Сегодня мы обнаружили нечто интересное: макро-вирус, получивший название Virus.StarOffice.Stardust.a.

Вы можете спросить, что в этом интересного — макро-вирусы уже давно не в диковинку и в последние годы даже начали исчезать с вирусной сцены.

Ответ на вопрос кроется в названии: Stardust написан для StarOffice и является первым обнаруженным нами макро-вирусом для этого офисного пакета. Как правило, макро-вирусы создаются для приложений MS Office.

Stardust теоретически способен заражать документы StarOffice и OpenOffice. Вирус написан на Star Basic. Он загружает из интернета порнографическое изображение и открывает его в качестве нового документа.

Более подробное описание Stardust мы вскоре опубликуем в «Вирусной энциклопедии».

Сегодня мы обнаружили первые сэмплы нового кроссплатформенного вируса. Вирус получил двойное название Virus.Linux.Bi.a / Virus.Win32.Bi.a.

Bi это очередная попытка создать вирус, работающий сразу на нескольких платформах — он способен работать как под Win32, так и под Linux.

Вирус написан на асcемблере и достаточно прост: заражает файлы только в текущем каталоге и интересен, в основном, благодаря своей кроссплатформенности.

Так как Linux и Windows имеют разные форматы исполняемых файлов (ELF и PE соответственно), то код вируса содержит функции заражения файлов обоих типов.

Под Linux вирус использует системные вызовы через INT 80 и внедряет свое тело после ELF-заголовка файла перед секцией «.text», изменяя точку входа оригинального файла.

Зараженные файлы помечаются в заголовке файла по смещению 0Bh двухбайтовой сигнатурой 7DFBh.

Под Win32 вирус использует функции Kernel32.dll.

В PE-файлы вирус внедряется путем добавления тела в последнюю секцию. Управление вирусу передается также путем изменения точки входа. Зараженные файлы помечаются той же сигнатурой, но используют для этого поле PE-загловка «TimeDateStamp».

Зараженные файлы содержат строки:

Кроме того, сам инфектор содержит строки:

Какого-либо практического применения этот вирус не имеет, поскольку является типичным представителем Proof-of-Concept — концептуальных вредоносных программ, призванных продемонстрировать саму возможность своего существования.

Virus.Linux.Bi.a / Virus.Win32.Bi.a уже добавлен в антивирусные базы «Лаборатории Касперского».

В большинстве европейских стран существует возможность купить мобильный телефон за символическую сумму. Низкая цена обусловлена тем, что такой телефон работает только с подключением к определенному оператору связи. Для того, чтобы «залоченный» телефон работал через любого оператора, необходимо произвести его «разлочку». Это осуществляется заменой прошивки телефона (firmware). Как правило, такие телефоны легально не продаются. Это так называемые «серые» телефоны. Рынок подобной техники достаточно велик.

Как утверждают некоторые источники, приблизительно 15-18% пользователей последние 6 месяцев используют такие телефоны (что наносит фирмам, производящим трубки, ущерб более 1,5 млн. евро). Кроме того, что «разлочка» телефонов незаконна, существует ряд проблем, связанных с безопасностью.

Многие современные телефоны используют ОС Symbian и подвержены заражению вирусами. Известен ряд случаев, когда приобретенные на «сером» рынке «разлоченные» телефоны были заражены Cabir и другими malware.

Другая опасность содержится в самой новой прошивке. Она может содержать код, который будет использовать какой-нибудь незаказанный сервис, и оплата его может обойтись для пользователя в сумму до нескольких сотен евро.

Средства массовой информации сообщают, что в Европе уже зафиксированы подобные случаи, проводятся расследования.

Сегодня утром в интернете появился новый червь для Linux — это уже второй новый червь для Linux за последние пару месяцев (первым был Net-Worm.Linux.Lupper).

Червь получил название Net-Worm.Linux.Mare.a. Для своего распространения Mare.a использует php include. Вместе с червем также распространяется новая версия IRC-бота Backdoor.Linux.Tsunami.

Ситуации, когда на публичных серверах выкладывались версии зараженных бинарных или исходных файлов возникали уже не раз. Теперь подобная участь постигла mozilla.org.

Зараженными оказались дистрибутивы Mozilla и Thunderbird для Linux c корейской локализацией. Файлы mozilla-installer-bin из mozilla-1.7.6.ko-KR.linux-i686.installer.tar.gz и mozilla-xremote-client из thunderbird-1.0.2.tar.gz были инфицированы вирусом RST.b.

Virus.Linux.RST.b ищет исполняемые ELF-файлы в текущем каталоге и каталоге /bin и заражает их. При заражении записывается в середину файла (в конец секции кода, сдвигая вниз все остальные секции файла). Также содержит бэкдор-процедуру, которая скачивает специальный скрипт-файл с сайта http://ns1.xoasis.com/~telcom69 и выполняет присутствующие в скрипте команды. Для выполнения этих команд используется стандартный shell.

После троекратного уведомления mozilla.org файлы так и не были удалены.