"Вирусные хроники". * Zemsky Fershal //NF (C) 1998-2004

"Вирусные хроники".
by Admin

В очередной раз приношу свои извинения моему другу ReCoder -у за
использование его идеи "Вирусных хроник" и надеюсь на его и Вашу помощь
в их составлении и пополнении. Поскольку планируется регулярное издание
"Хроник", как в WWW, так и на страницах нашего журнала, приглашаю все
стороны к сотрудничеству. Начнем мы с января 98-го. Итак, основые темы
выпуска -

* WildList Russia
* Win.RedTeam
* AccesiV
* MAW.Cross
* Конкурс 150 байт
* Исходник Cabanas
* 12-й номер IV
* Win95.HPS/Marburg

- 1998 -

1998 год начался с затишья на вирусном фронте. После нашумевших в
прошлом году вирусов WM.CAP, Win32.Cabanas,Win95.Zombie и PM.Wanderer,
антивирусные программы усвоили новые требования к себе и подавляющим
большинством ушли из DOS под Win32. Обе стороны затаились, ожидая
действий друг друга.

Первым событием стало создание Ассоциации Антивирусных Специалистов
под эгидой AVP Team и начало издания ими WildList Russia, о чем мы
писали в предыдущем номере.

В феврале 1998 в коллекциях вирусологов появился первый вирус,
использующий для своего размножения электронную почту. Вирус был назван
Win.RedTeam и размножался при помощи программы Eudora Mail версии 3.0.
Таким образом на смену макровирусу ShareFun пришел полноценный
Windowsвирус, не зависящий от пакета MS Office.

Диалог-Наука выпустила четвертую версию своего WEB-a. Доктор
оказался для DOS,что изрядно насмешило и озадачило. Причем к старым
глюкам прибавился еще один, связанный с автолечением новых простых
вирусов. Об этом подробно расскажет в этом же номере DrMAD.

Зато AVP TEAM решила занять пустющую нишу и выпустила бета-версию
дискового ревизора AVP Inspector. Программа написана для Win95 и WinNT,
что должно вытеснить с рынка ADINF.

Весна 1998 года ознаменовалась двумя историческими событиями в
вирусологии. Первое из них - это появление "долгожданного" первого
вируса, заражающего базы MS Access. Вирус содержит один макрос AutoExec
и в нем модуль заражения VIRUS. Первенца звали AccessiV и практически
сразу с момента появления он стал обнаруживаться антивирусами AVP и Dr.
Solomon. Автором вируса является вирмер Jerk1N из практически
неизвестной группы DIFFUSION. Как говорится,не прошло и года, и
появились клоны данного зверька. На момент написания этой статьи,
access-вирусов известно уже 4-5 разновидностей.

Второе событие логически вытекло из первого и сравнимо по своему
значению с появлением первого макро-вируса. Итак, в мае 1998 вирмер
VicodinES "родил" первый многоплатформенный вирус для приложений MS
Office. Вирус заражал файлы MS Word97 и базы MS Access !!! Подробное
описание вируса MAW97.Cross было любезно предоставлено AVP Team.

Следующим шагом стало появление вируса,заражающего документы Excel
и Word - вирус StrangeDays.

Состоялся конкурс на написание вируса для Windows, размером не
более 150 байт. Конкурс был обьявлен членом группы 29A - GriYo. В
конкурсе приняли участие вирмеры из самых различных групп. Победителем
стал Darkman/29A с вирусом Compo,размером 145 байт.Вирус заражает
NE-EXE файлы в текущем каталоге при выполнении. Использует tunneling
для перехвата Int 21. Второе место занял Super/29A с вирусом
Mariano,размером 147 байт. Вирус является резидентным, полиморфным,
компаньон-вирусом, поражающем EXE и COM файлы. Третьим был MrSandman/29
A, написавший вирус HongKong.78. Вирус является компаньоном и заражает
файлы Win32 EXE/PE/NE/LX/LE - форматов. Из остальных вирусов,
присланных на конкурс, стоит отметить вирус DDT.150, написанный Vecna.
Этот вирус стал 5-м, заражающим OBJ-файлы.

AVP Team поругалась с Диалог-Наукой из-за совпадения участков кода
в блоках обнаружения и лечения макровирусов. Подробно эта тема
обмусолена во всех конференциях и антивирусных сайтах, поэтому снова
ворошить ее не хочется. Тем более,что закончилось все миром.

Группа 29A, окрыленная успехами своих членов, выпустила очередной
номер своего журнала. Там же был опубликован исходник вируса
Win32.Cabanas.2999, который мы и предлагаем вашему вниманию в этом
номере.

А вот наша отечественная группка SGWW, спустя год сподобилась на
издание очередного номера Infected Voice, причем номер был выпущен
Киевским филиалом. Говорить о нем подробно не хочется по причине
крайной его скудности и отсталости. Пара вирусов для DOS, руководство
по написанию вирей на Паскале и все. Даже LovinGOD весьма нелицеприятно
отозвался о IV12.

Зато Московская SGWW с начала апреля обещает выход со дня на день
второго номера Infected Moscow, но время идет, а воз и ныне там. В
промежутках между написанием J статей для IM и перевода их на
английский и обратно, духовный лидер SGWW LovinGOD обещает всем
антивирусникам скорый конец и каждую неделю чистит свою wwwboard.
Кстати, на днях SGWW обьявила, что сил на выпуск полноценного номера у
них нет и посему будет выходить только online-версия (?) из готовых
статей, по мере их написания (уворования?). Таким образом выход
IM2,видимо, откладывается еще на годик.

Ах, чуть не забыл ! SGWW решила попробовать свои силы в хакинге и
"вскрыла" сервер Диалог-Науки. Результатом стало попадание в руки SGWW
списка 20 коммерческих пользователей DrWEB J)))))) Что и говорить -
факт, достойный упоминания в анналах Интернета. J

Практически через два дня после выхода IV 12, вышел первый номер
"Земского Фершала". С момента выпуска журнал получил свою порцию
критики (со стороны вирмеров) и благожелательные отзывы другой стороны.

И снова новость от Лаборатории Касперского. Выпущен AVP 1.0 для OS/
2. Таким образом AVP покрыла своими продуктами все существущие
операционные системы. Единственное что еще осталось незатронутым
"бородатыми дядьками из AVP" (c) RedArc ;), так это BeOS от Intel.

Пока отечественные вирусописатели ламерстовали и флеймовали друг с
другом неугомонные 29A совершили очередную революцию в вирусологии.
Лидером этой группы GriYo были написаны первые полиморфик-вирусы для
Win32-x платформ. Win98.HPS и Win32.Marburg открыли новую эру в
вирусописании и задали новые цели для всех противоборствующих сторон.

С промежутком в две недели вышли 5-й и 6-й номера вирусологического
журнала MoonBug от тульской группы TAVC. RedArc воспринял критику по
поводу большого обьема 5-го номера и 6-ой выпуск стал заметно меньше по
обьему. Правда обьясняется это тем, что в 6-ой номер вошли те статьи,
которым не хватило места в пятом выпуске. Немного огорчило отклонение
TAVC от собственных статей и уклон в сторону перепечаток из других
журналов. Так что как дайджест MoonBug 6 весьма хорош.

В первой декаде июня сервер незабвенной SGWW - www.bazara.net/sgww
накрылся "по не совсем техническим причинам". Неделю LG в панике искал
новое место для жизни и в конце концов забрался на другой забугорный
сайтик. Надолго ли ? Одновременно с этим все-таки начал выходить Online
Infected Moscow состоящий на сегодняшний момент из 20 с лишним стишком
и рассказов Al Khana и пары-тройки статей про ДОС и ДОС-вирусы.

И вот в конце июня грянул гром! Началась всемирная эпидемия вируса
Win95.CIH.1019. Сам вирус попал в руки антивирусников в начале июня и
оказался поистине мифическим. Первый вирус, поражающий флэш-биос
компьютера, и пусть не физически, но логически и РЕАЛЬНО портящий
железо !!! Вирус был написан на Тайване вирмером Tatungом и запущен им
в конференции Usenet, а также размещен на многих серверах Интернет и
BBS. За пару недель вирус проник практически во все страны Азии и
добрался до Европы и Америки. 26 июня первые компьютеры вышли из строя.
Первой постадала Швеция. Вал заражений нарастал и докатился до России.
Усугубленные тем фактом, что вирус выводил зараженные компьютеры из
строя, слухи и панические заявления антивирусников привели к эйфории,
сравнимой пожалуй только с появлением WM.Concept. Корпорация Symantec
заявила, что только AVP в состоянии реально справиться с CIH и за день
число downloadов AVP превысило годовой уровень ! Сервера не успевали
обрабатывать все запросы. А тем временем информация о заражениях начала
поступать из многих регионов России. Вирус был обнаружен в Москве,
Петербурге, Новосибирске.