Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Антивирусное обозрение "Ежики" - #62 (19.11.2000)


Служба Рассылок Subscribe.Ru проекта Citycat.Ru

Антивирусная Лаборатория Дизет                    http://dizet.com.ua
======================================================================
Антивирусное Обозрение "Ежики"
 (события, факты, комментарии)
======================================================================

  Сегодня в обзоре:

   - I-Worm.Hybris - новый опасный интернет-червь!
   - SHORE.D: вредитель из отряда макро-вирусов
   - На Филиппинах арестован подозреваемый в распространении вируса Erap
   - Во Франции  были  зарегистрированы  случаи  заражения  очередной
     разновидностью Интернет-червя
   - Sonic: Интернет-червь со способностью самообновления
   - Горячая десятка вирусов за сентябрь от Sophos

======================================================================
I-Worm.Hybris - новый опасный интернет-червь!

Интернет-червь, распространяющийся при помощи  зараженных  электронных
писем.    Работоспособен    под    Win32.    Содержит    в        себе
подпрограммы-компоненты  (плагины)  и    выполняет    их    по    мере
необходимости.  Эти  плагины  могут  быть   "обновлены"    червем    с
Интернет-страницы автора вируса.
Старшие версии червя зашифрованы полу-полиморфным кодом.

Червь содержит текст:
 HYBRIS
 (c) Vecna

 Запуск файла-червя
 ------------------
При  запуске  EXE-файла  с  копией  червя  он   заражает    библиотеку
WSOCK32.DLL, при этом червь:

 - записывает себя в конец файла
 - перехватывает функции "connect", "recv", "send"
 - заменяет стартовый адрес DLL-библиотеки на  свой  код  и  при  этом
   шифрует "настоящую" стартовую процедуру файла.

Если заражение не состоялось (если,  например,  файл  WSOCK32.DLL  уже
используется и заблокирован системой на  запись),  червь  создает  его
копию со случайным именем, заражает эту  копию  и  записывает  в  файл
WININIT.INI инструкцию замещения WSOCK32.DLL на зараженную копию  (это
произойдет при следующем рестарте Windows).

Червь также  создает  свою  копию  со  случайным  именем  в  системном
каталоге Windows и регистрирует ее в ключе реестра "запуск  один  раз"
(RunOnce):

 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
 {Default} = %WinSystem%\WormName

или

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 {Default} = %WinSystem%\WormName

где  %WinSystem%  является  именем  системного  каталога  Windows,   а
"WormName" является случайным именем, например:

 CCMBOIFM.EXE
 LPHBNGAE.EXE
 LFPCMOIF.EXE

 Зараженная библиотека WSOCK32.DLL
 ---------------------------------
Червь перехватывает функции работы с Интернет, сканирует принимаемые и
отправляемые данные, ищет в  них  адреса  электронной  почты  и  через
некторое время отправляет свои копии по этим адресам.

 Плагины
 -------
Функциональность червя во многом определяется его  плагинами,  которые
хранятся в теле червя в зашифрованном виде (используется шифрование по
типу RSA с 128-битным ключем).  Эти плагины выполняют самые  различные
функции и могут быть "обновлены" с Интернет-стриницы:

 http://pleiku.vietmedia.com/bye/

Таким  образом,  функциональность  червя    полностью    зависит    от
расположенных на этой странице плагинов  (плагины  на  странице  также
зашифрованы).

Для "апгрейда"  своих  плагинов  червь  также  использует  конференцию
USENET  alt.comp.virus.  Червь  периодически  подключается   к    этой
концеренции  (случайно  выбирая  один  их  более  чем    70    адресов
news-серверов), конвертирует свои плагины в формат письма  и  посылает
его в конференцию.  Сообщения вируса в концеренции можно определить по
случаному тексту в поле Subject, например:

 encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
 encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
 text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
 text RFRE rebibmTCDOzGbCjSZ

где первые 4 символа - "имя" закодированного плагина,  а  следующие  4
символа - закодированный  "номер  версии"  плагина.  Аналогично  червь
считывает новые плагины из конференции: проверяет имя  плагина  и  его
версию, сравнивает с текущими плагинами и, если плагин  в  конференции
имеет больший номер версии,  замещает  текущий  плагин  на  его  более
"свежую" версию.


Червь также "скидивает" свои  плагины  на  диск  в  системный  каталог
Windows в виде файлов со случайно выбранными именами, например:

 BIBGAHNH.IBG
 DACMAPKO.ACM
 GAFIBPFM.AFI
 IMALADOL.MAL
 MALADOLI.ALA


Известно  несколько  плагинов.  Они  выполняют,  например,   следующие
действия:

1. Заражают все ZIP- и RAR-архивы на всех доступных дисках  от  C:  до
Z:.  При заражении архива червь ищет в нем .EXE-файлы, переименовывает
их с именем .EX$, а  свою  копию  дописывает  под  именем  заражаемого
 .EXE-файла (компаньон-метод заражения).

2. Посылают письма-плагины в конференцию "alt.comp.virus" и  считывают
новые плагины из конференции.

3. Заражают  удаленные  компьютеры,  на  которых  установлен  backdoor
SubSeven.  Плагин ищет такие компьютеры в сети  и  при  помощи  команд
SubSeven посылает копию червя на компьютер и запускает там  эту  копию
на выполнение.

4. Шифруют файл-червь при помощи полиморфик-кода  при  каждой  посылке
файла-червя, вложенного в письмо электронной почты.

5. Случайным образом выбирают поле  заголовка  письма,  текста  и  имя
файла-вложения:

 Поле From: Hahaha <hahaha@sexyfun.net>
 ---------

 Заголовки письма:
 ----------------

 Snowhite and the Seven Dwarfs - The REAL story!
 Branca de Neve porn?!
 Enanito si, pero con que pedazo!
 Les 7 coquir nains

 Тексты сообщения:
 ----------------

C'etait un jour avant son dix huitieme anniversaire.  Les 7 nains, qui
avaient aidщ 'blanche neige' toutes ces annщes aprшs qu'elle  se  soit
enfuit de  chez  sa  belle  mшre,  lui  avaient  promis  une  grosse
surprise. A 5 heures comme toujours, ils sont rentrщs du travail. Mais
cette fois ils avaient un air coquin...

Today, Snowhite was  turning  18.  The  7  Dwarfs  always  where  very
educated and polite with Snowhite.  When they go out work at  mornign,
they promissed a huge surprise.  Snowhite was  anxious.  Suddlently,
the door open, and the Seven Dwarfs enter...

Faltaba apenas un dia para su aniversario de de  18  aёos.  Blanca  de
Nieve fuera siempre muy  bien  cuidada  por  los  enanitos.  Ellos  le
prometieron una grande sorpresa para su  fiesta  de  compleaёos.  Al
entardecer, llegaron. Tenian un brillo incomun en los ojos...

Faltava apenas um dia para o seu aniversario de  18  anos.  Branca  de
Neve estava muito feliz e ansiosa, porque os 7  an?es  prometeram  uma
grande surpresa. As cinco horas, os an?ezinhos voltaram do trabalho.
Mas algo nao estava bem...  Os  sete  an?ezinhos  tinham  um  estranho
brilho no olhar...

 Имена вложения:
 --------------
 enano.exe
 enano porno.exe
 blanca de nieve.scr
 enanito fisgon.exe

 sexy virgin.scr
 joke.exe
 midgets.scr
 dwarf4you.exe

 blancheneige.exe
 sexynain.scr
 blanche.scr
 nains.exe

 branca de neve.scr
 atchim.exe
 dunga.scr
 anуo porn?.scr

 А также (в зависимости от версии плагина):
 -----------------------------------------

 Заголовок письма является случайной комбинацией из:

 Anna             +  sex
 Raquel Darian       sexy
 Xena                hot
 Xuxa                hottest
 Suzete              cum
 famous              cumshot
 celebrity rape      horny
 leather             ...  и тому подобное

 Имя файла-вложения:

 Anna.exe
 Raquel Darian.exe
 Xena.exe
 Xuxa.exe
 Suzete.exe
 famous.exe
 celebrity rape.exe
 leather.exe
 sex.exe
 sexy.exe
 hot.exe
 hottest.exe
 cum.exe
 cumshot.exe
 horny.exe
 anal.exe
 gay.exe
 oral.exe
 pleasure.exe
 asian.exe
 lesbians.exe
 teens.exe
 virgins.exe
 boys.exe
 girls.exe
 SM.exe
 sado.exe
 cheerleader.exe
 orgy.exe
 black.exe
 blonde.exe
 sodomized.exe
 hardcore.exe
 slut.exe
 doggy.exe
 suck.exe
 messy.exe
 kinky.exe
 fist-fucking.exe
 amateurs.exe

Описание: "Лаборатория Касперского"
======================================================================

SHORE.D: вредитель из отряда макро-вирусов

W97M_SHORE.D - деструктивный макро-вирус,  заражает  документы/шаблоны
MS  Word  97.  Удаляет  все  макросы  пользователя,  содержащиеся    в
документе.  При открытии редактора Visual Basic отображается окно  для
ввода пароля.  Если пользователь  инфицированного  компьютера  наберет
неверный пароль и затем нажмет кнопку "OK", отображается сообщение  об
ошибке.  При корректном вводе пароля  пользователем  открывается  окно
редактора Visual  Basic.  Вирус  заражает  активные  документы/шаблоны
Word,  прерывая  при  этом  следующие  события:  AutoOpen,   FileOpen,
AutoExit, AutoClose, FileSave, AutoExec и FileNew.

Макросы, имеющие отношение к File|Templates, Tools|Macro  и  редактору
Visual Basic, модифицируются вирусом и уже не исполняют  свои  обычные
функции. Вместо загрузки окна редактора Visual Basic отображается окно
для  ввода  пароля.  Вирусный  код  содержит  определенные    команды,
позволяющие просматривать его  после  ввода  правильного  пароля.  При
вводе  пользователем  инфицированного  компьютера  неверного   пароля,
отображается сообщение об ошибке: Unable to get  the  access.  Request
aborted...  Правильный пароль для доступа к редактору Visual  Basic  -
"cool13".  При  открытии  зараженного  документа  SHORE.D    отключает
встроенную защиту от макро- вирусов в MS Word 97. Вирус не  инфицирует
повторно  уже  зараженные  файлы,   сверяясь    с    измененными    им
пользовательскими установками: NAME: Серийный номер TYPE: Число VALUE:
2017

Источник: "Лаборатория Касперского"
======================================================================

На Филиппинах арестован подозреваемый в распространении вируса Erap

По сообщению антивирусной  компании  Sophos  на  Филиппинах  арестован
подозреваемый в распространении вируса "Erap Estrada".

22 октября 19-летний  молодой  человек  был  арестован  в  своем  доме
агентами Национального Бюро Расследований (NBI) Филиппин.  У него были
изъяты дискеты и компьютерное оборудование.  Позднее арестованный  был
отпущен на свободу до окончания расследования этого дела.  Как  сказал
Elfren  Meneses,  руководитель  подразделения  NBI   по    борьбе    с
компьютерными преступлениями: "Все  изъятые  улики  переданы  в  отдел
электронной обработки данных NBI для дальнейшего изучения и анализа".

Власти Филиппин, видимо,  решили  попытаться  реабилитироваться  после
нескольких неудачных попыток привлечь  к  ответственности  виновных  в
распространении  вируса  LoveLetter,  причинившего   огромный    ущерб
компьютерам во всем мире в мае этого года.

Источник: Sophos
======================================================================

Во Франции  были  зарегистрированы  случаи  заражения  очередной
разновидностью Интернет-червя

10 октября 2000 г. во Франции были зарегистрированы  случаи  заражения
очередной разновидностью Интернет-червя "KakWorm.d".

Эта разновидность Интернет-червя отличается от  других  представителей
семейства,  тем,  что  работоспособна  только  на   компьютерах    под
управлением французской версии Windows.

Для  проникновения  на  компьютеры  пользователей  черви  этого   типа
используют  дыру  в  системе  безопасности  Internet  Explorer    5.0,
получившую название "Scriptlet.Typelib Vulnerability". Для того, чтобы
активизировать KakWorm пользователю  достаточно  прочитать  зараженное
письмо.  После этого червь создает в папке автозапуска  файл  OUT.HTA,
который при последующей перезагрузке  модифицирует  системный  реестр.
Таким образом, к каждому  исходящему  письму  в  качестве  подписи  по
умолчанию добавляется невидимая скрипт-программа, содержащая червя.

Как сообщает "Лаборатория Касперского", для  защиты  от  червей  этого
типа  достаточно  установить  <заплатку>  к  Internet  Explorer   5.0,
доступную на сайте Microsoft по адресу:
http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP

Источник: InfoArt
======================================================================

Sonic: Интернет-червь со способностью самообновления

"Лаборатория Касперского", предупреждает пользователей об  обнаружении
нового Интернет червя Sonic.  Червь был обнаружен "в диком виде" утром
30  октября  во  Франции  и  Германии.  Отличительной  чертой   данной
вредоносной  программы  является  ее  способность  к    самообновлению
(автоматической  загрузке  дополнительных  функциональных   компонент)
через Интернет.  Червь состоит из двух частей: загрузчика и  основного
модуля.  Копии загрузчика распространяется по сети Интернет при помощи
электронной почты.  Попав на компьютер, он внедряется  в  операционную
систему и инициирует  соединение  с  хакерским  сайтом  на  популярном
ресурсе бесплатных домашних страниц 'Geocities'. Оттуда червь пытается
нелегально загрузить основной модуль для его установки  на  зараженном
компьютере.    Главное    предназначение    основного    модуля      -
backdoor-функции,  т.е.  несанкционированный   сбор    информации    о
компьютере  и  слежка  за  действиями    пользователя.    "Лаборатория
Касперского" допускает, что  автор  червя  может  изменять  назначение
основного модуля, в том числе, в сторону придания  ему  более  опасных
разрушительных способностей.  После установки основного  модуля  червь
незаметно для пользователя получает доступ к  адресной  книге  Windows
(WAB), считывает из нее адреса электронной почты и  рассылает  по  ним
зараженные сообщения, содержащие копию загрузчика червя.  В  известных
версиях червя рассылаемые сообщения имеют  тему  письма  'Choose  your
poison' и зараженный вложенный  файл  с  именем  GIRLS.EXE.  Процедуры
защиты от  червя  Sonic  добавлены  в  антивирусные  базы  "Антивируса
Касперского" (AVP).  Технические подробности  о  принципах  и  порядке
функционирования  червя  доступны  на  сайте  Вирусная    Энциклопедия
Касперского: www.viruslist.com .

Источник: "Лаборатория Касперского"
======================================================================

Горячая десятка вирусов за сентябрь

По сведениям от  Sophos  в  сентябре  наибольшую  активность  проявили
следующие вирусы:
1. VBS/Kakworm - 18.3%
2. VBS/LoveLet-G - 7.3%
3. W32/Apology-B (aka I-Worm.MTX) - 6.6%
4. WM97/Metys-F - 6.2%
5. Troj/Qaz (aka Worm.Qaz) - 4.4%
6. XM97/Jini-A - 4.4%
7. WM97/Marker-C - 4.0%
8. VBS/Stages (I-Worm.Scrapworm) - 3.7%
9. WM97/Ethan - 3.3%
10. W32/Ska-Happy99 (aka I-Worm.Happy) - 2.6%

Все остальные вирусы, проявившие себя в августе составляют 39.2%.

Источник: "Лаборатория Касперского"
======================================================================
Эти и многие другие новости ежедневно на  сайте  "Антивирусная  Служба
Новостей" : http://news.dizet.com.ua/
======================================================================
Архив рассылки     : http://subscribe.ru/archive/comp.soft.av.ezheki/

Автор рассылки     : Андрей Каримов
e-mail: info@dizet.com.ua

Мы ждем ваших отзывов и пожеланий!

Another Banner Network

http://subscribe.ru/
E-mail: ask@subscribe.ru

В избранное