Russian Viral Review #3
Summer'2000

Околовирусные Заметки (c) by Duke/SMF

About

Ежемесячного издания из RVR не получилось... Зато получился On-Line вестник. Раз в квартал я буду переносить все новости из On-Line версии в журнальную версию (при этом порядок следования новостей сохраняется прежним я для прочтения новостей в хронологическом порядке читать нужно снизу-вверх ;-))

Для тех, кто ещ не знаком с RVR расскажу, что же это такое. В этом журнале я пишу о происходящем в компьютерном мире. Конечно, не во всем, а лишь в той его части, которая так или иначе связана с вирусами. Я описываю наиболее значимые (на мой взгляд) события на вирусной сцене (кто ушел, кто пришел; какая группа создалась, какая распалась; кто что зарелизил), в стане антивирусов (новые версии антивирусов, их тестирование и сравнение друг с другом; найденные в них рулесы, баги и фичи); интересные идеи из новых вирусов, оригинальные новые вирусы, Wild List'ы и прочее, прочее...

Любые отклики и помощь приветствуются. Если вам есть что сказать, пишите на [email protected].

Имена людей выделены зеленым, имена вирусов - синим, имена антивирусов - красным.


DISCLAMER: Данный журнал создан для реализации права человека на информацию :), любые попытки увидеть в этой странице что-то противозаконное безосновательны. Предложенные новости представляют собой МОЙ взгляд на события в сфере AV/VX/SECURITY и не претендуют на полноту, глубину мысли и правдивость... Ссылки на источник новостей по возможности сохранены. Эта страница не является переводом или скопищем чужих новостей (почитайте свежие новости на VTC news или Asterix Zine), я помещаю лишь те новости, которые заинтересовали меня. Перепечатка новостей без ссылки на источник запрещена. Использование информации в коммерческих целях запрещено


30-Aug-2000 VX
SU.CM не умерла. Совсем недавно RedArc постил в нее несколько текстов VX-ориентации. Но сегодня он превзошел самого себя. Он запостил художественное произведение на 500kb в архиве, которое не имеет отношения к вирмейкингу. А как насчет того, чтобы подумать о бедных фидошниках, качающих по межгороду с модемом 2400 это барахло ?

29-Aug-2000 AV
В сегодняшнем ежедневном апдейте AVP появилось новое семейство - Sniffer.*. Наступление на malware продолжается... Добавлен первый троян для портативных компьютеров Palm - Trojan.Palm.Liberty, который на самом деле вовсе не троян, а кракерская программа.

25-Aug-2000 AV
Вышел очередной WildList Aug'2000. В нем произошли лишь незначительные изменения.

25-Aug-2000 VX
Из письма лидера группы VHC (Viral Hazard Crew) ByteSV лидеру группы SMF (Super Malware Force) Duke :
Сейчас ТАКОЙ прикол был ... Короче написал вирус, сижу - смотрю как вирус уживается. Поксорился он по ключу 05. ну а там ник как раз на несколько PgDn'ов от текста ComSPEC в ARJ.. смотрю.. думаю глюк.. начал ксорить в CALC.EXE - чуть не упал.. Посмотри ВО ЧТО КСОРИТСЯ 'VHC'(56h,48h,43h) по 05h :-( )

25-Aug-2000 VX
Зарубежные аверы сообщают об обнаружении in-the-wild вируса I-Worm.Pikachu (aka Pokey). Вирус написан на Visual Basic и имеет размер 32kb. При активизации вирус рассылает себя по адресам адресной книги, на экране появляется изображение Pikachu - персонажа из японских мультфильмов, и сообщение: "Between millions of people around the world I found you. Don't forget to remember this day every time MY FRIEND." Письма с вирусом имеют заголовок "Pikachu is your friend."

25-Aug-2000 VX
Януш Миловский из Top Device сменил свой почтовый адрес на [email protected]

24-Aug-2000 VX
Группа Feathered Serpents вовсе не распалась, как мы предполагали. По сообщению Owl, готовится в течение месяца выпустить свой собственный вирусный журнал Natural Selection #1. В журнал принимаются только отборные материалы :)

23-Aug-2000 AV
Началом конца было то, что AVP продолжал детектировать NetBus после того, как McAfee перестал это делать. Теперь же настали черные дни для производителей коммерческого RAT-софта. Начало этому положено: AVP детектирует под именами Backdoor.RA.* несколько версий коммерческого продукта ценой $20. Кто следующий ?

22-Aug-2000 VX
Снова журнальные новости:

  • вышел журнал Metaphase #2, выпускаемый одноименной вирусной группой. Журнал, так же как и первый номер, выполнен в виде HLP-файла, к журналу прилагается несколько HLL-конструкторов. Скачать можно здесь.
  • Cicatrix сообщил что VDAT 2000.2 выйдет в первые дни сентября.
  • вышел хакерский журнал Nightfall #3, выпускаемый совковой группой Alien Industries. Скачать можно здесь

    17-Aug-2000 VX
    Немного новостей о вирусных журналах :

  • выход журналов 29A #5 и XINE #5 анонсирован на декабрь'2000
  • намеченный ULTRAS'ом на 15 августа выход журнала MATRIX #2 по неизвестным причинам не состоялся
  • вышел журнал Virus Brasil #7. На этот раз он имеет схожий c VDAT интерфейс и весит 1.2mb несмотря на малое количество материала. Скачать можно здесь
  • ожидается выход долгожданного Metaphase #2, который обещают выпустить уже 2 года...
  • планируется создание мультигруппового журнала Coderz Zine

    16-Aug-2000 VX
    Новый вариант вируса LoveLetter - I-Worm.LoveLetter.bd обнаружен в диком виде в России. Вирус выкачивает из интернета и запускает на пораженной машине русского mail-троянца семейства Hooker, (что так же может указывать на русское происхождение этого вируса). Подробное описание вируса читайте на сайтах AVP : на английском или на русском языках.

    16-Aug-2000 VX
    Вирусные новости от VirusBuster'a:

  • в скором времени по адресу redelephant.cjb.net откроется сайт норвежской вирусной группы Red Elephant (см. новости от 03-Aug-2000)
  • VirusBuster провел тестирование 8 популярных анализаторов антивирусных логов (широко используемых в трейдерском деле ;) Результаты тестирования доступны на его странице. Как и следовало ожидать, VS2000 показала лучший результат ;)
  • Senna Spy обвиняется в риперстве. Читайте описание его вируса в вирусной энциклопедии AVP
    [по материалам www.coderz.net/vtc]

    16-Aug-2000 VX
    Наконец-то возобновил работу сервер www.coderz.net. Правда, за это время большинство страниц уже переехало на новое место жительства (трейдерам некогда ждать восстановления работы сервера - им надо трейдить !).

    16-Aug-2000 SECURITY
    Интересный ресурс интернета - сайт работника прокуратуры, посвященный преступлениям в компьютерной сфере - http://kurgan.unets.ru/~procur/my_page.htm. На сайте приведено одно обвинительное заключение по делу о воровстве Internet-паролей. Как видите - материалов по этой теме очень мало, да и приведенный на сайте пример очень коряв и недоказуем.

    14-Aug-2000 VX
    Сегодня я получил письмо от Lucky2000, в котором он приносит извинения и сообщает о своем уходе со сцены :

    От: Lucky2000@Lucky's.World.com (Lucky aka Jerret) 
    Кому: [email protected] 
    Дата: Sun, 13 Aug 2000 15:06:12 +0200 
    Тема: Hallo Duke ! Hello Duke ! 
    
    Below is the result of your feedback form.  It was submitted by Lucky aka Jerret
    (Lucky2000@Lucky's.World.com) on Sunday, August 13, 19100 at 15:06:12
    ---------------------------------------------------------------------------
    
    submit: GO
    
    body: Sorry, for the Last everything. I leave the Scene.
    
    Bye Lucky2000
    
    ---------------------------------------------------------------------------
    
    Так на вирусной сцене стало одним риппером меньше. Одна битва выйграна :-)

    12-Aug-2000 SECURITY
    По сообщению farm9, в последнее время увеличился сетевой траффик с машин под управлением Windows98 н адреса 194.87.6.X . Служба безопасности считает, что этот траффик создается неизвестным трояном, и предлагает блокировать любой входящий/исходящий траффик на эти адреса. Как я выяснил, эти адреcа принадлежат dail-up провайдеру Demos (www.demos.net, www.dol.ru).

    12-Aug-2000 AV
    Плюхи от AVP:

  • вирусы Dead.a и DeadBoot.446 являются одним и тем же вирусом, но откомпилированным в 1 и 2 прохода соответственно ;)
  • вирусы BAT.Angus.687 и BAT.Sys.602 являются версиями одного вируса
  • batch-вирус BAT.Darky.a детектируется как XML.Darky, хотя XML там и не пахнет...

    11-Aug-2000 AV
    В сегодняшнем еженедельном апдейте AVP добавлена поддержка SMT-Protect - криптора для PE-файлов by SMT/SMF, а также ложное срабатывание на вирус Win32.Ultratt.8152 в текстовом файле (статья 22 из журнала DVL #5).

    10-Aug-2000 VX
    В сети EFNet открылся канал #coders.ru, который предназначен для общения русскоязычных вирмейкеров.

    09-Aug-2000 VX
    В ФИДО появилась новая конференция RU.TROJAN в которой будут обсуждаться создание троянов и борьба с ними. Модератором является автор трояна Donald Dick ;) Кстати, полным ходом идет подготовка Donald Dick 2, одной из особенностей которого будет возможность подключения плагинов.

    09-Aug-2000 AV
    Новость с сайта Top Device :
    Вышел диск AntiXakep 2000 на котором среди кучи разных анитирусов я нашел AV Дюка, типа киллер BAT вирусов...

    09-Aug-2000 VX
    VirusBuster выпустил новую версию утилиты VirSort2000 v8.82. Скачивайте здесь

    07-Aug-2000 SECURITY
    По сообщению The SANS Institute за первый квартал 2000 года 46% "злонамеренного" сетевого трафика в Интернет происходило от компьютеров, расположенных в США. Следующие "призовые места" - 11% Канада и 8% Россия.

    04-Aug-2000 AV
    Вышел третий апдейт для DrWeb 4.20, добавлено много Win32-вирусов.

    04-Aug-2000 AV
    Вышла новая версия антивирусной энциклопедии AVP. Скачивайте с www.avp.ch (3.5mb).

    04-Aug-2000 AV
    В конференции AVP.SUPPORT один из разработчиков AVP подтвердил наличие в базах AVP сигнатур, исправляющих ложные срабатывания эвристика, т.е. записей о заведомо чистых файлах. Вообще забавно почитать про то, как "в друзьях согласья нет" : один из разработчиков отказывается говорить о наличии/отсутствии таких записей и ссылается на "ной-хау", а другой раскрывает это самое "ноу" ;-))

    
    - [18] AVP.SUPPORT (2:xxxx/xx.xx) -------------------------------- AVP.SUPPORT -
     Msg  : 194 of 270                                                              
     From : Alexey Shamrin                      2:5031/24.3     Wed 02 Aug 00 11:39 
     To   : All                                                                     
     Subj : Эвристик (анализатор кода)                                              
    --------------------------------------------------------------------------------
    Привет, All!
    
        Ситуация: эвристический анализатор кода AVP срабатывает на обыкновенном
    файле, не зараженном вирусом. Пользователь отправляет этот файл в Лабораторию
    Касперского. Загрузив следующий апдейт, пользователь обнаруживает, что теперь
    этот файл чист...
        Вопрос: неужели в Лаборатории просто добавили сигнатуру этого файла в базу,
    чтобы в следующий раз эвристик его пропустил? А ведь база и без того не
    маленькая...
        Короче, есть ли в базе AVP раздел, где хранятся записи о заведомо чистых
    файлах?
    
    Алексей
    
    --- GoldED+/W32 1.1.4.3
     * Origin: Hа улице лето! УРА! (2:5031/24.3)
    
    - [18] AVP.SUPPORT (2:xxxx/xx.xx) -------------------------------- AVP.SUPPORT -
     Msg  : 210 of 270                                                              
     From : Andy Nikishin                       2:5031/26.5     Fri 04 Aug 00 11:27 
     To   : Alexey Shamrin                                                          
     Subj : Эвристик (анализатор кода)                                              
    --------------------------------------------------------------------------------
    
    
                 . Пpивет тебе Alexey! Здоровеньки булы. .
    
     Сижу никого не трогаю (на дворе Пятница Август 04 2000) и вижу:
     Alexey Shamrin пишет (Среда Август 02 2000) к All:
    
    AS>     Ситуация: эвристический анализатор кода AVP срабатывает на
    AS> обыкновенном файле, не зараженном вирусом. Пользователь отправляет
    AS> этот файл в Лабораторию Касперского. Загрузив следующий апдейт,
    AS> пользователь обнаруживает, что теперь
    AS> этот файл чист...
    Все правильно. Hекоторые эвристик обновляют для этого.
    
    
    AS>     Вопрос: неужели в Лаборатории просто добавили сигнатуру этого
    AS> файла в базу, чтобы в следующий раз эвристик его пропустил? А ведь
    AS> база и без того не маленькая...
    AS>     Короче, есть ли в базе AVP раздел, где хранятся записи о заведомо
    AS> чистых файлах?
    Встречный вопрос -- а зачем это тебе надо знать? Это Know-How продукта и тебе
    об этом никто не расскажет.
    
    Всего тебе, Alexey...,
        Andy Nikishin
        MCPS Win 3.x, Win'95    [AVP Team] [http://www.avp.ru]
    
    
    ... Let The Force Be With U
    --- God made men, Smith'n'Wesson made them Equal
     * Origin: I Love Microsoft :) (Fidonet 2:5031/26.5)
    
    - [18] AVP.SUPPORT (2:xxxx/xx.xx) -------------------------------- AVP.SUPPORT -
     Msg  : 220 of 270                                                              
     From : Valentin Kolesnikov                 2:5020/156      Fri 04 Aug 00 13:00 
     To   : Alexey Shamrin                                                          
     Subj : Эвристик (анализатор кода)                                              
    --------------------------------------------------------------------------------
    
      Hi, Alexey!
    Сpд Авг 02 2000, Alexey Shamrin -> All:
    
    
    AS> Привет, All!
    AS>
    AS>     Ситуация: эвристический анализатор кода AVP срабатывает на
    AS> обыкновенном файле, не зараженном вирусом. Пользователь отправляет этот
    AS> файл в Лабораторию Касперского. Загрузив следующий апдейт, пользователь
    AS> обнаруживает, что теперь этот файл чист...
    AS>     Вопрос: неужели в Лаборатории просто добавили сигнатуру этого файла
    AS> в базу, чтобы в следующий раз эвристик его пропустил? А ведь база и без
    AS> того не маленькая...
    AS>     Короче, есть ли в базе AVP раздел, где хранятся записи о заведомо
    AS> чистых файлах?
    
    Есть такие записи. Как раз для исправления ложных срабатываний эвристика.
    
    Valentin
    
    --- GoldED/W32 3.00.Beta4+
     * Origin: Avp BBS 095-948-6333 V34 24h (2:5020/156)
    

    03-Aug-2000 VX
    В Норвегии создана новая вирусная группа Red Elephant. В нее вошли DrCopy, flux, toro, xacco. Сайт у группы пока отсутствует.
    [по материалам http://virus.cyberspace.sk]

    02-Aug-2000 VX
    Журнал Top Device теперь находится под опекой ULTRAS'а, по причине отъезда Яна.

    02-Aug-2000 VX
    Сегодня официально открылся (или "открылся официальный" :)) сайт русской VX-группы Misdirected Youth по адресу http://myallstar.cjb.net.

    02-Aug-2000 SECURITY
    DVD Copy Control Assotiation (CCA) обвинила уже более 500 человек по делу о распространении программы DeCSS (программы взлома защиты DVD дисков), среди которых более 80 человек - владельцы сайтов, разместившие DeCSS. Теперь к этому числу прибавился Стив Блад, основатель компании CopyLeft, распростроняющий трикотажные майки с рисунком в виде исходного кода этой программы.

    К 8 августа суд должен решить, можно ли код программы считать текстом, защищенным Первой поправкой Конституции США о свободе слова. Это решение определит исход всех судебных исков по делу DeCSS.

    01-Aug-2000 AV
    Диалог-Наука сообщила о выходе исправленных версий программы DrWeb 4.20. В Win32-версии исправлена ошибка тестирования сложных файлов Microsoft Access и добавлена HLL-эвристика. В DOS-версии исправлено зацикливание при тестировании файла WDMMDMLD.VXD из комплекта Windows 98.

    01-Aug-2000 VX
    В Чехии проходит международный вирмейкерский съезд.

    01-Aug-2000 VX
    [K]Alamar провел изучение семейства I-Worm.Lee.*, и пришел к выводу, что все вирусы созданы с помощью его конструктора VBS Worm Generator и никакой заслуги Lee в этом нет. К чему это я? А к тому, что месяц назад в онлайновых новостях журнала Asterix ламер Lee был назван новой "звездой" немецкой вирусной сцены ;-))) Встречают по одежке...

    31-Jul-2000 AV
    Июльский номер компьютерного журнала "Подводная Лодка" опубликовал тесты бесплатных антивирусных программ, среди которых буржуйские InoculateIT (http://antivirus.cai.com), F-Stopw (http://www.complex.is), а также совковые разработки AVTrojan (http://www.trojan.ru), The Nick's Chost Buster (http://members.tripod.com/~NGBuster) и Stop! (http://dizet.com.ua). Коротко об этих программах : InoculateIT - сканер, F-Protw - антивирусный монитор из пакета F-Prot, AVTrojan - сканер для троянов, NGBuster - ревизор для Win, Stop! - сканер. На последней программе хотелось бы остановиться более подробно. Этот антивирус написан бывшим вирусописателем, он детктирует около 400 троянов и 200 BAT/VBS вирусов, а также занимается их эвристическим определением.

    Хех, а я теперь понял, откуда RedArc драл аверские новости для журнала Top Device - все они взяты с сайта Dizet AV Labs (см. антивирус Stop!). Или, может быть, не драл, а поставлял и вашим, и нашим ? Ну да это только буйные фантазии моего героинового мозга, а то еще RedArc снова на меня обидится, и пиши потом "официальные письма"...

    31-Jul-2000 VX
    С 1 августа FRiZER уходит служить в армию. Удачи !

    31-Jul-2000 VX
    По причине неработоспособности сервера www.coderz.net, сайт журнала Top Device теперь доступен по новым адресам - http://topd.tsx.org или http://topd.cjb.net. Обновите свои bookmarks !

    30-Jul-2000 SECURITY
    В эти дни в Лас-Вегасе проходит очередной ежегодный международный съезд хакеров DEF CON 8 (или, как его называют, DEF CON 00). Все ждут презентации очередного Back Orifice, но на официальном сайте съезда (http://www.defcon.org) пока нет никаких новостей. Среди вирусно-ориентированных докладов имеется доклад Sarah Gordon (которая запомнилась зрителям по интервью с Rhape79) на тему "Virus Writers: The End of The Innocence".

    30-Jul-2000 VX
    Black Cat выпустил новую версию Virus Sorter New Generation v1.5

    30-Jul-2000 VX
    Новость, присланная RedArc'ом :
    PE_GHOSTDOG2: безобидное привидение

    Trend Micro сообщает о появлении нового вируса под названием GHOSTDOG2, однако в "диком виде" он пока не замечен. Это вирус, написанный на языке Visual Basic, заражает выполняемые файлы Windows (PE EXE-файлы), при этом он записывается в начало файлов. В инфицированном файле можно найти строчку [email protected].
    Вирус инфицирует файлы в текущей директории (из которой он был выполнен), а также на диске a:\. Вирус не проверяет файлы на предмет заражения, а значит может инфицировать один и тот же файл неоднократно.
    Если зараженный файл содержит в последнем байте "31h" или "1", то вирус меняет его иконку
    После исполнения инфицированного файла вирус выводит на дисплей два следующих сообщения с заголовком "GhostDog2":

    Created for Duke/SMF by [email protected]
    Any Thx: SMF ,Erasmus, Fringer, Ultras, Zulu

    Вирус не совершает никаких деструктивных действий: не изменяет значение ключей системного реестра, не записывает своих "дропперов", а занимается только саморазмножением.
    От лица группы SMF заявляю, что никакого отношения к творчеству очередного ламера мы не имеем. И чего им всем так и хочется написать нам то greetz, то fuck ?

    30-Jul-2000 VX
    [K]Alamar выпустил новую версию конструктора интернет-червей VBS Worm Generator v1.5.

    29-Jul-2000 AV
    Я нашел новый баг в AVP for DOS32 build 133. Эта прога при работе в период 0:00-1:00 вместо распаковки упакованных исполнимых файлов говорит "I/O error" ;-)))) (а прошлый билд вообще зависал на этом ;-)

    28-Jul-2000 AV
    Вышел еженедельный апдейт AVP. Помимо особенностей, перечисленных чуть ранее, в апдейте скрыто много багов. Главный баг - добавлена масса "junk signatures" (напомню для тех, кто не помнит - это название я дал записям присутствующим в антивирусной базе, которые ни разу не будут востребованы при детектировании вирусов). Позволю себе процитировать файл UP000728.TXT :

    
     AVP 3.0 Weekly Update for DOS, Win 3.xx, Win9x, NT, OS/2, Novell, Linux
     ---------------------     ---------------------------------------------
    
    To update your AVP 3.0 you should copy AVC database and AVP.SET file to AVP
    3.0 directory. The records in anti-virus database are:
    
      Viruses:
          Apocalipse.810, Aznar.667, BAT.Abm.a, BAT.Ataris.a, BAT.Ataris.b, 
          BAT.Ataris.c, BAT.Ataris.d, BAT.Ataris.e, BAT.Ataris.f, BAT.Black, 
          BAT.Life.1066, BAT.Silly.60, BAT.Win.1434, BAT.Winrip.444,
          Backdoor.AcidShiver.504, Backdoor.AcidShiver.Kor, Backdoor.AudioCat, 
          Backdoor.AudioCat.server, Backdoor.BLA.40, Backdoor.BLA.503.client, 
          Backdoor.BLA.51.b, Backdoor.BLA.loader, Backdoor.BLA.server, 
          Backdoor.BO2K.e, Backdoor.BackEnd.5, Backdoor.BackEnd.60, 
          Backdoor.BaronNight.10, Backdoor.BaronNight.20, Backdoor.Bionet.22.b, 
          Backdoor.Chubo, Backdoor.CrazzyNet.370.client, 
          Backdoor.CrazzyNet.370.server, Backdoor.CrazzyNet.371.client, 
          Backdoor.CrazzyNet.371.server, Backdoor.DCI.12.client, 
          Backdoor.DCI.12.server, Backdoor.DP.25, Backdoor.DarkFtp.14, 
          Backdoor.Death.20, Backdoor.Indexer.b, Backdoor.IniKiller.32.client, 
          Backdoor.IniKiller.32.server, Backdoor.Mos.11, Backdoor.Netrojan, 
          Backdoor.Nirvana.20a.server, Backdoor.Oracle, 
          Backdoor.PCInvader.07.client, Backdoor.PCInvader.07.server, 
          Backdoor.Phantom.20, Backdoor.Porkodio, Backdoor.Prosiak.070.b, 
          Backdoor.Psychward.client, Backdoor.Quimera, Backdoor.RA.client, 
          Backdoor.RA.server, Backdoor.RAT.234, Backdoor.RUX.client, 
          Backdoor.RUX.server, Backdoor.Rathead.b, Backdoor.RemoteHack.11, 
          Backdoor.RemoteShut.14, Backdoor.RemoteStorm.12, Backdoor.Rootbeer, 
          Backdoor.Sepro.c, Backdoor.Slinger, Backdoor.Snipernet.22, 
          Backdoor.Splitter, Backdoor.Swift.106.client, 
          Backdoor.Swift.106.server, Backdoor.Thing.16.client, 
          Backdoor.Thing.16.server, Backdoor.WinControl.133, 
          Backdoor.Y3KRat.10, Bombole.511, Carnage.621, Constructor.SSIWG, 
          Cruncher.3955.b, Deadly.366, Death.638, Dolphin.594, Dynamics.1400, 
          Eicar.323, Flooder.IWD, Freedom.948.b, GenDropper.ABM.10, 
          Generator.SennaSpy, Genesis.226, Guinness.825, Guinness.855, 
          HLL.Crazy.a, HLL.Crazy.b, HLL.Crazy.c, HLLC.5000.c, HLLC.5696, 
          HLLC.5968, HLLP.7200, HLLP.Erot.5718, HLLP.Erot.5991, HLLP.Wolf.5088, 
          HLLW.Readme, Hoax.DKill, I-Worm.Lee, I-Worm.LoveLetter, 
          I-Worm.LoveLetter.ba, I-Worm.LoveLetter.bb, I-Worm.Lucky.b, 
          I-Worm.Scrapworm, IRC-Worm.Buffy, Invader.Plastique, JS.Joke.Blinker, 
          JS.ShareNT, Joke.Win32.FakeDel.b, KOV.Eddy.1444, Leen.782, 
          Macro.Excel.Laroux.nj, Macro.Excel97.Ksg, Macro.Excel97.Tracker.p, 
          Macro.Excel97.Yawn.b, Macro.Excel97.Yawn.c, Macro.Lee.k, Macro.Lee.l, 
          Macro.Mbop.d, Macro.Office.Codemas, Macro.Office.Hopper.y, 
          Macro.Office.Linda, Macro.Office.Weete, Macro.Project.Tuna, 
          Macro.Word97.Antisocial.n, Macro.Word97.Antisocial.p, 
          Macro.Word97.Bablas.ae, Macro.Word97.Blink.b, Macro.Word97.Blockout, 
          Macro.Word97.Bobo.d, Macro.Word97.Class.es, Macro.Word97.Cloud.b, 
          Macro.Word97.Concept.dq, Macro.Word97.Effect, Macro.Word97.Ethan.dg, 
          Macro.Word97.Ethan.dh, Macro.Word97.FF.e, Macro.Word97.Fool.g, 
          Macro.Word97.Fool.h, Macro.Word97.Gargle, Macro.Word97.IIS.v, 
          Macro.Word97.Marker.ek, Macro.Word97.Marker.ep, Macro.Word97.Mbop.c, 
          Macro.Word97.Mbop.d, Macro.Word97.Mbop.e, Macro.Word97.Melissa.bg, 
          Macro.Word97.Pip.f, Macro.Word97.Proverb.k, Macro.Word97.Redden.d, 
          Macro.Word97.Replog.b, Macro.Word97.Ryplay, Macro.Word97.Siechle, 
          Macro.Word97.Smac.h, Macro.Word97.Story.t, Macro.Word97.Thus-based, 
          Macro.Word97.Thus.am, Macro.Word97.Trojan.Melt, Marina.1300, Mif.460, 
          Nuker.DccFuker.12, Nuker.IGMPNuke, Nuker.NNKiller, Nuker.NuKe.23, 
          Nuker.NukeAttack, Nuker.Panther, Nuker.Pnuke.11, Nuker.WNewk.102, 
          Nuker.WinNuke, PS-MPC.323, PS-MPC.Ear.1024.d, ReplayII.670, 
          ReplayII.684, Sailor.Pluto.3741, SillyC.205, SillyC.222, 
          SillyC.226.b, SillyC.232.b, SillyC.308, SillyO.242, SillyO.243, 
          SillyO.285, SillyO.286, SillyO.496.a, SillyO.496.b, SillyO.498, 
          SillyO.516, SillyO.520, SillyO.587.a, SillyO.587.b, SillyO.589, 
          SillyOC.88.c, SillyOE.1094, SillyOE.691, Simbioz.281, 
          Spamer.AnonMail, Spamer.Euthanasia.152, Spamer.NMB, Spamer.QuickFyre, 
          Spamer.Uy.40, Spamer.Winam, Terronia.2480, Tiny.265, Tricks.256.f, 
          Trivial.57.e, Trivial.69.b, Trojan.AOL.Grabber, Trojan.AOL.Hinweis, 
          Trojan.AOL.Prudentor, Trojan.BAT.FormatC.d, Trojan.BAT.MkDirs.a, 
          Trojan.BAT.MkDirs.b, Trojan.BAT.MkDirs.c, Trojan.Bat2Exec.DelWindows, 
          Trojan.FormatDisks, Trojan.IRC.Krni386, Trojan.IRC.Noob.31, 
          Trojan.IntraSpy.server, Trojan.New2001, Trojan.PSW.Atomic, 
          Trojan.PSW.Barrio.40, Trojan.PSW.Gip.110.c, Trojan.PSW.IDI, 
          Trojan.PSW.Jammer.a, Trojan.PSW.Jammer.b, Trojan.PSW.Kaylo, 
          Trojan.PSW.Lox.a, Trojan.PSW.Lox.b, Trojan.PSW.Lox.c, 
          Trojan.PSW.Netsec, Trojan.PSW.Platan.5.a, Trojan.PSW.Platan.5.b, 
          Trojan.PSW.Platan.5.c, Trojan.PSW.Platan.5.d, Trojan.PSW.Pricol, 
          Trojan.PSW.Vingrad, Trojan.PSW.Vingrad.b, Trojan.Tag, 
          Trojan.Win32.HLS, Trojan.Win32.PowerLoader, 
          Trojan.Win32.Runner.Joiner.m, Trojan.Win32.S7Regenerator, 
          Trojan.Win32.Sole, Trojan.Win32.TrojanRunner.Traeger, 
          Trojan.Win32.TrojanRunner.Traeger.config, Twin.351.c, V.323, V.563, 
          VBS.Bulbasaur, VBS.Exper.b, VBS.Feel, VBS.GWV.c, VBS.Small, 
          VBS.Trojan.Lowjo, Vanitas.3712.c, Vrag.388, Whiplash.4829, 
          Win32.Wolf.a, Win32.Wolf.b, Win95.Rinim.480, Wind.145, Wind.155.a, 
          Wind.155.b, Worf.636
    
      Heuristics recods:
          Type_BAT
    
    А теперь пояснительная "легенда":
  • желтые - записи, присутствовавшие в UP000714 и добавленные в кумулятив ("junk signatures"!)
  • зеленые - записи, присутствовавшие в UP000714 и добавленные в кумулятив ("junk signatures"!), но переименованные (ранее они назывались VBS.Lee.k, VBS.Lee.l, VBS.Mbop.d соответственно)
  • фиолетовые - записи, присутствовавшие в UP000707, но не добавленные в кумулятив. Об этих записях я писал в новостях от 20-Jul-2000. Детектирование было добавлено еще в дневной апдейт от 24 июля. Как видите, аверы читают эти заметки и делают для себя выводы. Хотя благодарственных писем не присылают ;-))
  • коричневые - новые записи. Их оказалось не так уж и много...

    Так же замечено, что от стаи Nuker'ов отбились Trojan.Win.Nuker.EwK, Trojan.Win32.Chico и некоторые другие.

    28-Jul-2000 VX
    Вот уже два дня в нерабочем состоянии находятся VX-ориентированные сервера www.coderz.net и www.ultimatechaos.org.

    Приблизительно через неделю состоится очередной международный съезд вирмейкеров. Представителей ex-USSR не будет, зато будут две девушки ;-)

    27-Jul-2000 SECURITY
    Именем "SpyWare" стали называть программы, которые в тайне от пользователя передают автору информацию о пользователе. К таким программам относятся RealNetworks RealDownload, Netscape/AOL Smart Download и NetZip Download Demon (все эти программы предназначены для скачивания файлов). К примеру, RealNetworks RealDownload сообщает автору не только скачиваемый вами URL, но и Windows GUID (уникальный идентификатор, содержащий MAC адрес). Разоблачению подобных программ посвящена страничка, которую я рекомендую вам посетить.

    26-Jul-2000 AV
    Как известно, DrWeb и AVP, два лидера на российском рынке производителей AV и извечные конкуренты. Стоило 14 июля разработчикам DrWeb включить в свой антивирус некое подобие BAT-эвристики, как последовал ответный удар. В сегодняшнем ежедневном апдейте AVP появилась эвристическая запись Type_BAT. Ну чтож, хочу поздравить обе компании с тем, что они уделили внимание и BAT-эвристике (я год назад написал собственный BAT-эвристик, NOD сделал это еще 2 года назад... недаром Россию называют отсталой страной....)

    25-Jul-2000 SECURITY
    ФБР продемонстрировало работу своего проекта Carnivore - программы для отслеживания e-mail. Подробности читайте здесь или здесь.

    24-Jul-2000 VX
    Сегодня известный ламер Lucky2000 (aka LUCKY B.R.D. aka Lee aka Pingu2000 aka Jerret Black aka Karen Hill) объявил войну группе SMF. Сделал он это довольно оригинально, написав письмо в вирусную конференцию с адреса [email protected] (для тех кто не знает - это адрес Евгения Касперского. Все свои rip'нутые вирусы ламер Lucky2000 посылал именно на этот адрес. Интересно, а как Касперский относится к тому, что от его имении рассылают спам? ). Впоследствии он наехал и на Evul'а ;-) Теперь этот ламер начал распространять вирусы, которые якобы написал я. Заявляю, что никакого отношения к этим вирусам я не имею, я вирусы не распространяю. Причиной, по которой этот ламер объявил нам войну, стало то, что я поведал широким массам о том, что этот ламер занимается rip'аньем вирусов, а Evul отказался хостить его сайт.

    Вспоминается история начала января, когда вышеупомянутый ламер запустил в Интернет очень деструктивного интернет-червя, который по его замыслу ставил страницей по умолчанию в IE ссылку на сайт группы SMF. Сейчас история повторяется, но на этот раз другой (?) вирусописатель делает в своем VBS-вирусе ссылку на сайт Asterix. Хозяин сайта, mgl, попросил больше не оказывать таких медвежьих услуг.

    На эту тему почитайте статью SnakeByte из журнала Kefrens #1.

    22-Jul-2000 AV
    По сообщению Романа Зайцева, новая версия DrWeb называет свой собственный файл VIRLIST.DWB не иначе как SCRIPT.BATCH.Virus. Выпендрились, называется, с бат-эвристикой...

    22-Jul-2000 AV
    Вышел очередной WildList Jul'2000. Это издание позволяет заткнуть глотки тем, кто направо и налево кричит о том, что "дос мертв", "макро вирусы - ламерство" и прочий бред. Статистика простая - содержание вирусов по классам (глобальные эпидемии/локальные эпидемии):

  • boot - 24 / 18
  • DOS file (asm) - 9 / 28
  • DOS file (hll) - 2 / 4
  • Windows - 23 / 21
  • macro - 145 / 254
  • script - 12 / 6
    Макро на коне....

    22-Jul-2000 VX
    На сайте On-Line журнала Top Device появились следующие новости :

    Вышел DVL#10. Журнал неплохой. Правда много стандартного материала от trial member'ов SMF. Так же очень мало статей (в моем понимании этого слова) - в основном исходники вирусов, практически без комментариев и даже без ТТХ вирусов. И еще утверждение насчет единственного "переодического" VX журнала на нашей сцене по-моему излишне категорично.

    Стоит сделать несколько замечаний к этому сообщению :
    1) Если автор этой новости укажет мне ХОТЯ БЫ ДВУХ trial member'ов, статьи/вирусы которых размещены в DVL #10, то я готов съесть свою шляпу ;-)) В противном случае жду опровержения в том же журнале, где было опубликовано вышепроцитированное. [по состоянию на середину августа опровержение так и не последовало]
    2) Статьи публикуются в том виде, в котором они присланы (редактор не пишет описаний или комментариев к исходным текстам)
    3) Когда говорилось о "переодических" изданиях имелись в виду НЕ-онлайновые журналы, выходящие чаще двух раз в год

    21-Jul-2000 VX
    Вышел долгожданный журнал DVL #10.

    21-Jul-2000 AV
    Очередной апдейт AVP. И снова появление нового семейства - Tools.*.

    20-Jul-2000 AV
    Сегодня вышел на день припозднившийся кумулятивный апдейт AVP. Столь скорый выход кумулятива вызван массовыми ошибками в антивирусных базах. Причем он втихаря появился на avp.ch, а уже через день - на avp.ru. Небольшой обзор изменений :

  • улучшено детектирование вирусов HLL.generic - эвристика для HLL вирусов
  • добавлено эвристическое срабатывание IRC-Worm.generic
  • уничтожено ложное срабатывание на Backdoor.Noknok.5, о котором я писал в новостях от 14-Jul-2000
  • исправлена распаковка TinyPack
  • появились новые семейства PolyEngine.* - откомпилированные OBJ-файлы от полидвижков; DoS.* и DDoS.* - программы для DoS-атак; PolyEngineSample.* - то же, что и GenDropper.*. Пополнение баз за счет malware продолжается !

    А вот и ложка дегтя в бочке меда (куда ж без нее!) :

  • найденная мной бага - программа AVP for DOS32 build 133 миленько вылетает при тестировании CAB-архивов. А все потому, что теперь AVP научилось детектировать CAB-инфектор by Prizzy/29A
  • еще одна найденная мной бага - больше не детектируются некоторые malware-программы: Flooder.IWD, Spammer.AnonMail, Spammer.Euthanasia.152, Spammer.QuickFyre, Spammer.Uy.40, Nuker.DccFuker.12, Nuker.IGMPNuke, Nuker.NuKe.23, Nuker.NukeAttack, Nuker.Pnuke.11, Nuker.WNewk.102, Nuker.WinNuke . Но это вовсе не значит, что аверы отказались от детектирования спамеров и нюкеров (другие спамеры и нюкеры были добавлены в базу). Заметьте, что все эти вирусы были добавлены в базы в еженедельном апдейте от 07.07.2000. И сделайте смелый вывод - аверы попросту забыли включить малваре из этого апдейта в свои базы !!!
  • вирусы WScript.KakWorm и Macro.Office.Suite перестали детектироваться в некоторых файлах

    Сделана череда переименований :

  • Generator.* -> GenDropper.*
  • Utility.Kaboom.20 -> Spammer.Kaboom.20 (ну наконец-то!)
  • Trojan.Nuker.*, Trojan.Win32.Nuker.* -> Nuker.* (кстати, есть одноименное семейство вирусов... и как только аверы не запутаются? )
  • Trojan.Win32.Runner.* -> Trojan.Win32.TrojanRunner.*
  • *.loader, *.server, *.client теперь детектируются под одним именем
  • Backdoor.AcidShiver.Kor -> Backdoor.AcidAhiver.Kor ;-)
  • часть HTML.* вирусов переименована в VBS.* и JS.*

    18-Jul-2000 VX
    Сегодня в сети появился вирус Autocad2k/Star - первый в мире вирус для системы автоматического проектирования AutoCad. Автор вируса - некто AntiState_Tortoise. Размер вируса тоже внушает уважение - всего 568 байт кода на Visual Basic. По заявлению Лаборатории Касперского, вирус содержит много ошибок, в дикой природе не обнаружен и вряд ли когда будет обнаружен. Но, на мой взгляд, этот вирус лишь первая ласточка в череде вирусов для новой платформы. По словам Касперского, уже более 100 компаний лицензировали у MicroSoft ядро VBA, поэтому десятки программ станут потенциальными убежищами новых вирусов. Вирус детектируется AVP под именем Macro.Acad.Star.

    18-Jul-2000 AV
    Из достоверных источников стало известно, что AVP планирует в среду (19.07) выпуск кумулятива.

    17-Jul-2000 VX
    Российские спецслужбы преследуют вирусописателя SST по статье 273 (создание и распространение опасных программ). Но он не отчаивается и не падает духом. Если вы хотите общаться с ним, то используйте при переписке PGP. Его PGP ключ скачивайте здесь.

    17-Jul-2000 VX
    Raenius покинул трейдинг.

    17-Jul-2000 HACK
    14 июля вышла в свет новая версия утилиты для удаленного администрирования Win95/98/NT ShutAll v2.1 от Hard Wisdom. Как написал автор в прилагающейся к программе записке :

    Как сказал кто-то из великих - глупость это большое
    благо, но не стоит им злоупотреблять. Это я по поводу
    того, что старые версии программы детектируются
    AVP как троянская лошадь. Хгм. К черту AVP и тех
    идиотов, кто попался на их (AVP team) удочку.
    
    Но уже сегодня программа AVP стала детектировать эту утилиту под именем Backdoor.Shutall.21.

    14-Jul-2000 AV
    Нежданно-негаданно выпущен DrWeb v4.20 (напомню, что предыдущей версией была версия 4.17). Официальное сообщение о выходе новой версии появится в официальной FIDO-конференции поддержки только 20 июля... Что же нового в этой версии ?

  • изменен формат антивирусных баз, теперь они не совместимы с более ранними версиями
  • изменен формат регистрационного ключа, теперь он не совместим с предыдущими версиями
  • добавлен планировщик заданий для Win32 версии
  • переделан Spider для Win NT/2000
  • pеализован эвристический анализ для различных видов script-вирусов, разбор html-файлов и закодированных script-файлов
  • теперь программой детектируется 19755 вирусов

    14-Jul-2000 AV
    Среди пользователей AVP изредка да попадаются здравомыслящие люди :

    - [18] AVP.SUPPORT (2:xxxx/xx.xx) -------------------------------- AVP.SUPPORT -
     Msg  : 205 of 210
     From : Ivan Sintyurin                      2:5020/278.22   14 Jul 00  17:03:00
     To   : Andy Nikishin
     Subj : Энциклопедия тpебyется.
    --------------------------------------------------------------------------------
    Привет, Andy!
    
    14 июля 2000 года (а было тогда 15:04)
    Andy Nikishin в своем письме к Ivan Sintyurin писал:
    
    IS>> Для _шуток_. А мы говорим о другом классе программ - они не
    IS>> являются шутками и могут принести вред.
    AN> Тогда это Троянцы. Hиже приведено определение трояна из нашей вирус
    AN> энциклопедии.
    AN> К троянским коням относятся программы, наносящие какие-либо
    AN> разрушительные действия, т.е. в зависимости от каких-либо условий или
    AN> при каждом запуске уничтожающая информацию на дисках, "завешивающая"
    AN> систему и т.п.
    
    Вот, сам же себе и противоречишь :)
    Hарод, у кого-нибудь hookdump уничтожал информацию? :)
    
    AN> Теоретически все malware подходит под определение трояна. backdoor,
    AN> PSW etc введено скорее для пользователя, чем для AV аналитика.
    
    Чукча не писатель, чукча читатель (это я про себя :), поэтому он хочет, чтобы
    как-то можно было _отличить_ программу, которая _обязательно_ похерит все на
    дисках или с удовольствием отошлет куда-нибудь пароли, от той, которая
    _только теоретически_ может быть использована против тебя, не делающая никаких
    деструктивных и иных действий. Такое разграничение сложно сделать?
    
     Best regards,
       Ivan.         ICQ #56376161 / spinoza(at)mail.ru     [ FAR group ]
                     http://www.moris.ru/~spinoza
    ---
     * Origin:  (2:5020/278.22)
    

    14-Jul-2000 AV
    Вышел еженедельный апдейт AVP. Провожу разбор полетов :-)

  • раньше под одним именем детектировались и клиент, и сервер, и всяческие примочки к бакдорам (например, под именем Backdoor.Valvoline детектируется более 9 файлов). Теперь они носят отдельное имя : Backdoor.*.client, Backdoor.*.server, Backdoor.*.loader. Как ни странно, это нововведение появилось после 12 июля, все бакдоры, добавленные в базу ранее, добавлены под одним именем.
  • найдена "junk signature" - Intended.SillyC.326 (теперь это SillyC.326).
  • снова путаница в именах - I-Worm.Lee.* и VBS.Lee.*
  • под именем Backdoor.Noknok.5 детектируется код setup shield'а: "WinAce v1.0 32-bit Self Extractor". Это коммерческая программа, автором которой является Marcel Lemke (зарегистрированная торговая марка e-merge GmbH (c) 1997-99, официальная страница - http://www.winace.com). Kaspersky Lab причинила моральный и материальный (связанный с падением продаж легальных продуктов, использующих данный инсталлятор) ущерб всем легальным пользователям WinAce.

    13-Jul-2000 AV
    Написал письмо в McAfee с требование прекратить детектировать мою антивирусную страницу как вирус. Ждем ответа.

    12-Jul-2000 AV
    Два письма о мыслях аверов по поводу добавления malware в антивирусные базы.

    - [18] AVP.SUPPORT (2:xxxx/xx.xx) -------------------------------- AVP.SUPPORT -
     Msg  : 179 of 189                                                              
     From : Andy Nikishin                       2:5031/26.5     Wed 12 Jul 00 10:58 
     To   : Alexei Duzhiy                                                           
     Subj : Энциклопедия тpебyется.                                                 
    --------------------------------------------------------------------------------
    
    
                 . Пpивет тебе Alexei! Здоровеньки булы. .
    
     Сижу никого не трогаю (на дворе Среда Июль 12 2000) и вижу:
     Alexei Duzhiy пишет (Вторник Июль 11 2000) к Sergey S Bogukovsky:
    
    SSB>>    Это просто нюкер. Для владельца он никаких опасностей не
    SSB>> представляет.
    
    AD> Чего ж его тогда AVP тpояном обзывает, а? И не его одного:
    AD> trojan.exploitgenerator напpимеp, тоже. Вот я и не знаю, толи он на
    Потому как есть термин malware, что-то типа "вредное програмное обеспечение".
    Все нюкеры, exploit генераторы и пр как раз и есть malware, а их надо детектить.
    
    Всего тебе, Alexei...,
        Andy Nikishin
        MCPS Win 3.x, Win'95    [AVP Team] [http://www.avp.ru]
    
    
    ... Хочешь завести друзей - заведи их подальше. Иван Сусанин.
    --- Old good Gold Duude 3.00.Beta3+
     * Origin: Пишите письма мелким почерком на (Fidonet 2:5031/26.5)
    
    - [18] AVP.SUPPORT (2:xxxx/xx.xx) -------------------------------- AVP.SUPPORT -
     Msg  : 190 of 198                                                              
     From : Andy Nikishin                       2:5031/26.5     13 Jul 00  10:53:00 
     To   : Alexei Duzhiy                                                           
     Subj : Энциклопедия тpебyется.                                                 
    --------------------------------------------------------------------------------
    
    
                 . Пpивет тебе Alexei! Здоровеньки булы. .
    
     Сижу никого не трогаю (на дворе Четверг Июль 13 2000) и вижу:
     Alexei Duzhiy пишет (Среда Июль 12 2000) к Andy Nikishin:
    
    AD> Hадо также указывать что именно в пpогpамме плохого: или она на
    AD> локальном компе винт отфоpматиpует, или удаленный завесит/взломает.
    AD> Т.е. Должны быть отличитнльные пpизнаки в обозначениях тpоянов и
    AD> "malware".
    Есть такое -- BackDoor.*, Nuker.*, Flooder.*, Trojan.PSW.* В дальнейшем
    планируется изменить в сторону улучшения.
    
    Всего тебе, Alexei...,
        Andy Nikishin
        MCPS Win 3.x, Win'95    [AVP Team] [http://www.avp.ru]
    
    
    ... Мы все рождаемся мокрые, голые и голодные. И это только начало.
    --- Hе ходите дети в школу, пейте дети Coca-Cola (3.00.Beta3+ литров в день)
     * Origin: I Love Microsoft :) (Fidonet 2:5031/26.5)
    

    11-Jul-2000 AV
    По некоторым данным, программа AVP Inspector содержит ошибку в процедуре проверки зарегистрированности программы. Если установить год больше 2005, то программа становится зарегистрированной независимо от наличия легального ключа.
    [submited by Phage]

    11-Jul-2000 VX

  • по сообщению mgl, здоровье Evul'а удет на поправку.
  • VirusBuster нашел кучу багов в продукте Black Cat'a VSNG. Противостояние двух трейдеров-кодеров продолжается.
  • группа Kefrens распалась, но решила оставить на пямять о своем существовании первый и единственный номер журнала Kefrens. Скачивайте его с ныне закрытого сервера группы: без инсталляции (600kb) или с инсталляцией (3mb) В журнале имеется интервью со мной, а также статья о ламере-риппере Lucky.

    10-Jul-2000 HACK
    В сегодняшнем ежедневном апдейте AVP стал детектировать вирус Trojan.Win32.S7Regenerator. Из описания к этому файлу следует, что это утилита (v2.0) для криптования сервера RAT SubSeven, чтобы он не детектировался антивирусами (проще говоря, loader). Заставить его работать мне не удалось. Зато я выяснил, что на самом деле это ни что иное, как самый обыкновенный троян (именно троян, а не хакерская утилита). Троянец убирает все иконки с десктопа, насколько возможно урезает права текущего пользователя, прячет пункты "Завершение работы" и "Выполнить" в главном меню, запрещает перезагрузку компьютера. Все эти эффекты достигаются путем изменения реестра. При включении компьютера выдается предупреждающее окошко:

    <<< Xal Naga was here once again ...... >>>
    The owner of this computer uses Subseven 1.9/Apocalypse/2.0 Remote Administrating Tool [Trojan]. So please do not accept any of his/her files in future.

    Автором этого безобразия является некто Xal Naga, написано на Delphi 3. Рекомендую всем воздержаться от запуска этого троянца ;) А уж если запустили, то скачайте написанную мной заплатку, которая удалит следы его деятельности.

    10-Jul-2000 VX

  • Evul, хозяин www.coderz.net попал в автомобильную аварию и находится в больнице в тяжелом состоянии :~(((
  • интервью вирусописателя Rhape97 (лидер группы UC) английскому телевидению можно посмотреть на сайте канала C4NEWS
  • Януш Миловский вернулся из армии и теперь приступил к возрождению запущенного проекта Top Device. Плоды его деятельности уже налицо - за один день появились интересные новости и новые статьи от Z0mbie
  • в 6 номере журнала XAKEP опубликовано интервью со мной (Duke/SMF) и статья о группе SMF.

    09-Jul-2000 AV
    В журнале Windows2000 Евгений Касперский в соавторстве с еще одним авером написал статью о будущем Win32 вирусов. Английскую версию читайте здесь.

    07-Jul-2000 AV
    В очередном апдейте AVP добавлены вирусы Linux.Staog и HLLW.DPVG.5360 (если они у кого имеются - прошу кинуть мылом на [email protected]), а также семейство хакерских утилит Spamer.*

    Кстати, не так давно я писал о том, что F-Prot можно запускать с двух дискет (на одной - программа, на другой - базы). Так вот, теперь ее уже нельзя запускать с двух дискет 1.44Mb, так как размер баз перевалил за 1.46Mb ;-)))

    06-Jul-2000 AV
    Вышла новая версия AVP DOS32 build 133. Исправлены некоторые ошибки :

  • пофикшен баг 2000 года - теперь программа в логах пишет 2000 год вместо 100 года ;-) (я писал об этом в журнале RVR #2, новости от 16-Apr-2000)
  • исправлен алгоритм детектирования бутовых вирусов в образах дискет (я писал об этом в RVR #3 On-Line, новости от 01-Jul-2000)

    Как обычно, добавлены новые баги :

  • жутчайшие глюки при выводе результатов работы на экран ! Интересно, а аверы сами запускают свои антивирусы ??? Если путь к файлу содержит более 53 символов, то имя обнаруженного в нем вируса (или имя архиватора, или имя упаковщика, или сообщение об ошибке) выводится в начале строки и тем самым перезаписывает имя пораженного файла !!!

    03-Jul-2000 VX
    Вирусные новости одной строкой :

  • из группы lz0 ушел Black Jack
  • сегодня вышел журнал Line Zer0 Network #2, который издается группой lz0. Как видите, слухи о развале группы оказались преждевременны. Журнал (точнее его инсталляшка) занимает около 3 мегабайт, хотя в него не включено ни одного бинарника. Журнал доступен на http://www.coderz.net/linezer0.
  • группа Kefrens официально заявила о своем развале. Сервер группы закрыт.
  • зато в Бразилии создана новая вирусная группа, которая будет состоять только из бразильцев. Пока в нее входят 5 человек, которые не нуждаются в дополнительных представлениях : Kamaileon, Vecna (from 29A), NBK (from Matrix), Alevirus, nim_bus (редактор журнала Virus Brasil) . Они еще не выбрали названия для своей группы, поэтому не могут создать сайт группы ;-)) В планах группы - распространение своих вирусов в дикой природе.
  • антивирусное дерьмо под названием McAfee 4.02 (scan engine 4.0.70 with Dat file 4.0.4081) детектирует страницы нашего сайта (в том числе антивирусную страницу) как HTML-вирус !!! Сообщения об этом просто завалили админов сайтов, которые сделали линк на нашу антивирусную страницу. Это все наглая провокация, поскольку мы никогда не выкладывали на сервер зараженных страниц. То ли эвристик ругается на слово "virus", то ли на "Duke/SMF" ;-)))
  • RedArc своими новостями превратил Top Device из вирусописательского журнала в страничку аверских предупреждений о новых вирусах. Хоть бы новости были свежие, а то известие о появлении троянца GIP через два месяца после его выпуска... отдает душком. Новых статей нет, есть только куча переводов типа "такие-то аверы нашли такой-то вирус". Еще один сотрудник Top Device'а, narflung, заcпамил все конференции призывами присылать в Top Device любые статьи (даже батники ;-)), но это пока не принесло никакого эффекта.

    01-Jul-2000 AV
    Мной замечено, что кумулятивный апдейт AVP не полностью совместим с AVP DOS32 build 132 : перестали детектировалться бутовые вирусы Hiwaga, Lilith, Natas, Nice, Qrry, TPVO-01 и некоторые другие. Также из кумулятива были удалено детектирование макро вирусов Macro.Word.Fassist и Macro.Word.ScanProt.

    Вирусы, принадлежащие одним семействам, но носящие разные имена в базах AVP :

  • Backdoor.Neo, Mackdoor.Maverick, Backdoor.Matrix.*
  • Backdoor.Sneak, Backdoor.OOTLT.*
  • Wit.*, Win.Remor.* - перекомпиляция /m1 & /m2 соответственно

    30-Jun-2000 AV
    Вышел новый еженедельный апдейт AVP. Который стал очередной вехой в антивирусном сумасшедствии... Теперь AVP фактически призналась, что помимо вирусов стала детектировать хакерские утилиты (разное малваре). Вот вам реальные примеры новых семейств :

  • Flooder.* - флудеры
  • Generator.* - то же самое, что и GenDropper.*
  • Nuker.* - нюкеры, то же самое, что и Trojan.Win32.Nuker.*
  • Utility.* - утилиты (?), в данном случае почтовый бомбер.

    18-Jun-2000 VX
    Знаете как ваши вирусы попадают на стол к аверам ? А вот так :

    From:  "Karen Hцll" [email protected]
    Reply-To:  [email protected] 
    To:  [email protected], [email protected], [email protected], [email protected], 
         [email protected], [email protected] 
    Subject:  {V-L} Warnings ! 
    Date:  Sun, 18 Jun 2000 01:23:20 GMT 
    
    
    Sorry, for Mail....
    
    
    In this attachment are a New Vireus !!!
    
    
    IT's proudly a Production from Lucky2000 !!!
    
    
    Any Question are:
    
    Are Infected W97/VBS-Mail with Outlook,,voll Funktion with the New Update 
    from Microsoft, HTML and is Polymorphic too.....
    
    
    Sincerly Karen
    ________________________________________________________________________
    Get Your Private, Free E-mail from MSN Hotmail at http://www.hotmail.com
    
    (в роли отправителя письма - Lucky2000, побеждающий в нашей номанации "ЛАМЕР ГОДА").

    Между прочим, этот вирус ни что иное как RIP вируса Macro.Word97.Evolution.b by Error !!!

    18-Jun-2000
    Обзор последних новостей AV/VX сцены одной строкой (если это можно так назвать ;)) Вот, что творилось за рубежом :

  • в начале Июня администратор сервера http://www.coderz.net Evul потребовал, чтобы все пользователи его сервера удалили со своих страниц все бинарники, так как теперь это противоречит политике его сервера (здорово его федералы прижали!). Страницы, с которых не были удалены бинарники, заблокированы до тех пор, пока хозяева их не почистят.
  • после заявления Evul'а, администратор другого AV сервера http://virus.cyberspace.sk MGL предложил VX-ориентированным страницам место на своем сервере для размещения файлов (бинарников, не страниц!!!). Желающие могут обращаться непосредственно к нему.
  • можно всерьез утверждать о распаде таких групп как Feathered Serpents и Sign Of Scream - такой вывод сделал VirusBuster
  • распространились слухи о том, что GigaByte, девушка-вирмейкер, арестована местной полицией за распространение вирусов семейства I-Worm.Scrambler (они неплохо резвятся в дикой природе). Как оказалось, эти слухи беспочвенны, она даже обновила свою страницу. Паранойя, однако.
  • появился новый представитель вирусов - I-Worm.Timofonica, распространяющийся по сети мобильной телефонии
  • для PalmOS собираются выпускать антивирус. А вирусов-то под эту платформу еше не написано, хотя, по заявлению аверов, их создание потенциально возможно. Вот только вопрос - зачем пользователям приобретать этот антивирус за деньги, если он абсолютно ни отчего не защищает ??? Или люди уже стали бояться мифической заразы ?

    А вот новости с русcких полей :

  • можно начинать говорить о том, что фидо-конференция SU.CM также прекратила свое существование - с начал этого года в ней пролетело всего несколько писем; последние два месяца письма в нее совершенно не пишут; рулесы не постятся; нету ни модератора Игоря Гульева, ни комодератора RedArc. Вот так вот большие проекты заканчиваются большой лажей...
  • зато конференция PVT.VIRII переживает свое второе рождение. В последнее время народ стал активно писать в нее письма, даже Reminder расщедрился на несколько текстушек 8-летней давности да на пару батничков. Самое веселое, что в батничках он ставит МОИ копирайты, да еще после этого называет меня сукой. Ни модератор, ни комодератор не отреагировали на оскорбление читателя конференции, вот такую демократию развели...
  • ну, теперь-то комодератор PVT.VIRII Януш Миловский точно ничего не предпримет в защиту читателей конференции - с 13 июня он призван в армию (советскую и красную). А его проект - журнал Top Device - теперь находится в других руках, по заявлению Яна "надежных". Теперь журналом руководит некто U_DEV. Посмотрим, надолго ли хватит его энтузиазма и когда журнал загнется... Впрочем, одну глупость он уже совершил - вместо того, чтобы подыскать новое место для хостинга бинарников, он поудалял все бинарники из архивов (и утилиты,поставляемые без сырцов ?). Надо бы помнить, что не у каждого под рукой есть нужный компилятор...
  • по последним данным, теперь RedArc принимает участие в создании журнала Top Device - поставляет новости
  • конференция Relcom.Comp.Virus вконец оламерилась... Писем мало, не по существу, а в основном AV-направленности. И все это после того, как из нее пропал RedArc. Видимо, он является неплохим связующим элементом. Проверка показала, что такие личности как Vovochka, Admin, Sassa и прочие "сетевые друзья" эху читают, но ничего не пишут. То ли у них желание пропало (заплатите налоги!!!), то ли стимула нет... Когда выйдет журнал Zemskiy Fershal #4 ? Мы уже заждались, статьи протухают... Если вы это почитали - в мыло !
  • наконец-то я заполучил в свои руки вирус HLLP.DPVG.3552. Если судить по имени, то вирус должен быть создан с помощью моего конструктора DPVG. При рассмотрении обнаружился копирайт "[DPVG v0.20]". Но тут два затыка : 1) DPVG никогда не создавал HLLP-вирусов; 2) тело вируса написано не на паскале. Если у кого-то есть информация о происхождении этого чуда - прошу в мыло.
  • не пойму, зачем AVP понадобилось в апдейте от 27.05 переименовывать вирус Win32.Evyl.b by SMT/SMF в Win32.Evyl.e. Опять "junk signatures" ??? Зато понял, почему Top Device 05'2000 весит более метра - к нему прилагается полуметровый своп от IDA Pro...

    Небольшая статистика из баз AVP :

    Date of AVP update Total
    records
    Viral
    records
    Malware
    records
    Total
    names
    Viral
    names
    Malware
    names
    000602 173 113 60 129 85 44
    000609 258 124 134 191 91 100
    000616 237 91 146 176 70 106
    Проследили тенденцию ? Теперь рост размера баз и числа записей идет за счет malware, а не вирусов. Почему ? Да потому что malware не нуждается в лечении - его достаточно сдетектировать и удалить (даже если оно подлежит лечению).

    10-Jun-2000 AV
    Вышел апдейт AVP. Детектят два десятка плагинов для Back Orifice 2K. Один из ButtTrumpet 2K детектится как Butt, а другой - как Trumpet.b. Воистину - правая рука не ведает, что творит левая... Вирусы с именами Hail.998 & HKill.997 - не что иное, как клоны одного и того же вируса. Поэтому команда AVP побеждает в номинации "БЕЗ ЦАРЯ В ГОЛОВЕ".

    01-Jun-2000 AV
    В дневном апдейте AVP добрался до журналов G9N #1 и Creatures. Как обычно, вирусы отклонированы...

    30-May-2000 VX
    Вышел давно обещанный журнал G9N #1. Из русских кодеров в его создании поучаствовали ULTRAS и Duke/SMF, из зарубежных - The Spy (редактор журнала), Zulu & SimpleSimon (они презентовали первый в мире SHS-вирус, интернет червь), BrainMuscle & OldWary & Kalamar. Как обычно, ULTRAS предоставил журналу разработки, ранее опубликованные в других журналах (VBS.Nazburg & I-Worm.Android ранее публиковались в Top Device).

    Наряду с этим, ULTRAS ространет информацию о том, что его вирус I-Worm.Android создал какую-то там мелкую эпидемию. В ответ на это можно сослаться на информацию Лаборатории Касперского о том, что этот вирус в диком виде обнаружен не был. "Сколько ни говори ХАЛВА - во рту слаще не станет..." Поэтому ULTRAS побеждает в номинации "ХАЛВА МЕСЯЦА".

    [T H E _ E N D]