Wirusy roku 2004

Mijający rok nie należy do najspokojniejszych, jeśli chodzi o zagrożenia internetowe. Wybuchały epidemie, byliśmy świadkami wojen cybernetycznych, wirusy zaczęły atakować pliki, dotychczas uznawane za bezpieczne. Zmienił sie również stereotyp hakera. W tym zgiełku użytkownicy stracili najwięcej - czas i cierpliwość.

Według danych odnotowanych przez bezpłatny skaner antywirusowy online Panda ActiveScan, Downloader.GK był najbardziej złośliwym kodem roku 2004. Okazuje się, iż zaatakował on najwięcej komputerów, zarówno w Polsce, jak i na świecie. Co ciekawe jest on pierwszym trojanem, który rozpowszechnił się na tak dużą skalę. Do tej pory czołówka naszego rankingu należała do robaków internetowych.

Downloader.GK przyczynił się do około 16% wszystkich infekcji w Polsce. Aby się rozporzestrzenić potrzebował pomocy użytkownika, instalacji programów typu adware. Widać więc, że pomimo narastającej liczby zagrożeń i infekcji jesteśmy coraz mniej ostrożni, przeglądając witryny internetowe.

Następne miejsca w rankingu Top Ten 2004 roku zajęły odpowiednio następujące wirusy w Polsce: Exploit/Mhtredir.gen (8,21%), Sasser.ftp (5.7%), Trj/StartPage.FH (5,59%) i W32/Bagle.pwdzip (5,47%).

Panda Software Polska przedstawia ranking najczęściej występujących wirusów roku 2004 w Polsce i na świecie:

POLSKA
(Wirus - % infekcji)

Trj/Downloader.GK - 16
Exploit/Mhtredir.gen - 8,21
W32/Sasser.ftp - 5,7
Trj/StartPage.FH - 5,59
W32/Bagle.pwdzip - 5,47
VBS/Redlof.A - 4,93
W32/Gaobot.gen.worm - 3,55
W32/Parite.B - 3,55
Trj/Qhost.gen - 2,75
W32/Netsky.C.worm - 2,69
Łączna liczba przeskanowanych komputerów w Polsce wynosi 255834.

ŚWIAT
(Wirus - % infekcji)

Trj/Downloader.GK - 14
W32/Netsky.P.worm - 6,91
W32/Sasser.ftp - 4,96
W32/Gaobot.gen.worm - 4,31
Exploit/Mhtredir.gen - 4,25
W32/Netsky.D.worm - 3,96
Trj/Downloader.L - 3,54
Trj/Qhost.gen - 3,48
Trj/StartPage.FH - 3,35
Łączna liczba przeskanowanych komputerów na świecie wynosi 6488814.

Za największego niszczyciela roku 2004 uznano Sasser. Spowodował on jedną z najpoważniejszych epidemii w dziejach Internetu. Unieruchomił miliony komputerów, doprowadzając użytkowników do szału nieustającymi restartami. Jedyna dobra wiadomość to taka, że udało się ująć jego twórcę i odpowie on za spowodowane zniszczenia.

Wszyscy pamiętamy sławnego Mydoom – zajął on dopiero 15 miejsce, pod względem ilości infekcji na świecie (2,53%), w Polsce znalazł się poza pierwszą dwudziestką. Zdecydowanie osiągnął dużą popularność i sławę.

Rok 2004 mija nam z wyraźną przewagą trojanów. Po raz pierwszy jest on bezdyskusyjnym liderem podsumowania rocznego. Downloader.GK od pierwszego pojawienia się w czerwcu 2004 spowodował wiele infekcji. Uplasował się w czołówce rankingu, spychając na drugi plan dotychczasowych liderów – robaki internetowe. Cztery spośród dziesięciu złośliwych kodów niniejszego rankingu to trojany. W roku 2003 były dwa, a w 2002 tylko jeden. W przyszłym roku należy spodziewać się dalszej tendencji wzrostowej tego typu infekcji.
W32/Netsky.B.worm - 3,43
Można zaobserwować stałą obecność członków rodziny Netsky (odmiany P,B oraz D). Wszystkie mają podobne cechy i jak wiele innych robaków roznoszą się za pośrednictem poczty elektronicznej.

Głównym zagrożeniem są nadal słabe punkty oprogramowania. Cztery złośliwe kody Top Ten 2004 wykorzystują do rozprzestrzeniania się luki w aplikacjach i systemie operacyjnym. Łatwo zauważyć jak skuteczna musi być ta metoda infekowania komputerów, jeśli cztery wirusy nadal powodują liczne ataki. Użytkownicy nie aktualizują regularnie swoich systemów a twórcy złosliwych robaków, po prostu to wykorzystują.

Rok 2004 jest rokiem wzrostu liczby zainfekowanych komputerów, jak i dokonanych przestępstw internetowych. Znacznie także wzrosła ilość oszust, prób wykradania danych do kont bankowych. Zmienił się wizerunek hakera. Pamiętamy go, jako młodego, zbuntowanego człowieka. Teraz inspiracją dla twórców wirusów są pieniądze i wykradanie poufnych danych w celach zarobkowych.

To, co kiedyś było tylko teorią staję się rzeczywistością. Dowodem są pierwsze pojawiające się już wirusy komórkowe. Wprawdzie jeszcze nie groźne, ale wszystko przed nami.

Często, gdy mówimy o wirusach komputerowych padają określenia: epidemia, szkody, straty itp. Spróbujmy zapomnieć teraz o statystykach i spojrzeć na problem z innej strony. Przyjrzyjmy się dokładnie, czym właściwie wyróżniły się złośliwe kody w mijającym roku i co spowodowało, że niektóre z nich osiągnęły tak dużą popularność.

Atak roku 2004

Robak Mydoom.A odegrał tu z pewnością największą rolę, jako najbardziej aktywny wirus. W czasie epidemii obliczono, że na cztery e-maile krążące po Internecie, jeden z nich był zainfekowany. Mydoom.A stosował prostą i bardzo skuteczną metodę, inżynierię społeczną. Ukrywał się pod postacią automatycznie wygenerowanej przez serwer wiadomości, która informowała o błędzie. W cieniu MyDoom’a atakowały także Doomjuice, Deadhat oraz Mitglieder. Wykorzystując stworzone przez swojego poprzednika tylne furtki docierały do systemu, czyniąc spustoszenie. W ten sposób jeden wirus był przyczyną wielotygodniowej infekcji. Mimo iż Sasser w rzeczywistości spowodował więcej zniszczeń, sława i popularność przypadła Mydoom.
Również znany jako: Worm.Mydoom.A
Typ: robak
Długość: 22528
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie
Mydoom.A jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz udostępnianiu możliwości przejęcia kontroli nad zainfekowanym komputerem. Robak umożliwia również przeprowadzanie ataku typu Denial of Service.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach :
Temat: [jeden z poniższych]
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Treść: [jedna z poniższych]

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent
as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

Załącznik: [poniższa nazwa]

document
readme
doc
text
file
data
test
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku następujące pliki: shimgapi.dll, taskmon.exe, które tworzy w katalogu C:\\\\WINDOWS\\\\SYSTEM, C:\\\\WINNT\\\\SYSTEM32 lub C:\\\\WINDOWS\\\\SYSTEM32 (zależnie od wersji Windows) oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
UWAGA! Prosimy nie mylić standardowego komponentu systemu Windows o nazwie taskmon.exe znajdującego się w katalogu Windows (domyślnie C:\\\\WINDOWS lub C:\\\\WINNT zależnie od wersji systemu Windows) z plikiem o takiej samej nazwie tworzonym przez robaka, ale w innym katalogu.
Robak wyszukuje adresy poczty elektronicznej z plików z rozszerzeniami htm, sht, php, asp, dbx, tbb, adb, pl, wab, txt i następnie wysyła na nie swoje kopie za pomocą poczty elektronicznej. Również adres nadawcy jest jednym z adresów odnalezionych w powyższych plikach. Do wysyłania poczty robak korzysta z własnego silnika SMTP.
Dodatkowo robak umożliwia nieautoryzowany dostęp do zainfekowanego komputera oczekując na połączenia na portach od 3127 do 3198. Ponadto robak zawiera procedurę przeprowadzaniu ataku typu Denial of Service aktywowaną 1 lutego 2004.
Najbardziej wyszukany robak

Zawsze trudno o wybór w tej kategorii. Noomy.A robak, który konstruował specjalne strony WWW, rozsyłał wiadomości poprzez czat oraz udawał żywego człowieka. Nie spowodował większej ilości infekcji, ale pod względem technicznym był jednym z najbardziej specyficznych kodów mijającego roku.
Sposoby rozprzestrzeniania się
Noomy.A rozprzestrzenia się za pomocą wiadomości e-mail oraz poprzez IRC.
1.- Infekcja poprzez wiadomość e-mail.
Noomy.A przeprowadza poniższą procedurę:
Rozprzestrzenia się za pomocą wiadomości e-mail o poniższej charakterystyce:

Temat: jeden z poniższych
Bad Request Server not found!
Don’t spam!!!!

Wiadomość: zmienna
Załącznik: o zmiennej nazwie i rozszerzeniu .
· Infekcja następuje po otwarciu załącznika.
· Noomy.A szuka adresy e-mail w plikach o rozszerzeniach DBX, HTM, HTML oraz PHP.
· Noomy.A rozsyła się wykorzystując własny mechanizm SMTP.
2.- Infekcja poprzez IRC.
· Noomy.A instaluje własny serwer HTTP na zainfekowanym komputerze.
· Rozsyła wiadomość (jedna z poniższych) wykorzystując kilka kanałów IRC.
· Wiadomość zawiera link, który łączy użytkownika do serwera HTTP na zainfekowanym komputerze.
Gdy użytkownik kliknie na link, otwiera się strona www, z której może zostać pobrana kopia robaka. Robak wykorzystuje kilka arkuszy stylów, aby zmieniać wygląd otwieranej strony:
· Jeżeli użytkownik pobierze i uruchomi plik dochodzi do infekcji.
Objawy i działanie
Noomy.A przeprowadza poniższe akcje:
· Łączy się z określonymi witrynami www, aby wysłać następujące infromacje o zainfekowanym komputerze:
- Datę systemową.
- Informację o dostępności pliku MSWINSCK.OCX.
- Nazwę serwera SMTP oraz nazwę użytkownika wykorzystywane przez program Oulook.
· Przeprowadza atak DoS (Denial of Service) przeciwko witrynom:

www.microsoft.com
www.sophos.com
www kaspersky.com
· Próbuje pobrać plik MSWINSCK.OCX z jedne z poniższych stron, jeżeli nie występuje na zainfekowanym komputerze:

http://caraastuce123.free.fr
http://www.webmaxx.nl
http://utenti.lycos.it
http://home.conceptsfa.nl
http://www.aasportsware.com
http://www.prorealtime.com
http://www.non-ice.com
http://www.sharemation.com
http://www.bluehill.com
· Przy pierwszym uruchomieniu, wyświetla poniższy komunikat:.
CRC error: 5418#223 Close file
Noomy.A został napisany w języku programowania Visual Basic. Zajmuje 88,576 Bajtów skompresowany za pomocą UPX.


Najbardziej gadatliwy

Tutaj zdecydowanym kandydatem do zwycięstwa jest Amus.A. Złośliwy kod z Turcji, który korzystał z mechanizmów syntezy mowy wbudowanych w Windows XP, ogłaszał swą obecność wszem i wobec.
Amus.A
Również znany jako: Worm.Amus.A
Typ: robak
Długość: 51782
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie

Amus.A jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
Temat: Listen and Smile

Treść: Hey. I beg your pardon. You must listen.

Załącznik: Masum.exe
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku KdzEregli.exe oraz modyfikuje tak rejestr, by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows. Robak tworzy również swoje dodatkowe kopie w plikach o następujących nazwach: pire.exe, pide.exe, my_pictures.exe, meydanbasi.exe, messenger.exe, cekirge.exe, anti_virus.exe, ankara.exe, adapazari.exe, masum.exe.
Na koniec robak rozsyła swoje kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w książce adresowej systemu Windows.
Najbardziej muzykalny

Nie jeden, a wiele odmian robaka Netsky. Na zainfekowanym komputerze potrafiły uruchamiać melodię przez długie trzy godziny!
Również znany jako: Worm.Netsky
Typ: robak
Długość: 21504
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: tak

Netsky jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz umieszcza swoje kopie w folderach przypominających z nazwy foldery programów do wymiany plików w Internecie.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Od: [jeden z poniższych]

Ebay Auctions
Yahoo Auctions
Amazon automail
MSN Auctions
QXL Auctions
EBay Auctions

Temat: Auction successful!

Treść:

#----------------- message was sent by automail agent ------------------#

Congratulations!

You were successful in the auction.

Auction ID :[4 losowe znaki]-[4 losowe znaki]-[4 losowe znaki]-A
Product ID :[4 losowe znaki]-[4 losowe znaki]-[4 losowe znaki]-P

A detailed description about the product and the bill
are attached to this mail.
Please contact the seller immediately.

Thank you!

Załącznik: [jeden z poniższych]

prod_info_55761.rtf.exe.zip
prod_info_65642.rtf.scr.zip
prod_info_33543.rtf.scr.zip
prod_info_56474.txt.exe.zip
prod_info_33325.txt.exe.zip
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy swoją kopię na dysku w pliku c:\\\\windows\\\\services.exe lub c:\\\\winnt\\\\services.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
Robak usuwa z rejestru z klucza
HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
wpisy o nazwach Taskmon, Explorer, KasperskyAV, System.
Robak tworzy na dysku także szereg swoich kopii w skompresowanych archiwach zip
Następnie robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w plikach z rozszerzeniami: msg, oft, sht, dbx, tbb, adb, doc, wab, asp, uin, rtf, vbs, html, htm, pl, php, txt, eml, używając do tego własnego silnika SMTP.
Na koniec robak tworzy swoje kopie we wszystkich katalogach zawierających w swojej nazwie ciąg Share (zwykle będących udostępnionymi katalogami w programach do wymiany plików w Internecie) w plikach o następujących nazwach:
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
Nieśmiałek

Ten tytuł przypadnie robakowi Bagle, który rozprzestrzeniał się w zabezpieczonym hasłem pliku zip, nie ujawniając swojej obecności przy skanowaniu. Strategię tą stosowało wiele innych złośliwych kodów, ale to on najbardziej rozprzestrzenił się w 2004 roku.

Poliglota, wirus na każdą okazję

Zafi.D zostanie zapamiętany przez wielu użytkowników. Wygrał w obu kategoriach. Nie dość, że mówił w najróżniejszych językach, to jeszcze wiedział, jakie życzenia złożyć w określonym dniu roku i jakie święta są właśnie obchodzone.
Również znany jako: Worm.Zafi.D
Typ: robak
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie

Zafi.D jest robakiem internetowym, którego działanie polega na rozprzestrzenianiu się za pomocą poczty elektronicznej, programów do wymiany plików w Internecie oraz udostępnianiu nieautoryzowanego dostępu do komputera ofiary.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:
Od: [fałszywy adres]

Temat: [jeden z poniższych]
Merry Christmas!
boldog karacsony...
Feliz Navidad!
Prettige Kerstdagen!
Joyeux Noel!
Buon Natale!

Treść: [jedna z poniższych]

Happy HollyDays!
:)

Kellemes Unnepeket!
:)

Feliz Navidad!
:)

:)

Glaedelig Jul!
:)

God Jul!
:)

Iloista Joulua!
:)

Naulieji Metai!
:)

Wesolych Swiat!
:)

Frhliche Weihnachten!
:)

Prettige Kerstdagen!
:)

Vesel Vnoce!
:)

Joyeux Noel!
:)

Buon Natale!
:)


Załącznik: [losowa nazwa].[bat, cmd, com, pif, zip]
Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku o losowej nazwie oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
Dodatkowo robak tworzy swoje kopie w katalogach w których nazwach znajduje się tekst shar - zwykle są to udostępnione katalogi programów do wymiany plików w Internecie. Kopie robaka tworzone są w plikach o nazwach: winamp 5.7 new!.exe, ICQ 2005a new!.exe.
Robak wyłącza procesy niektórych monitorów antywirusowych (monitor programu mks_vir nie jest wyłączany) oraz procesy narzędzi diagnostycznych systemu Windows.

Robak działa również jako koń trojański nasłuchując na komendy na porcie 8181.W ten sposób umożliwia przejęcie kontroli nad zainfekowanym komputerem przez sieć.
Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w książce adresowej systemu Windows oraz w plikach o rozszerzeniach: htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr, fpt, inb

Świntuch roku

Pornografia nie była szczególnie obecna w tym roku, jeśli chodzi o wirusy. Jest jeden wyjątek Tasin.C, który ściągał niecenzuralne wizerunki pewnej hiszpańskiej gwiazdy na zainfekowany komputer.

Sposoby rozprzestrzeniania się
Tasin.C rozprzestrzenia się za pośrednictwem wiadomości e-mail za zmieniającą się treścią zapisana w języku hiszpańskim
Tasin.C wykonuje poniższe procedury:
Temat (jeden z poniższych):
· re:xD no me lo puedo creer!!!
· re:Crees que puede ser verdad?
· re:Amor verdadero
Treść wiadomości (jedna z poniższych):
· No veas que cosas xD,luego me cuentas,chao.
· Crees en el amor de verdad?,miralo y ya hablamos,ciaooo

Załączniki (jeden z poniższych):
· D-INCÓGNITO.ZIP
· EL_RECHAZO.ZIP
· LOVE-ME.ZIP
· MOON(LUNA).ZIP
· MY LIFE(MI VIDA).ZIP
· PARA-BRISAS.ZIP
· PLANETARIO.ZIP
· PSQUICO-MIX.ZIP
· RIMAZ.ZIP
· VOODOO!.ZIP
Komputer zostaje zainfekowany po otwarci załącznika.
Tasin.C rozsyła sie samodzielnie używająjac własnego protokoły SMTP.
Objawy i działanie
Tasin.C przeprowadza poniższe akcje:
Tasin.C usuwa wszystkie pliki posiadajace rozszerzenie ASM, ASP, BDSPROJ, BMP, CPP, CS, CSPROJ, CSS, DOC, DPR, FRM, GIF, HTM, HTML, JPEG, JPG, MDB, MP3, NFM, NRG, PAS, PCX, PDF, PHP, PPT, RC, RC2, REG, RESX, RPT, SLN, TXT, VB, VBP, VBPROJ, WAV oraz XLS.
Próbuje pobrać z Internetu bibliotekę DLL
Podczas działania otwiera przeglądarkę Internet Explorer i wyświetla zdjęcie pornograficzne
Robak Tasin.C tworzy następujące pliki:
SVCHOSL.PIF i PAULA.PIF w katalogu systemowym Windows. Plik ten jest kopią robaka.
COMMAND.PIF w katalogu systemowym Windows. Plik ten odpowiada za próby pobrania z Internetu biblioteki MSVBVM60.DLL.
M.ZIP w katalogu systemowym Windows. Plik ten jest kopią robaka skompresowaną przy użyciu formatu ZIP.
SS.EXE w katalogu systemowym Windows. Plik ten został zakwalifikowany jako Joke/Beeper.
SW.EXE, SX.EXE oraz SZ.EXE w katalogu systemowym Windows. Są to programy pracujące jako lokalny serwer SMTP, umożliwiające rozsyłanie się robaka za pośrednictwem wiadomości e-mail.
CODM, EXTASIS8.PIF, INZAE.PIF, P, PAGE, PHT003.PIF, RD2_ROBERTO.PIF, SYMBOLIC3.PIF w katalogu fłównym dysków lokalnych C:, D:, E: oraz F:.
Tasin.C tworzy nastepujący wpis do rejestru systemowego Windows:
HKEY_LOCAL_MACHINE\\\\ SOFTWARE\\\\ Microsoft\\\\ Windows\\\\ CurrentVersion\\\\ Run Svchosl = %sysdir%\\\\ svchosl.pif gdzie %sysdir% jest katalogiem systemu Windows. Wpis ten umożliwia robakowi rozpoczecie pracy wraz ze startem systemu Windows.
Dodatkowe informacje
Robak Tasin.C został napisany w języku programowania Visual C++ v6.0 i posiada wielkość 50,832 Bitów. Robak został skompresowany za pomocą programu FSG

Najczęściej powracający

Ta kategoria jest raczej poświęcona twórcom wirusów, niż samym kodom. Wiecznie żywy Gaobot wracał do nas prawie 2 000 razy pod różnymi postaciami przez cały rok 2004!

Również znany jako: Worm.Gaobot
Typ: robak
Długość: 207872
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie

Gaobot jest robakiem internetowym, którego działanie polega na rozprzestrzenianiu się poprzez dziurę w systemach Windows (taką samą jaką dostaje się robak Blaster).
Aktywny robak w systemie tworzy swoją kopię w pliku regloadr.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.
Robak stara się wyłączyć działanie rezydentnych monitorów programów antywirusowych i firewalli (monitor programu mks_vir nie zostaje wyłączony)

Następnie robak łączy się z określonym kanałem IRCa, gdzie nasłuchuje na komendy od swojego autora umożliwiając w ten sposób autorowi przejęcie kontroli nad zainfekowanym komputerem.
Ponadto robak rozprzestrzenia się za pośrednictwem znanego błędu w systemach Windows umożliwiającego zdalną instalację pliku w niezabezpieczonych systemach, a także w sieciach lokalnych, gdzie robak stara się odgadnąć hasło do udostępnionych zasobów.
Dodatkowo robak stara się wykraść numery seryjne do następujących gier:
Soldier of Fortune II - Double Helix
Neverwinter
Westwood\\\\Nox
Tiberian Sun
Red Alert 2
Red Alert
Project IGI 2
Command & Conquer Generals
Battlefield 1942 Secret Weapons of WWII
Battlefield 1942 The Road to Rome
Battlefield 1942
Rainbow Six III RavenShield
Nascar Racing 2003
Nascar Racing 2002
NHL 2003
NHL 2002
FIFA 2003
FIFA 2002
Need For Speed Hot Pursuit 2
The Gladiators
Unreal Tournament 2003
Legends of Might and Magic
Counter-Strike
Half-Life


Schizofrenik

Bereb.C stosował 442 różne nazwy, pod którymi występował w sieciach p2p. Pewnie nawet jego twórca nie pamięta, jak nazywał się wirus, kiedy został napisany.

Sposoby rozprzestrzeniania się
Aby rozprzestrzeniać się przez sieć P2P szkodnik tworzy foldery:
· C:\\\\WINDOWS\\\\SYSDLL
· C:\\\\WINDOWS\\\\STARTRWIN
Aby udostępnić je użytkownikom programu WinMX, modyfikuje plik LIBRARY.DAT
Udostępnione kopie trojana mają następujące nazwy:
AbsoluteFTP Crack.exe
AbsoluteFTP Keygen.exe
AbsoluteFTP.exe
Acrobat Reader 5.1.exe
AD Remover.exe
Ad-Aware Retail Crack.exe
Ad-Aware Retail.exe Clone CD 4.0.1.3.exe
Clone CD 4.0.exe
clonecd + crack.exe
CloneCD 3.3.4.1 .exe
clonecd all-versions key generator.exe
Coffe Cup 9.3.exe
I w wielu jeszcze plikach.
Ponieważ najważniejszym kryterium wyszukiwania jest dla użytkowników P2P nazwa pliku, osoby poszukujące treści, na które wskazują wyżej wymienione nazwy, mogą paść ofiarą robaka.
Objawy i działanie
Umożliwia hakerom uzyskanie dostępu do komputera za pośrednictwem kanału IRC. Rozprzestrzenia się za pośrednictwem programu do internetowej wymiany plików w sieci P2P o nazwie WinMX.
Bereb.C nawiązauje połączenie z siecią i rozsyła informację, iż komputer został zarażony i jest dostępny dla hakerów.


Bereb.C jest trudny do rozpoznania, ponieważ nie informuje o infekcji.
Oprócz folderów i plików wymienionych w sekcji \\\"Sposoby rozprzestrzeniania się\\\", Bereb.C tworzy na komputerze ofiary następujące pliki:
· TASKMGR.COM lub SVCKERNELL.COM, w katalogu C:\\\\WINDOWS.
Aby aktywacja konia trojańskiego dokonywała się za każdym razem, kiedy uruchamiany jest system Windows, Bereb.C dodaje następujące wpisy do Rejestru Systemu:
· HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
Taskmanager = C:\\\\Windows\\\\taskmgr.com
· HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServices
Svckernell = c:\\\\windows\\\\svckernell.com
Najgrzeczniejszy

W tej kategorii wybrano trzy złośliwe kody StartPage.AV, Harnig.B oraz Multidropper.AM. Wszystkie były na tyle dobrze wychowane, że informowały użytkownika o swoim istnieniu i o udanej infekcji na komputer.

Robin Hood

Mieliśmy również w tym roku typowego Robin Hooda wirusów – robak Nachi – pojawił się w dwóch odmianach. Inaczej zwany Doomhunter polował na robaki Mydoom, Doomjuice oraz Blaster, starając się oczyścić z nich Internet. Jednak w rzeczywistości sam był wirusem. Wykorzystywał luki w oprogramowaniu i sprytnie przygotowywał system do dalszych infekcji.

WYDARZENIA ROKU 2004

Wojna cybernetyczna

Literatura science fiction od wielu lat opisywała cyberwojny, jako rzeczywistość w świecie wirtualnym, pełnych konfliktów. W 2004 roku byliśmy świadkami pierwszej potyczki w cyberprzestrzeni. Do walki przystąpili twórcy wirusów. W walce z konkurencją przyczynili się do milionów infekcji i powstania takich robaków jak Bagle, Netsky oraz Mydoom. Trudno określić, kto wygrał bitwę. Jedno jest pewne, wszyscy użytkownicy na niej stracili.

LSASS: Wielka dziura roku 2004

LSASS, luka w systemie operacyjnym Windows została uznana za \\\"dziurę roku 2004\\\". Dowiódł tego robak Sasser, który wykorzystywał ją do rozprzestrzeniania się i ponownego uruchamiania zaatakowanych komputerów. Dzięki temu stał się członkiem niesławnego klubu wirusów, wykorzystujących luki w oprogramowaniu. Podobnie jak Klez.l (luka Iframe) oraz Blaster (RPC DCOM) atakował niezauważony. Historia powtórzyła się pomimo szybkiego opublikowania poprawek: Korgo, Bobax, Cycle, Kibuv, Plexus.

Wirusy atakują inne platformy

Do tej pory inne platformy sprzętowe były rzadko narażone na wirusy. Pomimo prób prawdziwych infekcji nie odnotowano. Dopiero w 2004 roku złośliwe kody uderzyły w 64 bitowe systemy operacyjne (Shruggle.1318), platformę WinCE OS (Duts.1520 oraz Brador.A), urządzenia przenośne a nawet telefony komórkowe – Symbian: Toquimos.A, Skulls.A oraz Cabir.A.

Wirusy w plikach dotychczas uznawanych za bezpieczne

Twórcy wirusów wiele razy skutecznie ukrywali swoje kody w plikach, które są powszechnie uznawane za nieszkodliwe: obrazach, muzyce itp. Wydawało się, że nie można stworzyć takiego obrazka, który zainfekuje komputer. Jednak okazało się, że można wykorzystać lukę w oprogramowaniu dekodującym grafikę i skutecznie przemycić z plikiem JPEG wirusa. Skutek – powstaje coraz więcej tych nietypowych wirusów: JPGDownloader oraz JPGTrojan.ęto właśnie nadchodzi.




Wszystkie wyżej wymienione wirusy można usunąć lub chronić się przed nimi za pomocą takich programów antywirusowych:
Kaspersky Anti-Virus Personal 5.0
Panda Titanium Antivirus 2005
Symantec Norton AntiVirus™ 2005
McAfee VirusScan Home v7.0
TREND PC-cillin 2002
MKS_Vir 2005
AntiVirenKit 2004 Profesional