Ежемесячного издания из RVR не получилось... Зато получился On-Line вестник. Раз в квартал я буду переносить все новости из On-Line версии в журнальную версию (при этом порядок следования новостей сохраняется прежним я для прочтения новостей в хронологическом порядке читать нужно снизу-вверх ;-))
Для тех, кто ещ не знаком с RVR расскажу, что же это такое. В этом журнале я пишу о происходящем в компьютерном мире. Конечно, не во всем, а лишь в той его части, которая так или иначе связана с вирусами. Я описываю наиболее значимые (на мой взгляд) события на вирусной сцене (кто ушел, кто пришел; какая группа создалась, какая распалась; кто что зарелизил), в стане антивирусов (новые версии антивирусов, их тестирование и сравнение друг с другом; найденные в них рулесы, баги и фичи); интересные идеи из новых вирусов, оригинальные новые вирусы, Wild List'ы и прочее, прочее...
Любые отклики и помощь приветствуются. Если вам есть что сказать, пишите на [email protected].
Имена людей выделены зеленым, имена вирусов - синим, имена антивирусов - красным.
DISCLAMER: Данный журнал создан для реализации права человека на информацию :), любые попытки увидеть в этой странице что-то противозаконное безосновательны. Предложенные новости представляют собой МОЙ взгляд на события в сфере AV/VX/SECURITY и не претендуют на полноту, глубину мысли и правдивость... Ссылки на источник новостей по возможности сохранены. Эта страница не является переводом или скопищем чужих новостей (почитайте свежие новости на VTC news или Asterix Zine), я помещаю лишь те новости, которые заинтересовали меня. Перепечатка новостей без ссылки на источник запрещена. Использование информации в коммерческих целях запрещено
30-Aug-2000 VX
SU.CM не умерла. Совсем недавно RedArc постил в нее несколько текстов VX-ориентации.
Но сегодня он превзошел самого себя. Он запостил художественное произведение на 500kb в архиве, которое не имеет
отношения к вирмейкингу. А как насчет того, чтобы подумать о бедных фидошниках, качающих по межгороду с модемом 2400 это барахло ?
29-Aug-2000 AV
В сегодняшнем ежедневном апдейте AVP появилось новое семейство - Sniffer.*. Наступление на malware продолжается...
Добавлен первый троян для портативных компьютеров Palm - Trojan.Palm.Liberty, который на самом деле вовсе не троян, а кракерская программа.
25-Aug-2000 AV
Вышел очередной WildList Aug'2000.
В нем произошли лишь незначительные изменения.
25-Aug-2000 VX
Из письма лидера группы VHC (Viral Hazard Crew) ByteSV лидеру группы SMF (Super Malware Force) Duke :
Сейчас ТАКОЙ прикол был ... Короче написал вирус, сижу - смотрю как
вирус уживается. Поксорился он по ключу 05. ну а там ник как раз на
несколько PgDn'ов от текста ComSPEC в ARJ.. смотрю.. думаю глюк..
начал ксорить в CALC.EXE - чуть не упал.. Посмотри ВО ЧТО КСОРИТСЯ
'VHC'(56h,48h,43h) по 05h :-( )
25-Aug-2000 VX
Зарубежные аверы сообщают об обнаружении in-the-wild вируса I-Worm.Pikachu (aka Pokey).
Вирус написан на Visual Basic и имеет размер 32kb. При активизации вирус рассылает себя по адресам адресной книги,
на экране появляется изображение Pikachu - персонажа из японских мультфильмов, и сообщение: "Between millions of people around the world I found you. Don't forget to remember this day every time MY FRIEND."
Письма с вирусом имеют заголовок "Pikachu is your friend."
25-Aug-2000 VX
Януш Миловский из Top Device сменил свой почтовый адрес на [email protected]
24-Aug-2000 VX
Группа Feathered Serpents вовсе не распалась, как мы предполагали.
По сообщению Owl, готовится в течение месяца выпустить свой собственный вирусный журнал Natural Selection #1.
В журнал принимаются только отборные материалы :)
23-Aug-2000 AV
Началом конца было то, что AVP продолжал детектировать NetBus после того, как McAfee перестал это делать.
Теперь же настали черные дни для производителей коммерческого RAT-софта. Начало этому положено: AVP
детектирует под именами Backdoor.RA.* несколько версий коммерческого продукта ценой $20. Кто следующий ?
22-Aug-2000 VX
Снова журнальные новости:
17-Aug-2000 VX
Немного новостей о вирусных журналах :
16-Aug-2000 VX
Новый вариант вируса LoveLetter - I-Worm.LoveLetter.bd обнаружен в диком виде в России.
Вирус выкачивает из интернета и запускает на пораженной машине русского mail-троянца семейства Hooker,
(что так же может указывать на русское происхождение этого вируса).
Подробное описание вируса читайте на сайтах AVP : на английском или на русском языках.
16-Aug-2000 VX
Вирусные новости от VirusBuster'a:
[по материалам www.coderz.net/vtc]
16-Aug-2000 VX
Наконец-то возобновил работу сервер www.coderz.net. Правда, за это время большинство страниц уже переехало на новое
место жительства (трейдерам некогда ждать восстановления работы сервера - им надо трейдить !).
16-Aug-2000 SECURITY
Интересный ресурс интернета - сайт работника прокуратуры, посвященный преступлениям в компьютерной сфере - http://kurgan.unets.ru/~procur/my_page.htm.
На сайте приведено одно обвинительное заключение по делу о воровстве Internet-паролей.
Как видите - материалов по этой теме очень мало, да и приведенный на сайте пример очень коряв и недоказуем.
14-Aug-2000 VX
Сегодня я получил письмо от Lucky2000, в котором он приносит извинения и сообщает о своем уходе со сцены :
От: Lucky2000@Lucky's.World.com (Lucky aka Jerret)
Кому: [email protected]
Дата: Sun, 13 Aug 2000 15:06:12 +0200
Тема: Hallo Duke ! Hello Duke !
Below is the result of your feedback form. It was submitted by Lucky aka Jerret
(Lucky2000@Lucky's.World.com) on Sunday, August 13, 19100 at 15:06:12
---------------------------------------------------------------------------
submit: GO
body: Sorry, for the Last everything. I leave the Scene.
Bye Lucky2000
---------------------------------------------------------------------------
Так на вирусной сцене стало одним риппером меньше. Одна битва выйграна :-)
12-Aug-2000 SECURITY
По сообщению farm9, в последнее время увеличился сетевой траффик с машин под управлением
Windows98 н адреса 194.87.6.X . Служба безопасности считает, что этот траффик создается неизвестным трояном,
и предлагает блокировать любой входящий/исходящий траффик на эти адреса.
Как я выяснил, эти адреcа принадлежат dail-up провайдеру Demos (www.demos.net, www.dol.ru).
12-Aug-2000 AV
Плюхи от AVP:
11-Aug-2000 AV
В сегодняшнем еженедельном апдейте AVP добавлена поддержка SMT-Protect - криптора для PE-файлов by SMT/SMF,
а также ложное срабатывание на вирус Win32.Ultratt.8152 в текстовом файле (статья 22 из журнала DVL #5).
10-Aug-2000 VX
В сети EFNet открылся канал #coders.ru, который предназначен для общения русскоязычных вирмейкеров.
09-Aug-2000 VX
В ФИДО появилась новая конференция RU.TROJAN в которой будут обсуждаться создание троянов и борьба с ними.
Модератором является автор трояна Donald Dick ;) Кстати, полным ходом идет подготовка Donald Dick 2,
одной из особенностей которого будет возможность подключения плагинов.
09-Aug-2000 AV
Новость с сайта Top Device :
Вышел диск AntiXakep 2000 на котором среди кучи разных анитирусов я нашел AV Дюка, типа киллер BAT вирусов...
09-Aug-2000 VX
VirusBuster выпустил новую версию утилиты VirSort2000 v8.82. Скачивайте здесь
07-Aug-2000 SECURITY
По сообщению The SANS Institute за первый квартал 2000 года 46%
"злонамеренного" сетевого трафика в Интернет происходило от компьютеров,
расположенных в США. Следующие "призовые места" - 11% Канада и 8% Россия.
04-Aug-2000 AV
Вышел третий апдейт для DrWeb 4.20, добавлено много Win32-вирусов.
04-Aug-2000 AV
Вышла новая версия антивирусной энциклопедии AVP. Скачивайте с www.avp.ch (3.5mb).
04-Aug-2000 AV
В конференции AVP.SUPPORT один из разработчиков AVP подтвердил наличие в базах AVP сигнатур, исправляющих
ложные срабатывания эвристика, т.е. записей о заведомо чистых файлах. Вообще забавно почитать про то, как "в друзьях согласья нет" :
один из разработчиков отказывается говорить о наличии/отсутствии таких записей и ссылается на "ной-хау", а другой раскрывает это самое "ноу" ;-))
- [18] AVP.SUPPORT (2:xxxx/xx.xx) -------------------------------- AVP.SUPPORT -
Msg : 194 of 270
From : Alexey Shamrin 2:5031/24.3 Wed 02 Aug 00 11:39
To : All
Subj : Эвристик (анализатор кода)
--------------------------------------------------------------------------------
Привет, All!
Ситуация: эвристический анализатор кода AVP срабатывает на обыкновенном
файле, не зараженном вирусом. Пользователь отправляет этот файл в Лабораторию
Касперского. Загрузив следующий апдейт, пользователь обнаруживает, что теперь
этот файл чист...
Вопрос: неужели в Лаборатории просто добавили сигнатуру этого файла в базу,
чтобы в следующий раз эвристик его пропустил? А ведь база и без того не
маленькая...
Короче, есть ли в базе AVP раздел, где хранятся записи о заведомо чистых
файлах?
Алексей
--- GoldED+/W32 1.1.4.3
* Origin: Hа улице лето! УРА! (2:5031/24.3)
- [18] AVP.SUPPORT (2:xxxx/xx.xx) -------------------------------- AVP.SUPPORT -
Msg : 210 of 270
From : Andy Nikishin 2:5031/26.5 Fri 04 Aug 00 11:27
To : Alexey Shamrin
Subj : Эвристик (анализатор кода)
--------------------------------------------------------------------------------
. Пpивет тебе Alexey! Здоровеньки булы. .
Сижу никого не трогаю (на дворе Пятница Август 04 2000) и вижу:
Alexey Shamrin пишет (Среда Август 02 2000) к All:
AS> Ситуация: эвристический анализатор кода AVP срабатывает на
AS> обыкновенном файле, не зараженном вирусом. Пользователь отправляет
AS> этот файл в Лабораторию Касперского. Загрузив следующий апдейт,
AS> пользователь обнаруживает, что теперь
AS> этот файл чист...
Все правильно. Hекоторые эвристик обновляют для этого.
AS> Вопрос: неужели в Лаборатории просто добавили сигнатуру этого
AS> файла в базу, чтобы в следующий раз эвристик его пропустил? А ведь
AS> база и без того не маленькая...
AS> Короче, есть ли в базе AVP раздел, где хранятся записи о заведомо
AS> чистых файлах?
Встречный вопрос -- а зачем это тебе надо знать? Это Know-How продукта и тебе
об этом никто не расскажет.
Всего тебе, Alexey...,
Andy Nikishin
MCPS Win 3.x, Win'95 [AVP Team] [http://www.avp.ru]
... Let The Force Be With U
--- God made men, Smith'n'Wesson made them Equal
* Origin: I Love Microsoft :) (Fidonet 2:5031/26.5)
- [18] AVP.SUPPORT (2:xxxx/xx.xx) -------------------------------- AVP.SUPPORT -
Msg : 220 of 270
From : Valentin Kolesnikov 2:5020/156 Fri 04 Aug 00 13:00
To : Alexey Shamrin
Subj : Эвристик (анализатор кода)
--------------------------------------------------------------------------------
Hi, Alexey!
Сpд Авг 02 2000, Alexey Shamrin -> All:
AS> Привет, All!
AS>
AS> Ситуация: эвристический анализатор кода AVP срабатывает на
AS> обыкновенном файле, не зараженном вирусом. Пользователь отправляет этот
AS> файл в Лабораторию Касперского. Загрузив следующий апдейт, пользователь
AS> обнаруживает, что теперь этот файл чист...
AS> Вопрос: неужели в Лаборатории просто добавили сигнатуру этого файла
AS> в базу, чтобы в следующий раз эвристик его пропустил? А ведь база и без
AS> того не маленькая...
AS> Короче, есть ли в базе AVP раздел, где хранятся записи о заведомо
AS> чистых файлах?
Есть такие записи. Как раз для исправления ложных срабатываний эвристика.
Valentin
--- GoldED/W32 3.00.Beta4+
* Origin: Avp BBS 095-948-6333 V34 24h (2:5020/156)
03-Aug-2000 VX
В Норвегии создана новая вирусная группа Red Elephant. В нее вошли DrCopy, flux, toro, xacco.
Сайт у группы пока отсутствует.
[по материалам http://virus.cyberspace.sk]
02-Aug-2000 VX
Журнал Top Device теперь находится под опекой ULTRAS'а, по причине отъезда Яна.
02-Aug-2000 VX
Сегодня официально открылся (или "открылся официальный" :)) сайт русской VX-группы Misdirected Youth по адресу http://myallstar.cjb.net.
02-Aug-2000 SECURITY
DVD Copy Control Assotiation (CCA) обвинила уже более 500 человек по делу о
распространении программы DeCSS (программы взлома защиты DVD дисков), среди которых
более 80 человек - владельцы сайтов, разместившие DeCSS. Теперь к этому числу прибавился
Стив Блад, основатель компании CopyLeft,
распростроняющий трикотажные майки с рисунком в виде исходного кода этой программы.
01-Aug-2000 AV
Диалог-Наука сообщила о выходе исправленных версий программы DrWeb 4.20.
В Win32-версии исправлена ошибка тестирования сложных файлов Microsoft Access и добавлена HLL-эвристика.
В DOS-версии исправлено зацикливание при тестировании файла WDMMDMLD.VXD из комплекта Windows 98.
01-Aug-2000 VX
В Чехии проходит международный вирмейкерский съезд.
01-Aug-2000 VX
[K]Alamar провел изучение семейства I-Worm.Lee.*, и пришел к выводу, что все вирусы созданы с помощью его конструктора VBS Worm Generator и никакой заслуги Lee в этом нет.
К чему это я? А к тому, что месяц назад в онлайновых новостях журнала Asterix ламер Lee был назван новой "звездой" немецкой вирусной сцены ;-)))
Встречают по одежке...
31-Jul-2000 AV
Июльский номер компьютерного журнала "Подводная Лодка" опубликовал тесты бесплатных антивирусных программ, среди которых буржуйские
InoculateIT (http://antivirus.cai.com), F-Stopw (http://www.complex.is),
а также совковые разработки AVTrojan (http://www.trojan.ru), The Nick's Chost Buster (http://members.tripod.com/~NGBuster) и Stop! (http://dizet.com.ua).
Коротко об этих программах : InoculateIT - сканер, F-Protw - антивирусный монитор из пакета F-Prot,
AVTrojan - сканер для троянов, NGBuster - ревизор для Win, Stop! - сканер.
На последней программе хотелось бы остановиться более подробно. Этот антивирус написан бывшим вирусописателем, он детктирует около 400 троянов и 200 BAT/VBS вирусов, а также занимается их эвристическим определением.
Хех, а я теперь понял, откуда RedArc драл аверские новости для журнала Top Device - все они взяты с сайта Dizet AV Labs (см. антивирус Stop!). Или, может быть, не драл, а поставлял и вашим, и нашим ? Ну да это только буйные фантазии моего героинового мозга, а то еще RedArc снова на меня обидится, и пиши потом "официальные письма"...
31-Jul-2000 VX
С 1 августа FRiZER уходит служить в армию. Удачи !
31-Jul-2000 VX
По причине неработоспособности сервера www.coderz.net, сайт журнала Top Device теперь доступен по новым адресам - http://topd.tsx.org или http://topd.cjb.net.
Обновите свои bookmarks !
30-Jul-2000 SECURITY
В эти дни в Лас-Вегасе проходит очередной ежегодный международный съезд хакеров DEF CON 8 (или, как его называют, DEF CON 00).
Все ждут презентации очередного Back Orifice, но на официальном сайте съезда (http://www.defcon.org) пока нет никаких новостей.
Среди вирусно-ориентированных докладов имеется доклад Sarah Gordon (которая запомнилась зрителям по интервью с Rhape79) на тему
"Virus Writers: The End of The Innocence".
30-Jul-2000 VX
Black Cat выпустил новую версию Virus Sorter New Generation v1.5
30-Jul-2000 VX
Trend Micro сообщает о появлении нового вируса под названием GHOSTDOG2, однако в "диком виде" он пока не замечен. Это вирус, написанный на языке Visual Basic, заражает выполняемые файлы Windows (PE EXE-файлы), при этом он записывается в начало файлов. В инфицированном файле можно найти строчку [email protected].
Created for Duke/SMF by [email protected]
Вирус не совершает никаких деструктивных действий: не изменяет значение ключей системного реестра, не записывает своих "дропперов", а занимается только саморазмножением.
Новость, присланная RedArc'ом :
PE_GHOSTDOG2: безобидное привидение
Вирус инфицирует файлы в текущей директории (из которой он был выполнен), а также на диске a:\. Вирус не проверяет файлы на предмет заражения, а значит может инфицировать один и тот же файл неоднократно.
Если зараженный файл содержит в последнем байте "31h" или "1", то вирус меняет его иконку
После исполнения инфицированного файла вирус выводит на дисплей два следующих сообщения с заголовком "GhostDog2":
Any Thx: SMF ,Erasmus, Fringer, Ultras, Zulu
30-Jul-2000 VX
[K]Alamar выпустил новую версию конструктора интернет-червей VBS Worm Generator v1.5.
29-Jul-2000 AV
Я нашел новый баг в AVP for DOS32 build 133. Эта прога при работе в период 0:00-1:00
вместо распаковки упакованных исполнимых файлов говорит "I/O error" ;-)))) (а прошлый билд вообще зависал на этом ;-)
28-Jul-2000 AV
Вышел еженедельный апдейт AVP. Помимо особенностей, перечисленных чуть ранее, в апдейте скрыто много багов.
Главный баг - добавлена масса "junk signatures" (напомню для тех, кто не помнит - это название я дал записям присутствующим в антивирусной базе,
которые ни разу не будут востребованы при детектировании вирусов). Позволю себе процитировать файл UP000728.TXT :
AVP 3.0 Weekly Update for DOS, Win 3.xx, Win9x, NT, OS/2, Novell, Linux
--------------------- ---------------------------------------------
To update your AVP 3.0 you should copy AVC database and AVP.SET file to AVP
3.0 directory. The records in anti-virus database are:
Viruses:
Apocalipse.810, Aznar.667, BAT.Abm.a, BAT.Ataris.a, BAT.Ataris.b,
BAT.Ataris.c, BAT.Ataris.d, BAT.Ataris.e, BAT.Ataris.f, BAT.Black,
BAT.Life.1066, BAT.Silly.60, BAT.Win.1434, BAT.Winrip.444,
Backdoor.AcidShiver.504, Backdoor.AcidShiver.Kor, Backdoor.AudioCat,
Backdoor.AudioCat.server, Backdoor.BLA.40, Backdoor.BLA.503.client,
Backdoor.BLA.51.b, Backdoor.BLA.loader, Backdoor.BLA.server,
Backdoor.BO2K.e, Backdoor.BackEnd.5, Backdoor.BackEnd.60,
Backdoor.BaronNight.10, Backdoor.BaronNight.20, Backdoor.Bionet.22.b,
Backdoor.Chubo, Backdoor.CrazzyNet.370.client,
Backdoor.CrazzyNet.370.server, Backdoor.CrazzyNet.371.client,
Backdoor.CrazzyNet.371.server, Backdoor.DCI.12.client,
Backdoor.DCI.12.server, Backdoor.DP.25, Backdoor.DarkFtp.14,
Backdoor.Death.20, Backdoor.Indexer.b, Backdoor.IniKiller.32.client,
Backdoor.IniKiller.32.server, Backdoor.Mos.11, Backdoor.Netrojan,
Backdoor.Nirvana.20a.server, Backdoor.Oracle,
Backdoor.PCInvader.07.client, Backdoor.PCInvader.07.server,
Backdoor.Phantom.20, Backdoor.Porkodio, Backdoor.Prosiak.070.b,
Backdoor.Psychward.client, Backdoor.Quimera, Backdoor.RA.client,
Backdoor.RA.server, Backdoor.RAT.234, Backdoor.RUX.client,
Backdoor.RUX.server, Backdoor.Rathead.b, Backdoor.RemoteHack.11,
Backdoor.RemoteShut.14, Backdoor.RemoteStorm.12, Backdoor.Rootbeer,
Backdoor.Sepro.c, Backdoor.Slinger, Backdoor.Snipernet.22,
Backdoor.Splitter, Backdoor.Swift.106.client,
Backdoor.Swift.106.server, Backdoor.Thing.16.client,
Backdoor.Thing.16.server, Backdoor.WinControl.133,
Backdoor.Y3KRat.10, Bombole.511, Carnage.621, Constructor.SSIWG,
Cruncher.3955.b, Deadly.366, Death.638, Dolphin.594, Dynamics.1400,
Eicar.323, Flooder.IWD, Freedom.948.b, GenDropper.ABM.10,
Generator.SennaSpy, Genesis.226, Guinness.825, Guinness.855,
HLL.Crazy.a, HLL.Crazy.b, HLL.Crazy.c, HLLC.5000.c, HLLC.5696,
HLLC.5968, HLLP.7200, HLLP.Erot.5718, HLLP.Erot.5991, HLLP.Wolf.5088,
HLLW.Readme, Hoax.DKill, I-Worm.Lee, I-Worm.LoveLetter,
I-Worm.LoveLetter.ba, I-Worm.LoveLetter.bb, I-Worm.Lucky.b,
I-Worm.Scrapworm, IRC-Worm.Buffy, Invader.Plastique, JS.Joke.Blinker,
JS.ShareNT, Joke.Win32.FakeDel.b, KOV.Eddy.1444, Leen.782,
Macro.Excel.Laroux.nj, Macro.Excel97.Ksg, Macro.Excel97.Tracker.p,
Macro.Excel97.Yawn.b, Macro.Excel97.Yawn.c, Macro.Lee.k, Macro.Lee.l,
Macro.Mbop.d, Macro.Office.Codemas, Macro.Office.Hopper.y,
Macro.Office.Linda, Macro.Office.Weete, Macro.Project.Tuna,
Macro.Word97.Antisocial.n, Macro.Word97.Antisocial.p,
Macro.Word97.Bablas.ae, Macro.Word97.Blink.b, Macro.Word97.Blockout,
Macro.Word97.Bobo.d, Macro.Word97.Class.es, Macro.Word97.Cloud.b,
Macro.Word97.Concept.dq, Macro.Word97.Effect, Macro.Word97.Ethan.dg,
Macro.Word97.Ethan.dh, Macro.Word97.FF.e, Macro.Word97.Fool.g,
Macro.Word97.Fool.h, Macro.Word97.Gargle, Macro.Word97.IIS.v,
Macro.Word97.Marker.ek, Macro.Word97.Marker.ep, Macro.Word97.Mbop.c,
Macro.Word97.Mbop.d, Macro.Word97.Mbop.e, Macro.Word97.Melissa.bg,
Macro.Word97.Pip.f, Macro.Word97.Proverb.k, Macro.Word97.Redden.d,
Macro.Word97.Replog.b, Macro.Word97.Ryplay, Macro.Word97.Siechle,
Macro.Word97.Smac.h, Macro.Word97.Story.t, Macro.Word97.Thus-based,
Macro.Word97.Thus.am, Macro.Word97.Trojan.Melt, Marina.1300, Mif.460,
Nuker.DccFuker.12, Nuker.IGMPNuke, Nuker.NNKiller, Nuker.NuKe.23,
Nuker.NukeAttack, Nuker.Panther, Nuker.Pnuke.11, Nuker.WNewk.102,
Nuker.WinNuke, PS-MPC.323, PS-MPC.Ear.1024.d, ReplayII.670,
ReplayII.684, Sailor.Pluto.3741, SillyC.205, SillyC.222,
SillyC.226.b, SillyC.232.b, SillyC.308, SillyO.242, SillyO.243,
SillyO.285, SillyO.286, SillyO.496.a, SillyO.496.b, SillyO.498,
SillyO.516, SillyO.520, SillyO.587.a, SillyO.587.b, SillyO.589,
SillyOC.88.c, SillyOE.1094, SillyOE.691, Simbioz.281,
Spamer.AnonMail, Spamer.Euthanasia.152, Spamer.NMB, Spamer.QuickFyre,
Spamer.Uy.40, Spamer.Winam, Terronia.2480, Tiny.265, Tricks.256.f,
Trivial.57.e, Trivial.69.b, Trojan.AOL.Grabber, Trojan.AOL.Hinweis,
Trojan.AOL.Prudentor, Trojan.BAT.FormatC.d, Trojan.BAT.MkDirs.a,
Trojan.BAT.MkDirs.b, Trojan.BAT.MkDirs.c, Trojan.Bat2Exec.DelWindows,
Trojan.FormatDisks, Trojan.IRC.Krni386, Trojan.IRC.Noob.31,
Trojan.IntraSpy.server, Trojan.New2001, Trojan.PSW.Atomic,
Trojan.PSW.Barrio.40, Trojan.PSW.Gip.110.c, Trojan.PSW.IDI,
Trojan.PSW.Jammer.a, Trojan.PSW.Jammer.b, Trojan.PSW.Kaylo,
Trojan.PSW.Lox.a, Trojan.PSW.Lox.b, Trojan.PSW.Lox.c,
Trojan.PSW.Netsec, Trojan.PSW.Platan.5.a, Trojan.PSW.Platan.5.b,
Trojan.PSW.Platan.5.c, Trojan.PSW.Platan.5.d, Trojan.PSW.Pricol,
Trojan.PSW.Vingrad, Trojan.PSW.Vingrad.b, Trojan.Tag,
Trojan.Win32.HLS, Trojan.Win32.PowerLoader,
Trojan.Win32.Runner.Joiner.m, Trojan.Win32.S7Regenerator,
Trojan.Win32.Sole, Trojan.Win32.TrojanRunner.Traeger,
Trojan.Win32.TrojanRunner.Traeger.config, Twin.351.c, V.323, V.563,
VBS.Bulbasaur, VBS.Exper.b, VBS.Feel, VBS.GWV.c, VBS.Small,
VBS.Trojan.Lowjo, Vanitas.3712.c, Vrag.388, Whiplash.4829,
Win32.Wolf.a, Win32.Wolf.b, Win95.Rinim.480, Wind.145, Wind.155.a,
Wind.155.b, Worf.636
Heuristics recods:
Type_BAT
А теперь пояснительная "легенда":
Так же замечено, что от стаи Nuker'ов отбились Trojan.Win.Nuker.EwK, Trojan.Win32.Chico и некоторые другие.
28-Jul-2000 VX
Вот уже два дня в нерабочем состоянии находятся VX-ориентированные сервера www.coderz.net и www.ultimatechaos.org.
Приблизительно через неделю состоится очередной международный съезд вирмейкеров. Представителей ex-USSR не будет, зато будут две девушки ;-)
27-Jul-2000 SECURITY
Именем "SpyWare" стали называть программы, которые в тайне от пользователя передают
автору информацию о пользователе. К таким программам относятся RealNetworks RealDownload, Netscape/AOL Smart Download и NetZip Download Demon (все эти программы предназначены для скачивания файлов).
К примеру, RealNetworks RealDownload сообщает автору не только скачиваемый вами URL, но и Windows GUID (уникальный идентификатор, содержащий MAC адрес).
Разоблачению подобных программ посвящена страничка, которую я рекомендую вам посетить.
26-Jul-2000 AV
Как известно, DrWeb и AVP, два лидера на российском рынке производителей AV и извечные конкуренты.
Стоило 14 июля разработчикам DrWeb включить в свой антивирус некое подобие BAT-эвристики, как последовал ответный удар.
В сегодняшнем ежедневном апдейте AVP появилась эвристическая запись Type_BAT. Ну чтож, хочу поздравить обе компании с тем,
что они уделили внимание и BAT-эвристике (я год назад написал собственный BAT-эвристик, NOD сделал это еще 2 года назад... недаром Россию называют отсталой страной....)
25-Jul-2000 SECURITY
ФБР продемонстрировало работу своего проекта Carnivore - программы для отслеживания e-mail.
Подробности читайте здесь или здесь.
24-Jul-2000 VX
Сегодня известный ламер Lucky2000 (aka LUCKY B.R.D. aka Lee aka Pingu2000 aka Jerret Black aka Karen Hill)
объявил войну группе SMF. Сделал он это довольно оригинально, написав письмо в вирусную конференцию с адреса [email protected]
(для тех кто не знает - это адрес Евгения Касперского. Все свои rip'нутые вирусы ламер Lucky2000 посылал именно на этот адрес.
Интересно, а как Касперский относится к тому, что от его имении рассылают спам? ).
Впоследствии он наехал и на Evul'а ;-) Теперь этот ламер начал распространять вирусы, которые якобы написал я.
Заявляю, что никакого отношения к этим вирусам я не имею, я вирусы не распространяю.
Причиной, по которой этот ламер объявил нам войну, стало то, что я поведал широким массам о том, что этот ламер занимается rip'аньем вирусов, а Evul отказался хостить его сайт.
Вспоминается история начала января, когда вышеупомянутый ламер запустил в Интернет очень деструктивного интернет-червя, который по его замыслу ставил страницей по умолчанию в IE ссылку на сайт группы SMF. Сейчас история повторяется, но на этот раз другой (?) вирусописатель делает в своем VBS-вирусе ссылку на сайт Asterix. Хозяин сайта, mgl, попросил больше не оказывать таких медвежьих услуг.
На эту тему почитайте статью SnakeByte из журнала Kefrens #1.
22-Jul-2000 AV
По сообщению Романа Зайцева, новая версия DrWeb называет свой собственный файл VIRLIST.DWB не иначе как SCRIPT.BATCH.Virus.
Выпендрились, называется, с бат-эвристикой...
22-Jul-2000 AV
Вышел очередной WildList Jul'2000.
Это издание позволяет заткнуть глотки тем, кто направо и налево кричит о том, что "дос мертв", "макро вирусы - ламерство" и прочий бред.
Статистика простая - содержание вирусов по классам (глобальные эпидемии/локальные эпидемии):
Макро на коне....
22-Jul-2000 VX
На сайте On-Line журнала Top Device появились следующие новости :
Вышел DVL#10. Журнал неплохой. Правда много стандартного материала от trial member'ов SMF. Так же очень мало статей (в моем понимании этого слова) - в основном исходники вирусов, практически без комментариев и даже без ТТХ вирусов. И еще утверждение насчет единственного "переодического" VX журнала на нашей сцене по-моему излишне категорично.
Стоит сделать несколько замечаний к этому сообщению :
1) Если автор этой новости укажет мне ХОТЯ БЫ ДВУХ trial member'ов, статьи/вирусы которых размещены в DVL #10,
то я готов съесть свою шляпу ;-)) В противном случае жду опровержения в том же журнале, где было опубликовано вышепроцитированное.
[по состоянию на середину августа опровержение так и не последовало]
2) Статьи публикуются в том виде, в котором они присланы (редактор не пишет описаний или комментариев к исходным текстам)
3) Когда говорилось о "переодических" изданиях имелись в виду НЕ-онлайновые журналы, выходящие чаще двух раз в год
21-Jul-2000 VX
Вышел долгожданный журнал DVL #10.
21-Jul-2000 AV
Очередной апдейт AVP. И снова появление нового семейства - Tools.*.
20-Jul-2000 AV
Сегодня вышел на день припозднившийся кумулятивный апдейт AVP. Столь скорый выход кумулятива вызван массовыми ошибками в антивирусных базах.
Причем он втихаря появился на avp.ch, а уже через день - на avp.ru. Небольшой обзор изменений :
А вот и ложка дегтя в бочке меда (куда ж без нее!) :
Сделана череда переименований :
18-Jul-2000 VX
Сегодня в сети появился вирус Autocad2k/Star - первый в мире вирус для системы автоматического проектирования AutoCad.
Автор вируса - некто AntiState_Tortoise.
Размер вируса тоже внушает уважение - всего 568 байт кода на Visual Basic.
По заявлению Лаборатории Касперского, вирус содержит много ошибок, в дикой природе не обнаружен и вряд ли когда будет обнаружен.
Но, на мой взгляд, этот вирус лишь первая ласточка в череде вирусов для новой платформы.
По словам Касперского, уже более 100 компаний лицензировали у MicroSoft ядро VBA, поэтому десятки программ станут потенциальными убежищами новых вирусов.
Вирус детектируется AVP под именем Macro.Acad.Star.
18-Jul-2000 AV
Из достоверных источников стало известно, что AVP планирует в среду (19.07) выпуск кумулятива.
17-Jul-2000 VX
Российские спецслужбы преследуют вирусописателя SST по статье 273 (создание и распространение опасных программ).
Но он не отчаивается и не падает духом. Если вы хотите общаться с ним, то используйте при переписке PGP.
Его PGP ключ скачивайте здесь.
17-Jul-2000 VX
Raenius покинул трейдинг.
17-Jul-2000 HACK
14 июля вышла в свет новая версия утилиты для удаленного администрирования Win95/98/NT ShutAll v2.1 от Hard Wisdom.
Как написал автор в прилагающейся к программе записке :
Как сказал кто-то из великих - глупость это большое благо, но не стоит им злоупотреблять. Это я по поводу того, что старые версии программы детектируются AVP как троянская лошадь. Хгм. К черту AVP и тех идиотов, кто попался на их (AVP team) удочку.Но уже сегодня программа AVP стала детектировать эту утилиту под именем Backdoor.Shutall.21.
14-Jul-2000 AV
Нежданно-негаданно выпущен DrWeb v4.20 (напомню, что предыдущей версией была версия 4.17). Официальное сообщение о выходе новой версии появится в официальной FIDO-конференции поддержки только 20 июля...
Что же нового в этой версии ?
14-Jul-2000 AV
Среди пользователей AVP изредка да попадаются здравомыслящие люди :
- [18] AVP.SUPPORT (2:xxxx/xx.xx) -------------------------------- AVP.SUPPORT -
Msg : 205 of 210
From : Ivan Sintyurin 2:5020/278.22 14 Jul 00 17:03:00
To : Andy Nikishin
Subj : Энциклопедия тpебyется.
--------------------------------------------------------------------------------
Привет, Andy!
14 июля 2000 года (а было тогда 15:04)
Andy Nikishin в своем письме к Ivan Sintyurin писал:
IS>> Для _шуток_. А мы говорим о другом классе программ - они не
IS>> являются шутками и могут принести вред.
AN> Тогда это Троянцы. Hиже приведено определение трояна из нашей вирус
AN> энциклопедии.
AN> К троянским коням относятся программы, наносящие какие-либо
AN> разрушительные действия, т.е. в зависимости от каких-либо условий или
AN> при каждом запуске уничтожающая информацию на дисках, "завешивающая"
AN> систему и т.п.
Вот, сам же себе и противоречишь :)
Hарод, у кого-нибудь hookdump уничтожал информацию? :)
AN> Теоретически все malware подходит под определение трояна. backdoor,
AN> PSW etc введено скорее для пользователя, чем для AV аналитика.
Чукча не писатель, чукча читатель (это я про себя :), поэтому он хочет, чтобы
как-то можно было _отличить_ программу, которая _обязательно_ похерит все на
дисках или с удовольствием отошлет куда-нибудь пароли, от той, которая
_только теоретически_ может быть использована против тебя, не делающая никаких
деструктивных и иных действий. Такое разграничение сложно сделать?
Best regards,
Ivan. ICQ #56376161 / spinoza(at)mail.ru [ FAR group ]
http://www.moris.ru/~spinoza
---
* Origin: (2:5020/278.22)
14-Jul-2000 AV
Вышел еженедельный апдейт AVP. Провожу разбор полетов :-)
13-Jul-2000 AV
Написал письмо в McAfee с требование прекратить детектировать мою антивирусную страницу как вирус. Ждем ответа.
12-Jul-2000 AV
Два письма о мыслях аверов по поводу добавления malware в антивирусные базы.
- [18] AVP.SUPPORT (2:xxxx/xx.xx) -------------------------------- AVP.SUPPORT -
Msg : 179 of 189
From : Andy Nikishin 2:5031/26.5 Wed 12 Jul 00 10:58
To : Alexei Duzhiy
Subj : Энциклопедия тpебyется.
--------------------------------------------------------------------------------
. Пpивет тебе Alexei! Здоровеньки булы. .
Сижу никого не трогаю (на дворе Среда Июль 12 2000) и вижу:
Alexei Duzhiy пишет (Вторник Июль 11 2000) к Sergey S Bogukovsky:
SSB>> Это просто нюкер. Для владельца он никаких опасностей не
SSB>> представляет.
AD> Чего ж его тогда AVP тpояном обзывает, а? И не его одного:
AD> trojan.exploitgenerator напpимеp, тоже. Вот я и не знаю, толи он на
Потому как есть термин malware, что-то типа "вредное програмное обеспечение".
Все нюкеры, exploit генераторы и пр как раз и есть malware, а их надо детектить.
Всего тебе, Alexei...,
Andy Nikishin
MCPS Win 3.x, Win'95 [AVP Team] [http://www.avp.ru]
... Хочешь завести друзей - заведи их подальше. Иван Сусанин.
--- Old good Gold Duude 3.00.Beta3+
* Origin: Пишите письма мелким почерком на (Fidonet 2:5031/26.5)
- [18] AVP.SUPPORT (2:xxxx/xx.xx) -------------------------------- AVP.SUPPORT -
Msg : 190 of 198
From : Andy Nikishin 2:5031/26.5 13 Jul 00 10:53:00
To : Alexei Duzhiy
Subj : Энциклопедия тpебyется.
--------------------------------------------------------------------------------
. Пpивет тебе Alexei! Здоровеньки булы. .
Сижу никого не трогаю (на дворе Четверг Июль 13 2000) и вижу:
Alexei Duzhiy пишет (Среда Июль 12 2000) к Andy Nikishin:
AD> Hадо также указывать что именно в пpогpамме плохого: или она на
AD> локальном компе винт отфоpматиpует, или удаленный завесит/взломает.
AD> Т.е. Должны быть отличитнльные пpизнаки в обозначениях тpоянов и
AD> "malware".
Есть такое -- BackDoor.*, Nuker.*, Flooder.*, Trojan.PSW.* В дальнейшем
планируется изменить в сторону улучшения.
Всего тебе, Alexei...,
Andy Nikishin
MCPS Win 3.x, Win'95 [AVP Team] [http://www.avp.ru]
... Мы все рождаемся мокрые, голые и голодные. И это только начало.
--- Hе ходите дети в школу, пейте дети Coca-Cola (3.00.Beta3+ литров в день)
* Origin: I Love Microsoft :) (Fidonet 2:5031/26.5)
11-Jul-2000 AV
По некоторым данным, программа AVP Inspector содержит ошибку в процедуре проверки зарегистрированности программы.
Если установить год больше 2005, то программа становится зарегистрированной независимо от наличия легального ключа.
[submited by Phage]
11-Jul-2000 VX
10-Jul-2000 HACK
В сегодняшнем ежедневном апдейте AVP стал детектировать вирус Trojan.Win32.S7Regenerator.
Из описания к этому файлу следует, что это утилита (v2.0) для криптования сервера RAT SubSeven,
чтобы он не детектировался антивирусами (проще говоря, loader).
Заставить его работать мне не удалось. Зато я выяснил, что на самом деле это ни что иное, как самый обыкновенный троян (именно троян, а не хакерская утилита).
Троянец убирает все иконки с десктопа, насколько возможно урезает права текущего пользователя, прячет пункты "Завершение работы" и "Выполнить" в главном меню,
запрещает перезагрузку компьютера. Все эти эффекты достигаются путем изменения реестра.
При включении компьютера выдается предупреждающее окошко:
<<< Xal Naga was here once again ...... >>>
The owner of this computer uses Subseven 1.9/Apocalypse/2.0 Remote Administrating Tool [Trojan]. So please do not accept any of his/her files in future.
Автором этого безобразия является некто Xal Naga, написано на Delphi 3. Рекомендую всем воздержаться от запуска этого троянца ;) А уж если запустили, то скачайте написанную мной заплатку, которая удалит следы его деятельности.
10-Jul-2000 VX
09-Jul-2000 AV
В журнале Windows2000 Евгений Касперский в соавторстве с еще одним авером написал статью о будущем Win32 вирусов. Английскую версию читайте здесь.
07-Jul-2000 AV
В очередном апдейте AVP добавлены вирусы Linux.Staog и HLLW.DPVG.5360 (если они у кого имеются - прошу кинуть мылом на [email protected]),
а также семейство хакерских утилит Spamer.*
Кстати, не так давно я писал о том, что F-Prot можно запускать с двух дискет (на одной - программа, на другой - базы). Так вот, теперь ее уже нельзя запускать с двух дискет 1.44Mb, так как размер баз перевалил за 1.46Mb ;-)))
06-Jul-2000 AV
Вышла новая версия AVP DOS32 build 133. Исправлены некоторые ошибки :
Как обычно, добавлены новые баги :
03-Jul-2000 VX
Вирусные новости одной строкой :
01-Jul-2000 AV
Мной замечено, что кумулятивный апдейт AVP не полностью совместим с AVP DOS32 build 132 : перестали детектировалться бутовые вирусы Hiwaga, Lilith, Natas, Nice, Qrry, TPVO-01 и некоторые другие.
Также из кумулятива были удалено детектирование макро вирусов Macro.Word.Fassist и Macro.Word.ScanProt.
Вирусы, принадлежащие одним семействам, но носящие разные имена в базах AVP :
30-Jun-2000 AV
Вышел новый еженедельный апдейт AVP. Который стал очередной вехой в антивирусном сумасшедствии...
Теперь AVP фактически призналась, что помимо вирусов стала детектировать хакерские утилиты (разное малваре). Вот вам реальные примеры новых семейств :
18-Jun-2000 VX
Знаете как ваши вирусы попадают на стол к аверам ? А вот так :
From: "Karen Hцll" [email protected]
Reply-To: [email protected]
To: [email protected], [email protected], [email protected], [email protected],
[email protected], [email protected]
Subject: {V-L} Warnings !
Date: Sun, 18 Jun 2000 01:23:20 GMT
Sorry, for Mail....
In this attachment are a New Vireus !!!
IT's proudly a Production from Lucky2000 !!!
Any Question are:
Are Infected W97/VBS-Mail with Outlook,,voll Funktion with the New Update
from Microsoft, HTML and is Polymorphic too.....
Sincerly Karen
________________________________________________________________________
Get Your Private, Free E-mail from MSN Hotmail at http://www.hotmail.com
(в роли отправителя письма - Lucky2000, побеждающий в нашей номанации "ЛАМЕР ГОДА").
Между прочим, этот вирус ни что иное как RIP вируса Macro.Word97.Evolution.b by Error !!!
18-Jun-2000
Обзор последних новостей AV/VX сцены одной строкой (если это можно так назвать ;)) Вот, что творилось за рубежом :
А вот новости с русcких полей :
Небольшая статистика из баз AVP :
| Date of AVP update | Total records | Viral records | Malware records | Total names | Viral names | Malware names |
|---|---|---|---|---|---|---|
| 000602 | 173 | 113 | 60 | 129 | 85 | 44 |
| 000609 | 258 | 124 | 134 | 191 | 91 | 100 |
| 000616 | 237 | 91 | 146 | 176 | 70 | 106 |
10-Jun-2000 AV
Вышел апдейт AVP. Детектят два десятка плагинов для Back Orifice 2K. Один из ButtTrumpet 2K детектится как Butt, а другой - как Trumpet.b.
Воистину - правая рука не ведает, что творит левая...
Вирусы с именами Hail.998 & HKill.997 - не что иное, как клоны одного и того же вируса.
Поэтому команда AVP побеждает в номинации "БЕЗ ЦАРЯ В ГОЛОВЕ".
01-Jun-2000 AV
В дневном апдейте AVP добрался до журналов G9N #1 и Creatures. Как обычно, вирусы отклонированы...
30-May-2000 VX
Вышел давно обещанный журнал G9N #1. Из русских кодеров в его создании поучаствовали ULTRAS и Duke/SMF, из зарубежных - The Spy (редактор журнала), Zulu & SimpleSimon (они презентовали первый в мире SHS-вирус, интернет червь), BrainMuscle & OldWary & Kalamar.
Как обычно, ULTRAS предоставил журналу разработки, ранее опубликованные в других журналах (VBS.Nazburg & I-Worm.Android ранее публиковались в Top Device).
Наряду с этим, ULTRAS ространет информацию о том, что его вирус I-Worm.Android создал какую-то там мелкую эпидемию. В ответ на это можно сослаться на информацию Лаборатории Касперского о том, что этот вирус в диком виде обнаружен не был. "Сколько ни говори ХАЛВА - во рту слаще не станет..." Поэтому ULTRAS побеждает в номинации "ХАЛВА МЕСЯЦА".
