12-May-2000 HACK
История о том, как злоумышленниками была троянизована программа ISoaQ v0.72 by Letodatus.

Из пресс-релиза Лаборатории Касперского стало известно, что существуют и другие модификации вируса VBS.LoveLetter (так называемая "Шутка" и другие), которые отличаются от базовой версии лишь subject'ом и телом письма. Буду благодарен, если вы пришлете мне для изучения/описания новые модификации этого вируса.

05-May-2000 VX
В интернете новая эпидемия!!! Причиной эпидемии стал вирус I-Worm.LoveLetter. Он рассылает свои копии по электронной почтеи произвел бум не меньше, чем Melissa. Описание всех известных мне версий вируса I-Worm.LoveLetter можно прочитать тут.

Между прочим, McAfee не проявили должной расторопности, поэтому при тестировании почты на www.hotmail.com вторая версия вируса не детектируется.

05-May-2000 VX
Новости одной строкой :

01-May-2000 VX
Cicatrix выпустил VDAT 2000.1. Новая версия (9.4Mb) доступна на vdat.cjb.net, имеется патч (2.4Mb) превращающий v2000.0 в v2000.1. Данная версия не работает без ключевого файла ;)

28-Apr-2000 AV
Новый апдейт AVP снова повеселил меня :)

В апдейт оказались добавлены "вирусы" VirTool.SMF_Example, VirTool.SMF_Example.a, VirTool.SMF_Example.b . Как выяснилось, никакого отношения к группе SMF данные вещи не имеют - под этими именами детектируются Executable Trash Generator 1.00 и CODE MIXER 1.50 by Z0mbie. Я польщен тем фактом, что аверы уже стали считать Z0mbie мембером SMF (hey, Z0mbie, не хочешь и правда вступить в SMF ? ;-))))))))

Расскажу немного более о бардаке в антивирусных базах AVP (взгляд коллекционера). Вирусы из одного семейства теперь стали относиться к совершенно разным семействам, что мешает коллекционерам и исследователям-одиночкам работу с вирусами. Следующие пары имен должны относиться к одному семейству (сперва идет исконный вариант, затем - современный "левый"):

26-Apr-2000 HACKING
В дополнение к новостям от 20-Apr-2000. Развитие событий вокруг хакерской конференции СПРЫГ2К принимает неожиданные обороты. Лично меня приятно удивило письмо Mete0 в конференции RU.HACKER :

Newsgroups: fido7.ru.hacker
From: Max Ivanov 
Date: Wed, 26 Apr 2000 01:10:40 +0400
Subject: СПРЫГ-2k и UCL
X-FTN-Origin: The -[ Press_ ]-  //UCL'1994-2000 (2:5030/110.50)

[USSR, St.Leningrad, 26 Apr 00]

Группа UCL приняла решение не участвовать в СПРЫГ-2К. Мы не считаем что СПРЫГ
является профессиональной конференцией и что участие в ней необходимо самой
группе.

     Ж;)   [T.Xm] //FotD//UCL (Leningrad)

26-Apr-2000 AV
Выпущен F-PROT v3.07b. В антивирус добавлена возможность сканирования/лечения Microsoft Project98 файлов. F-PROT также стал первым в мире антивирусом, который можно запускать с двух дискет - на одной должен находиться исполнимый модуль, а на второй - антивирусные базы. Однако, размер баз уже составляет 1.42Mb и скоро авторы и пользователи F-PROT снова столкнутся с нехваткой места на дискетах...

26-Apr-2000 VX
На просторах интернета разгорелась "битва" между трейдерами Black Cat (автором VSNG) и VirusBuster (автором VirSort2000). Честно говоря, VirusBuster постоянно с кем-то борется из-за авторских прав - то его ущемят, то он ущемит (полной жизнью живет пацан ! ;). То его прогу воруют, то он юзает сырцы ShadSeek'а, то Tally ворует у него линки, то SlageHammer трейдит его вирусы.... Все темно и запущено. Привожу письма Black Cat и VirusBuster без сокращений и изменений - желающие могут прочитать их здесь. К слову, письмо Black Cat сопровождал аттач на 700 кил, что вызвало недовольство у всех получателей. Black Cat вообще странный - если он посылает мылом rar-архив, то он заодно прикрепляет и rar.exe на 100 кил... Ндаа...

25-Apr-2000 AV
Сегодня на www.hotmail.com появилось принудительное тестирование программой McAfee Scan всех аттачей на вирусы. Из-за этого пересылка вирусов через Hotmail стала затруднительной, да добавились тормоза/неудобства при работе с почтой.

24-Apr-2000 AV
Сегодня вышел 3-й апдейт для DrWeb 4.17. Он также содержит пофикшеный апдейт номер 2, из которого убраны ложные срабатывания на Trojan.RBTG (см. новости от 14-Apr-2000).

21-Apr-2000 VX
Бразильские источники подтвердили, что Vecna/29A действительно арестован. Но к компьютерам это не имеет никакого отношения - его поймали с 50 граммами ганджи ("трава").

21-Apr-2000 AV
Мной найдена новая бага в AVP : программа не может распаковать файлы, уплотненные UPX 0.94, и считает их corrupted.

20-Apr-2000 AV
Добавленные в сегодняшний дневной апдейт AVP вирусы Khizhnjak.460, Khizhnjak.462, Khizres.1147, Khizres.1179, SillyE.793, SillyE.795, Zhitomir.1686 не что иное, как вирусы опубликованные в книге Игоря Коваля (см. новости от 17-Apr-2000). Аверы не дремлют !!!

20-Apr-2000 HACKING
Скоро в Москве состоится общесовковый съезд хакерского люда - хакеров, кракеров, вирмейкеров, демомейкеров, фрикеров, и прочих ламеров. В числе президиума - Mete0 (подавшийся в коммерческий хак легендарный кракер/вирмейкер), Arvi the Hacker (лидер московской школы хакеров, которому недавно набили морду), Крис Касперски (который выпустил свою книгу "Техника и философия хакерских атак", но так и не выполнил своего обещания подарить ее победителям устраившихся им crack-конкурсов. Теперь он активно графоманствует в журнале для dummy "Полный ПК") и много кто еще...

19-Apr-2000 VX
На сайтах VX-новостей вовсю муссируются слухи об аресте Vecna/29A. Народ волнуется. И причина этих слухов - Vecna две недели не отвечает на телефонные звонки. Конечно, вирмейкерская солидарность это хорошо, но не стоит выдавать желаемое за действительное (по крайней мере - раньше времени).

19-Apr-2000 AV
Обнаружился жуткий баг в DrWeb 4.17 ! При тестировании SFX-архивов (WinZip) антивирус просто напросто удалял их!!! Аверы срочно выпустили пофикшеную версию 4.17a, но доверие пользователей (в том числе - лицензионных) подорвано, а троянский антивирус распространился по всей стране (а может даже и миру)... Интересно, что страшнее держать на компьютере - DrWeb 4.17 или безвредный search-вирус? Интересно, как на этот беспрецендентный баг отреагируют другие AV компании - добавят DrWeb 4.17 в свои базы или нет? Пользователям рекомендую поскорее сменить версию 4.17 на 4.17a и сделать вывод - старый друг лучше новых двух!

17-Apr-2000 AV
Диалог-Наука проводит месячник борьбы с вирусом Win95.CIH. В рамках месячника на сайте www.dials.ru раздаются коммерческие версии программы DrWeb и регистрационные ключи к этой программе.

17-Apr-2000 AV
В сегодняшнем апдейте AVP я нашел запись HLLP.Pinc.a и подумал - а не мой ли это полиморфный вирус ??? Оказалось, что мой ;)) Но на самом деле вирус вовсе не HLLP, а полиморфный HLLC шифрующий жертву. С определением длины вируса у аверов возникли проблемы (ну как же - морф ;) и они назвали его A. Создав 25 пораженных файлов, я протестировал их и получил результаты :

17-Apr-2000 VX
В продаже появилась книга Игоря Коваля "Как написать компьютерный вирус" изданная издательством "Символ" в марте этого года (розница на уровне 50 рублей). Книга рассчитана на читателей с неплохими знаниями ассемблера и повествует о написании DOS EXE/COM/TSR вирусов. Лавры Хижняка никому не дают покоя. Первая глава описывает создание "пофикшеного" вируса из книги Хижняка. А вот что написано об авторе : "Игорь Коваль - инженер-электронщик, увлекающийся программированием. Изучая возможности ассемблера, он написал с чисто научными целями множество компьютерных вирусов, некоторые из которых представлены в этой книге" (читаю, и думаю - прям как будто про меня написано! и про научные цели, и про множество... ;))

Ну что тут можно сказать, публицистика в нашей стране не умерла, а "расцвела буйным цветом малина" ;)) Думаю, что в ближайшее время какой-нибудь автор одарит нас очередным шедевром в хижняковском стиле. Много литературы хорошей и разной, желательно по Win32/Macro/Script технологиям, т.к. в такой литературе всегда недостаток. Пожелаем авторам успехов на вирусном поприще!

17-Apr-2000 VX
Последние новости одной строкой :

16-Apr-2000 AV
Произведено тестирование программы DrWeb 4.17. Результаты удручающие ;-))) Путем наблюдений замечено, что :

16-Apr-2000 AV
Мной найдены две баги, присущие AVP DOS32 :

14-Apr-2000 AV
В сегодняшнем апдейте DrWeb добавлен вирус Trojan.RBTG. Теперь все батники содержащие строку "deltree" детектируются как троянцы ! На компьютерах юзеров детектируются троянцы, в умах юзеров царят беспокойство и удивление.... ;-)))

14-Apr-2000 AV
Судя по сегодняшнему апдейту AVP, в Лаборатории Касперского произошли кадровые изменения. И похоже, не в лучшую сторону... Скоро в базах AVP будет царить неслабый хаос...

14-Apr-2000 VX
Вышел в свет первый номер журнала Matrix одноименной группы (однако, как же всех на этом фильме заклинило!). Ждали его долго, но он того стоит. Я имею в виду, в плане оформления. Журнал весит более 1.5 метров, но это объясняется тем, что он сделан в формате HTML и содержит прорву картинок. Видимо, эксклюзивность статей и объем журнала имеют обратно пропорциональную связь - часть опубликованных статей by Zombie ранее была опубликована в онлайновом журнале Top Device, вирус Win32.Weird ранее был опубликован в 29A#4... Из статей лично меня порадовал IRC-Worm tutorial by Del_Armg0 и статьи об вирусах под *NIX by Silvio Cesare. А вообще, чего уж тут говорить, уровень статей высокий. Видимо сказывается то, что журнал создавала интернациональная команда.

17-Mar-2000 AV
Похоже, что скандал вокруг soft-бакдоров достиг своего апогея. Пару недель назад Интернет наполнился сообщениями о том, что во многих программных продуктах содержатся троянские компоненты (DLL), открывающие шары и отсылающие приватную информацию своему хозяину. Наконец, 14 марта "Лаборатория Касперского" выпустила пресс-релиз, в котором сообщает о необоснованности претензий юзеров. Но это только одна сторона медали. ЛК не стала отрицать, что изученный ими софт действительно отсылал некоторую информацию о пользователе. ЛК сочли, что в этом нет ничего троянского, поскольку это, дескать, оговорено в лицензионном соглашении.

Здесь мы столкнулись с той же ситуацией, как и при детектировании коммерческих бакдоров. Как известно, ни один из AV не детектит программ, снимающих нажатия клавиш клавиатуры и отсылающие их хозяину, а так же Remote Access Tools, если они распространяются как коммерческие продукты (например, продукция AnnaLtd.). Но в то же время, все AV детектируют совершенно аналогичный софт, написанный кодерами-любителями (читай: хакерами), как Trojan.PSW.* & Backdoor.* . Разница между первыми и вторыми - это деньги. Если бы AV попытались детектировать коммерческий софт, то за этим последовал бы гигантский скандал и многомиллионный иск со стороны производителя коммерческих троянов. Когда автор бакдора Hack'a'Tack объявил, что его продукт отныне будет shareware (это вызвало немало недовольства среди пользователей троянов), то новые версии не стали добавляться в базы AV. Не так давно, Hack'a'Tack снова стал бесплатной утилитой, и уже 13 марта он стал детектироваться программой AVP под именем Backdoor.Hacktack.2K .

Довольно поучительная история, не так ли ? Я бы предложил сделать все RAT коммерческими, что несколько поубавит аверский пыл. А в истории с троянскими компонентами в коммерческом софте еще рано ставить точку...

17-Mar-2000 VX
Немало позабавила меня текстушка, найденная на сайте Сибирских Медведей :

"HLLO.Duke.4224"

Вирус, созданный конструктором DROP
DPOG - это конструктор, позволяющий создавать исходные тексты нерезидентных
Overwriting вирусов на языке Pascal.

17-Mar-2000 AV
Небольшое дополение к AV-новостям от 13 марта. Оказывается в AVP захотели хоть как-то выпендриться, поэтому решили выпускать ежедневное дополнение (точнее, дополнение обновляется несколько раз в день), чтобы сразить всех своей оперативностью. При выпуске нового еженедельного обновления все записи из daily.avc перекочуют в него, а файл daily.avc заменят файлом-пустышкой.

15-Mar-2000 AV
Недавно наткнулся на интересную статью о вирусах и антивирусах под Linux, опубликованную в газете ComputerWorld Russia #8 7-Mar-2000. Здесь вы можете прочитать перепечатку этой статьи (all rights reserved ;) .
А теперь несколько моих комментариев к этой статье:

14-Mar-2000 VX
Восстановлена работоспособность вирусно-ориентированного сервера www.virusexchange.org. Страницы сервера снова доступны для обозрения (и оборзения ;), только за прошедшие две недели часть страниц успела переселиться на новое место жительства, а на старом остались страницы сомнительной свежести.

14-Mar-2000 VX
Вышла новая версия программы Naebi Coceda 2.39 ;))

13-Mar-2000 AV
AVP снова на коне! Сегодня выпущен очередной "еженедельный" апдейт, но на этот раз помимо стандартных файлов UPxxxxxx.AVC, UPxxxxxx.TXT и AVP.SET в этот апдейт включены файлы DAILY.AVC и AVP.KLB. Файл AVP.KLB представляет собой расширенный набор цифровых подписей для антивирусных баз (добавлена база DAILY.AVC). А что же представляет собой база DAILY.AVC ??? Этот страшный зверь ;) имеет размер 262 байта, создан 2 (!) марта, и кроме заголовка и цифровой подписи не содержит ни одной (!) антивирусной записи.

13-Mar-2000 VX
Вышел первый номер вирусного журнала SVX #1. Ищите его на www.shadowvx.org.

11-Mar-2000 AV
Помните новогодние антивирусы от ДиалогНауки ??? Так вот, сегодня они почуяли, что пора халявы закончилась и стали возвещать пользователям об истечении срока регистрации 18 марта сего года. И это вместо работы до 202x года... Делайте выводы господа - можно ли верить аверам на слово после этого???

08-Mar-2000 AV
Поздравляю всех вирмейкерш и аверш (персонально г-жу Касперскую) с сегодняшним праздником Весны. Желаю вам побольше компьютерной заразы и 5 мегабит в канале...
Но сегодняшний день примечателен мне не только весенним праздником, но и выходом в свет долгожданной (для меня самого ;) новой версии программы Anti-Joiner v2.0. Если кто не знает, то поясню - это моя программа, которая детектирует склейщики файлов и трояны,а также лечит/распаковывает их. Новая версия распознает 60 клеев/троянцев. Но самым интерсным в этой версии является внутренний скриптовый язык программы AJS (Anti-Joiner Script). Отныне и навсегда исполнимый модуль программы будет обновляться лишь при внесении глобальных изменений в ядро программы, а все новые определения клеев/троянцев будут добавляться с помощью файлов-скриптов. Следите за обновлениями на странице, присылайте свои отклики по адресу [email protected].

07-Mar-2000 AV
Kaspersky Lab объявила о расширении своих Internet-услуг, открыв сайт www.avp2000.com, посвященный новому продукту - AVP for MS Office 2000. В новый продукт входят AVP Office Guard, универсальный перехватчик вирусов для приложений MS Office 2000 (Word, Excel, Access, PowerPoint), программа антивирусной фильтрации электронной почты AVP Mail Checker, система автоматизации антивирусной защиты компьютера. Этот пакет может использоваться и для MS Office 97 (кроме Access).
[по материалам www.ComputerWorld.ru]

07-Mar-2000 SECURITY
По данным ЦРУ, некоторые страны, в частности Россия и Китай, ведут разработку кибервоенных программ. ЦРУ заявляет, что принципы ведения кибервойны и информационные военные программы, которые направлены против гражданских и военных систем, включены в программы военных вузов и являются составной частью военной доктрины страны (имеется в виду США).
[по материалам www.ComputerWorld.ru]
Сразу же вспоминается заявление двухмесячной давности одного крупного китайского военного чина о том, что Китай вовсю готовит софт и специалистов для ведения кибервойны...

04-Mar-2000 AV
Вышел очередной апдейт AVP. Казалось бы - ничего необычного здесь нет... Но на самом деле этот апдейт является для разработчиков AVP некой глобальной вехой на их пути. Все дело в том, что ВПЕРВЫЕ в истории программы AVP в обыкновенный еженедельный апдейт были добавлены вирусы из семейств Constructor.*, Dropper.*, VirTools.* (раньше они добавлялись только в кумулятивах). Да и привычной группировки по семействам в прилагающемся текстовом файле уже нет :((

04-Mar-2000 VX
ХА! Дождались! Коллекционеры и аверы срочно запускают свои качалки... Потому что сегодня увидел свет новый журнал 29A #4 !!! Этот ежегодник на сей раз превзошел самого себя. Не по качеству (как вы могли подумать ! %)), а по количеству. Эта тушка весит более 9 метров и содержит более 820 файлов (в том числе WAV на 5 метров %-)))). Так что качайте журнал, пока не обкачаетесь (так и хотелось написать это слово через "H" 8^))) !
Теперь по содержанию. Так же как и в предыдущем номере, часть статей этого номера морально устарела еще с полгода назад (сырцы давно доступны в интернете, а вирусы имеются во всех крупных коллекциях). Все статьи написаны как бог на душу положил и не форматированы (часть текста остается просто за кадром). В качестве вьювера предложен некий монстр, состоящий из нескольких по очереди запускающихся файлов (не самое лучшее впечатление). Неожиданным для меня оказался откат журнала на позиции BAT-вирусов и COM-нерезидентов (конечно, передовые статьи тоже имеются, но в глаза в первую очередь бросаются именно бреши...) - наверно, на меня равняются ;))). Из соотечественников в журнале опубликовали свои статьи DK32, Deadman, Lord Dark, Serg Enigma и VBA Ltd. ;)))

01-Mar-2000 SECURITY
Поскольку российские законы ограничивают использование криптографических защит, корпорация Microsoft будет исключать средства шифрования с длиной ключа 128 бит из поставляемых в Россию версий Windows 2000. Есть несколько способов обхода этого ограничения:

01-Mar-2000 VX
Сегодня неизвестный злоумышленник, известный под ником Rapture, запустил DDoS-атаку на сервер www.virusexchange.org, который имеет вирусную ориентацию и содержит десятки вирмейкерских страниц. Сервер был послан в даун :) В ответ на это хозяин сервера, ShadSeek, обратился в ФБР с просьбой поймать и наказать злоумышленника. Довольно странный оборот, не правда ли - ФБР, которое ловило VicodinES, теперь помогает вирмейкерам в борьбе с их врагами...
[по материалам VTC]

25-Feb-2000 AV
Еще одна интересная новость от AVP - когда в их руки попадает вирус вместе со своим исходником, то аверы начинают его по-всякому перекомпилировать (tasm /m1 ; tasm /m3 и так далее), в результате чего получают несколько вирусов разной длины, которые с гордым видом все добавляют в свои базы. Т.о. в базах присутствуют вирусы, которые вряд ли появятся на свет ественным путем.

23-Feb-2000 VX
Уже все привыкли, что VirusBuster клепает новые версии своего VirSort2000 чаще, чем все оставшиеся трейдеры вместе взятые меняют свои носки ;) Так что сегодня VirusBuster не изменил себе и выпустил новую версию 8.2 своего детища (и это не смотря на то, что предыдущая версия вышла прошлой ночью ;-))))). Связано это с тем, что я ;)) обнаружил в его программе багу (которую он сам считал за фичу %))) : программа не обрабтывала вирусы, которые содержали в своем имени строку "-based". Но это полбеды, потому как программа не обрабатывала ни одного вируса, который содержался в папке "*-based" ;))) Из-за этого трейдеры несли убытки и число вирусов по AVP и по VirSort2000 значительно различалось.

20-Feb-2000 AV
В базах AVP после кумулятива невооруженным глазом обнаружились "junk signatures" (это я их так окрестил :). Выглядит это так : сигнатура имеется в базе, но она никогда не будет обнаружена в настоящем вирусе (т.е. в том, который она должна детектировать) ! Почему так получилось ? Для этого стоит вспомнить алгоритм работы AVP - как только в файле обнаружена сигнатура вируса, это файл перестает тестироваться дальше. Приведу конкретный пример - сигнатуры вирусов Trojan.PSW.Ring0.b и Trojan.PSW.Eps.16x присутствуют одновременно в одном и том же файле, но сигнатура первого ищется раньше, а значит второй никогда не будет обнаружен.