Вирусные Хроники'99
by Recoder
26 марта 1999 - на свободу вырвался очередной макровирус Melissa
(официально Macro.Word97.Melissa). Вирус отличается умелым
использованием Microsoft Outlook'a - активная копия вируса рассылает
редактируемый документ по всем адресам найденным в Address Book'e
Outlook'a. Мировое сообщество в панике, Microsoft закрывает свои
почтовые сервера, AVP уже спокойно лечит его. Здорово!
5 марта 1999 (Касперский) - Лаборатория Касперского анонсировала
выход Linux-версии своего пакета AVP. Антивирус распространяется
бесплатно и совместим по формату баз с другими продуктами линии AVP.
21 февраля 1999 - появился первый стелс-вирус для Windows9x. Вирус
Zerg написанный Dark Slayer'ом с Тайваньщины, перехватывает файловые
функции IFS и пока вирус находится в системе не позволяет увидеть
вирусный код. Несколько глючный stealth engine иногда крэшит систему,
но факт остаётся фактом - стелсы пришли в Win32.
19 февраля 1999 (Dialogue Science) - обнаружен вирус для Win9x,
поражающий помимо традиционных EXE, DLL и SCR файлов файлы встроенной
Help-системы Windows - *.HLP. Вирус внедряет в HLP файл набор макросов,
которые создают оригинальный DOS-дроппер, особенность которого в том,
что он устанавливает Windows-резидентную копию из-под DOS-сессии,
последовательно выходя сначала на третье кольцо защиты, а затем - в
нулевое. Этот алгоритм заимствован из CIH. Многое остальное творчески
переписано из знаменитого Zhengxi, например - создание дропперов в
архивах или инфицировани кода функций. Судя по всему, автором является
Lord Nutcracker. В теле имеется текстик:
<C> 1997 VBA Ltd. E-mail:support@vba.minsk.by
17 февраля 1999 (Касперский) - в Интернете появился IRC-worm.
Вирус, написнный SeptiC/TI получил имя IRC-Worm.Septic (авторкое имя
Dark Messiah). Вирус поражает COM и EXE файлы, модифицирует BAT файлы,
дописывает в HTML файлы ссылки на вирусные дропперы. Вирус
интегрируется с mIRC, изменяя системные скрипты так что после приёма
файлов клиент отсылает вирусный дроппер PORNO.COM. Также вирус
отслеживает разные ключевые слова и выполняет соответствующие команды
на локальном компьютере.
16 февраля 1999 - отловлен вирус-червь Happy99, _ умеющий рассылать
свои копии через e-mail. Вирус хачит системную библиотеку WSOCK32.DLL и
в моменты активизации Интернет-соединений отсылает свои копии через
smtp и nntp. Таким образом он умеет помещать свои копии и в ньюсгруппы.
Поражённые сообщения имеют клюдж X-Spanska: Yes. Авторство принадлежит
месье Spanska. Вирус включает в себя довольно красивую демку
фейерверка, которую надо полагать Spanska написал специально для этого
вируса.
22 января 1999 - вот и написали второй вирус под Linux: Linux.Vit.
Вирус поражает файлы ELF формата, раздвигая секции файлы и записываясь
в образовавшееся место.
22 января 1999 (madokan) - отловлен второй Java-вирус:
Java.BeanHive. Вирус оригинален тем, что состоит из двух частей -
стартовой, которая записывается в поражаемые файлы и основной, которая
подгружается на время заражения с веб-сайта автора (CodeBreakers).
Собственно стартовая часть содержит около 40 строк кода, вызывающая
основную часть и передающая управление оригинальному коду. Надо
отметить, что вирус не размножается в виде аплетов, так что подхватить
его через браузер нельзя.
2 января 1999 - GriYo/29A выпустил очень интересный вирус
Win32.Parvo живущий в Win9x/NT. Вирус поражает PE файлы, при этом он не
изменяет точку входа, а записывает по этому адресу кусок полиморфного
загрузчика. Самое интересное то, что вирус умеет искать случайные
e-mail адреса в ньюсгруппах и посылать по ним копию своего тела с
небольшой сопроводительной запиской. Напоследок вирус определяет
параметры dial-up соединений (телефоны, пароли) и отсылает их по
определённым адресам. Вот ведь горячие испанские парни! Вирусные
хроники за 98 год.
Special thanks go to:
щYanush Milovsky щCicatrix щEugene Kaspersky щValik
щDialogue-Science щSGWW щFolks at relcom.virus
щDr.Solomon and Dmitry Gryaznov
Знаете новости, даты написания вирусов и выходов журналов?
Пишите мне! recoder@usa.net
|
