа проводит эвристический анализ BAT-файлов и способна детектировать более 80% неизвестных BAT-вирусов всех типов. Программа доступна на сайте Duke's Virus Detector.

15-09-99 TR

По заявлению авторов троянца Donald Dick, последний апдейт AVP детектирует троянца Donald Dick v1.5beta3 только в дистрибутиве и клиенте, и НЕ детектирует троянца в проинсталлированном виде.

Также авторы обещают, что легкая жизнь для AVP закончится с применением в новых версиях троянца технологии SmartMorph. Результатом ее применения должна стать полная полиморфность проинсталлированных троянцев. Ну чтож, поживем - увидим. На сегодняшний день не создано ни одной полиморфной технологии, которая бы не содержала лазеек для детектирования...

15-09-99 AV

Французский вирусописатель Del_Armg0, занимающийся разработками в области сетевого взлома, сообщил о том, что им был обнаружен backdoor встроенный в программу AVP. Этот бакдор открывает порты 8086 и 8087 для удаленного пользователя. Вот его письмо в конференции ALT.COMP.VIRUS.SOURCE.CODE :

 
From: Del_Armg0 
Newsgroups: alt.comp.virus.source.code
Subject: a BackDoor in AVP 131 for Windows !!! yes a BACKDOOR IN AVP !!!!!
Date: Wed, 15 Sep 1999 14:44:45 +0200


1-HKEY_LOCAL_MACHINE... ... ... run  ... _avpcc.exe
2-HKEY_LOCAL_MACHINE... ... ... runservices  ... _avpcc.exe

this 2 keys are made at the install of AVP 131 for Windows,
the first launch AVP control center ...
but the second launch AVP control center too , but it runs invisible
!!!!
and he opens 2 ports on your machine: - 8086  TCP
                                                           - 8087  UDP
this 2 ports are just listening for all IP !!!
...and NO! it's not for update !!!

So! What is this backdoor ?ї Mr Kapersky ???!!!

Del_Armg0
На что незамедлительно последовал ответ со стороны AVP :
From: [email protected] (Keith Peer)
Newsgroups: alt.comp.virus.source.code
Subject: Re: a BackDoor in AVP 131 for Windows !!! yes a BACKDOOR IN AVP !!!!!
Date: Wed, 15 Sep 1999 10:46:55 -0400
Organization: Central Command Inc. 

In article <[email protected]>, shen_go@club-
internet.fr says...
> 
> 1-HKEY_LOCAL_MACHINE... ... ... run  ... _avpcc.exe
> 2-HKEY_LOCAL_MACHINE... ... ... runservices  ... _avpcc.exe
> 
> this 2 keys are made at the install of AVP 131 for Windows,
> the first launch AVP control center ...
> but the second launch AVP control center too , but it runs invisible
> !!!!
> and he opens 2 ports on your machine: - 8086  TCP
>                                                            - 8087  UDP
> this 2 ports are just listening for all IP !!!
> ...and NO! it's not for update !!!
> 
> So! What is this backdoor ?ї Mr Kapersky ???!!!
> 
> Del_Armg0

This is part of the Network Control Center that interfaces with the 
local copy of Control Center. The local copy monitors the ports to 
accept the requests from the AVP Network Control Center.

Control Center uses 2 TCP/IP ports

- 8086  TCP for communication with Network Control Center
that allows to manage AVP Control Center from PC of the network
administrator.

- 8087  UDP for browsing of AVP Control Center inside LAN segment.

To connect the local computer to the Network Control Center you need 
to know password with which control center was originally installed on 

the client. Password is transmitted via TCP/IP but it is encrypted. 
Algorithm of encryption is one way. After creation of orignal password 

it cannot be decoded, but it can be verified that it is correct.


-- 
Keith Peer

=========================================================
Central Command Inc.                AntiViral Toolkit Pro
       Your first, last, and only line of Defense
	          W W W . A V P . C O M
=========================================================
На месте разработчиков AVP я бы не был так уверен, что не найдется хакера, способного покрыкать всю эту систему и получить доступ к тысячам компьютеров...

16-09-99 AV

Многочисленные ложные срабатывания вынудили разработчиков AVP выпустить bugfix для апдейта от 14 сентября. Из базы была удалена сигнатура вируса Trojan.Win32.RC5_Dropper и всего AVP известно 30110 вирусов.

17-09-99 VX

Одни уходят, им на смену приходят другие... Сегодня мембером группы 29A стал BumbleBee (ASM DOS/Win32 coder, macro coder). Еще одним мембером 29A стал LethalMind.

18-09-99

На книжных лотках появилась в продаже книга Игоря Гульева "Пишем вирус и антивирус". Однако это не новая книга, а переиздание (2-е стереотипное) книги "Компьютерные вирусы: взгляд изнутри". Тираж 1000 экз. в том же издательстве. Но как ни обещало издательство соблюсти права истинных авторов статей, ничего сделано не было. Напомню, как выглядели извинения от издательства "ДМК":

--------------------------------------------------------------------------
Date: Fri, 16 Apr 1999 21:42:25 +0400
From: Dmitry 
To: [email protected]
Subject: From DMK Press
--------------------------------------------------------------------------
Официальное письмо

Издательство "ДМК" приносит свои глубокие извинения всем авторам, чьи
материалы были использованы Гульевым И. А. в его книге "Компьютерные
вирусы. Взгляд изнутри" без получения  их согласия на использование и
публикацию.  При допечатке тиража мы готовы указать фамилии авторов
используемых статей (пришлите нам эти данные).

Официально утверждаем, что автор книги заверил издательство в том, что
он имеет прямые разрешения авторов на использование их материалов в
книге. В подтверждение своих слов он предъявил распечатки нескольких
писем электронной почты с такими разрешениями.

Мы приносим свои извинения всем тем читателям, которые сочли
оскорбительной недостаточно позитивную направленность данной книги.
Впредь издательство будет более разборчиво подходить к подбору авторов.

Издательство "ДМК" готово выпустить книгу по аналогичной тематике с
участием реальных авторов, если у таковых имеется желание к
сотрудничеству.

С Уважением,
Дмитрий Клубничкин

Commercial Director
DMK
Tel:  +7(095)264-2017
Fax: +7(095)264-2017
E-mail: [email protected]
Web: www.dmk.ru
-----------------------------------------------------------------------

19-09-99 AV

На сайте www.wildlist.org выложен сентябрьский World Wild List. На мой взгляд, в этом листе силь ущемлены права IRC-червей - ни один из них не включен в список. Я решил провести собственное исследование и в течение нескольких часов сидел на популярных IRC-чат каналах в сетях Undernet и DalNet. В результате мной были получены из Wild (!) следующие вирусы (по классификации AVP):

IRC-Worm.DmSetup.a,c,d,f,h
IRC-Worm.DwSetup.a
IRC-Worm.Overnuke
IRC-Worm.Snob
mIRC_Worm.JeepWarz.a
mIRC_Worm.Play
mIRC_Worm.Sleeper.b,f
mIRC_Worm.Whacked.a,g
VBS.Freelink
и несколько недетектируемых ;) Таким образом в дикой природе по всему миру обитают десятки вирусов, не указанных в официальном Wild List'е. Поэтому журнал RVR планирует вести свой, неофициальный, Wild List . Присылайте сообщения о вирусах, распространенных/живущих в вашем городе (школе, вузе, сети и т.п.) по адресу [email protected] и я включу их в этот лист.

19-09-99 VX

Сегодня группа iKx выпустила долгожданный журнал XINE #4. Большая часть статей посвящена Win32-вирусам и написана Int13h и Billy Belcebu. Наши соотечественники тоже присутствуют, правда в ограниченном количестве - я нашел только вирус Win95.IceHeart от SSR (датированный июнем'99). Единственное, чего я не нашел, так это pr0n, который обещался в file_id.diz ;-))))))))

19-09-99 VX

Группа FS (Feathered Serpents) пополнилась двумя новыми мемберами. Сегодня в нее вступили Cyclone и Mandragore (ранее он состоял в Invaders и DDT).

20-09-99

По стране гуляют слухи... Не впервой. Но на этот раз слухи касаются того, что сайт бесплатной электронной WEB-based почты www.mail.ru является собственностью ФСБ. Сделано это, якобы, для того, чтобы отлавливать нарушителей законодательства в компьютерной сфере - вирмейкеров, кракеров, хакеров и рассыльщиков троянов. На днях эта тема прозвучала в рассылке CityCat. Главным их аргументом было то, что им не ясны источники финансирования этого достаточно крупного проекта, поскольку реклама (рекламные баннеры) на страницах MAIL.RU отсутствует... Толи у них со зрением не в порядке, толи мне показывают специальные страницы, обвешанные баннерамию... Некоторые из получателей рассылки тут же отказались от услуг MAIL.RU, но это пусть каждый решает для себя сам.

21-09-99 AV

В последнем выпуске Virus Bulletin замечено, что DrWeb v4.11 (2/7/99) сказал новое слово в мировых антивирусных стандартах, называя один и тот же файл инфицированным и чистым одновременно. ;-)))

22-09-99 AV

Вышел апдейт к AVP. Опять проявился старый баг - в зависимости от прорядка загрузки антивирусных баз (который устанавливается в файле AVP.SET) один и тот же вирус распознается под разными именами. В частности, баг проявляется при загрузке апдейтов перед загрузкой основной базы.

22-09-99 VX

Slage Hammer и VirusBuster обнаружили, что трейдер, известный на IRC каналах как l-, работает на американское правительство. Он шпионит на каналах #vir и #virus в Undernet с целью поиска новых вирусных технологий.

23-09-99 VX

На сегодняшний день пришелся пик активности вируса IRC-Worm.Snob. В течение 10 минут к числу пораженных пользователей прибавлялись десятки новых. Поскольку вирус уже не новый и известен антивирусам, такой всплеск его активности довольно интересен.

24-09-99 VX

В Валенсии (Испания) начался двухдневный ежегодный международный съезд вирмейкеров, организованный группой 29A. На нем побывали Mental Driller, Wintermute, Billy Belcebu (все трое - из Испании), Darkman/29A, bozo/IKX, Gigabyte/KF, GriYo/29A, Bumblebee/29A и другие. Между прочим, еще один международный съезд вирмейкеров прошел месяц назад в Амстердаме.

24-09-99 AV

Вышел новый апдейт к DrWeb (41203), который детектирует два десятка вирусов от SMF. В их число входит и HLLW.Duke.8820 (больше известный как BigBug). Вместо лечения этого "паразита", DrWeb удаляет все файлы. Вот она - технология неизлечимости в чистом виде ;-)

25-09-99 AV

Duke/SMF (опять я ;) выпустил новую версию антивируса BAT Checker v1.2. Помимо использования усовершенствованного эвристического алгоритма, программа способна детектировать 270 BAT-вирусов по сигнатурам (около 50 из них НЕ детектируются ни одним из известных мне антивирусов). Программа НЕ занимается лечением вирусов, поскольку это негуманно по отношению к зверькам (братьям нашим меньшим). За написание этой программы я уже получил свою порцию ругательств и непонимания. Отвечаю всем, для чего и почему написана эта программа - чтобы показать авторам коммерческих AV, как надо писать детекторы BAT-вирусов ;-))) ("Что дозволено быку, недозволено Юпитеру"... ) А еще для того, чтобы трейдеры могли отклассифицировать недетектируемые BAT-вирусы в своих коллекциях :-) Программа фриварная и доступна на странице Duke's Virus Detector

25-09-99 VX

Frank Hennessy послал в PVT.VIRII анкеты для соц. опроса среди вирмейкеров. Результаты будут опубликованы в журнале Social Distortion. Предлагается назвать пятерки лучших вирмейкеров и журналов ex-USSR и мира (прошлого и настоящего). Также собирается информация о совковых вирмейкерских группах и вирмейкерах. Архив с анкетами прилагается к этому журналу.

27-09-99 AV

Компания DialogueScience выпустила новую версию программы DrWeb - v4.13. Как сообщается в пресс-релизе, впервые в мире применен алгоритм, позволяющий детектировать неизвестные Win32-вирусы (в частности, созданные на основе Win95.CIH).

30-09-99 VX

Cicatrix собирается выпустить очередную версию VDAT не 1-10-1999, а 1-01-2000. Ранее VDAT выпускалась строго через 3 месяца, а последняя версия вышла 1-07-1999. На мое предположение о том, что он ждет конца света и не хочет выпускать VDAT v1.10 раньше его наступления, он ответил, что о-о-очень занят на работе и пока не может заниматься своим хобби.

30-09-99 VX

Легендарная группа Immortal Riot возвращается на вирмейкерскую сцену ! Группа открыла новый сайт по адресу http://www.coderz.net/ImmortalRiot и, возможно, скоро выпустит новый журнал.

30-09-99 VX

Несмотря на все разговоры о развале группы Misdirected Youth она продолжает процветать. На сегодняшний день ее мемберами являются Mongoose, Black Angel (автор семейства Win95.MAD), John Darland (автор семейства JDC), и еще пара человек. Они готовят к выпуску первый номер журнала Social Distortion.

01-10-99 VX

Группа SG жива !!! Вопреки всем слухам и домыслам группа SG продолжает свое существование, правда несколько в другой ипостаси. Группа изменила свои морально-правовые взгляды и известила об этом на своем новом сайте http://www.redline.ru/~one. Из материалов сайта я узнал много для себя нового и интересного. LovinGOD сообщает, что :
- теперь деятельность SG не является противозаконной;
- Группа и ее участники не распространяли "вредоносных программ" и не осуществляли "несанкционированных проникновений" после 1.1.1997, и не собираемся делать этого в будущем;
- Я готов распустить группу, если ее деятельность в соответствии с Уставом может противоречить действующему законодательству России;
- я НЕ употребляю наркотики и НЕ ношу при себе оружия за его отсутствием;
- следующий номер IV #15 выйдет в печатном виде.

С октября 1999 года группа уходит с VX сцены и будет заниматься разработками "в стол". Группа отказывается от публикаций вирусов в исходном и исполняемом виде. Разработан новый устав группы. В нем есть несколько пунктов, которые стоит осветить поподробнее.

Вхождение людей типа меня в группу SG невозможно, по причине наличия в уставе пункта :

Никакие действия Группы и ее Участников, включая деятельность
Участников вне Гpуппы, не могут быть направлены на
[scipped]
- моральную, материальную или иную поддержку антивирусного
  программного обеспечения, их производителей и реализаторов.
Все права на торговую марку STEALTH прискаивает себе LovinGOD. Интересно, а в международном бюро регистрации торговых марок патент получен ? Если нет, то этот пункт устава можно спокойно поскипать...

Действительный Член Гpуппы: уpовень знаний соответствует MASTER по тpем квалификациям Пpогpаммы в области СМ или соответствует MASTER по квалификации Анализа Защит. Но потолок Мастера настолько завышен, что в группе после переаттестации 31.12.99 останется всего пара-тройка действительных членов.

Совсем уже перегнули палку с INTERNET/ADVANCED : знание обо всех существующих дырах систем. Практически это невозможно, поскольку новые дыры обнаруживаются ежедневно. Проще сразу стать INTERNET/MASTER ;-) Хочу также указать Лидеру Группы ЛГ ;) на то, что стать мастером в области защиты намно-о-ого проще, чем по любому из направлений СМ. Поэтому если вы и наберете мастеров, то только по профилю защиты.


Составление, тесты, комментарии (c) by Duke/SMF
В хрониках использована информация, предоставленная Slage Hammer, VirusBuster, Yanush Milovski и mgl .
Пресс-релизы Лаборатории Касперского (с) Kaspersky Lab.