Вирусные Хроники'99 by Recoder 26 марта 1999 - на свободу вырвался очередной макровирус Melissa (официально Macro.Word97.Melissa). Вирус отличается умелым использованием Microsoft Outlook'a - активная копия вируса рассылает редактируемый документ по всем адресам найденным в Address Book'e Outlook'a. Мировое сообщество в панике, Microsoft закрывает свои почтовые сервера, AVP уже спокойно лечит его. Здорово! 5 марта 1999 (Касперский) - Лаборатория Касперского анонсировала выход Linux-версии своего пакета AVP. Антивирус распространяется бесплатно и совместим по формату баз с другими продуктами линии AVP. 21 февраля 1999 - появился первый стелс-вирус для Windows9x. Вирус Zerg написанный Dark Slayer'ом с Тайваньщины, перехватывает файловые функции IFS и пока вирус находится в системе не позволяет увидеть вирусный код. Несколько глючный stealth engine иногда крэшит систему, но факт остаётся фактом - стелсы пришли в Win32. 19 февраля 1999 (Dialogue Science) - обнаружен вирус для Win9x, поражающий помимо традиционных EXE, DLL и SCR файлов файлы встроенной Help-системы Windows - *.HLP. Вирус внедряет в HLP файл набор макросов, которые создают оригинальный DOS-дроппер, особенность которого в том, что он устанавливает Windows-резидентную копию из-под DOS-сессии, последовательно выходя сначала на третье кольцо защиты, а затем - в нулевое. Этот алгоритм заимствован из CIH. Многое остальное творчески переписано из знаменитого Zhengxi, например - создание дропперов в архивах или инфицировани кода функций. Судя по всему, автором является Lord Nutcracker. В теле имеется текстик: <C> 1997 VBA Ltd. E-mail:support@vba.minsk.by 17 февраля 1999 (Касперский) - в Интернете появился IRC-worm. Вирус, написнный SeptiC/TI получил имя IRC-Worm.Septic (авторкое имя Dark Messiah). Вирус поражает COM и EXE файлы, модифицирует BAT файлы, дописывает в HTML файлы ссылки на вирусные дропперы. Вирус интегрируется с mIRC, изменяя системные скрипты так что после приёма файлов клиент отсылает вирусный дроппер PORNO.COM. Также вирус отслеживает разные ключевые слова и выполняет соответствующие команды на локальном компьютере. 16 февраля 1999 - отловлен вирус-червь Happy99, _ умеющий рассылать свои копии через e-mail. Вирус хачит системную библиотеку WSOCK32.DLL и в моменты активизации Интернет-соединений отсылает свои копии через smtp и nntp. Таким образом он умеет помещать свои копии и в ньюсгруппы. Поражённые сообщения имеют клюдж X-Spanska: Yes. Авторство принадлежит месье Spanska. Вирус включает в себя довольно красивую демку фейерверка, которую надо полагать Spanska написал специально для этого вируса. 22 января 1999 - вот и написали второй вирус под Linux: Linux.Vit. Вирус поражает файлы ELF формата, раздвигая секции файлы и записываясь в образовавшееся место. 22 января 1999 (madokan) - отловлен второй Java-вирус: Java.BeanHive. Вирус оригинален тем, что состоит из двух частей - стартовой, которая записывается в поражаемые файлы и основной, которая подгружается на время заражения с веб-сайта автора (CodeBreakers). Собственно стартовая часть содержит около 40 строк кода, вызывающая основную часть и передающая управление оригинальному коду. Надо отметить, что вирус не размножается в виде аплетов, так что подхватить его через браузер нельзя. 2 января 1999 - GriYo/29A выпустил очень интересный вирус Win32.Parvo живущий в Win9x/NT. Вирус поражает PE файлы, при этом он не изменяет точку входа, а записывает по этому адресу кусок полиморфного загрузчика. Самое интересное то, что вирус умеет искать случайные e-mail адреса в ньюсгруппах и посылать по ним копию своего тела с небольшой сопроводительной запиской. Напоследок вирус определяет параметры dial-up соединений (телефоны, пароли) и отсылает их по определённым адресам. Вот ведь горячие испанские парни! Вирусные хроники за 98 год. Special thanks go to: щYanush Milovsky щCicatrix щEugene Kaspersky щValik щDialogue-Science щSGWW щFolks at relcom.virus щDr.Solomon and Dmitry Gryaznov Знаете новости, даты написания вирусов и выходов журналов? Пишите мне! recoder@usa.net |