29A EZINE nº 7

 03/03/2004
 

29A issue 7 index   29a.host.sk
-------------------

29A ezine nº 7 en ZIP

EDITORIAL:

  1. Introduction VirusBuster/29A

  2. News VirusBuster/29A

  3. Contributors VirusBuster/29A

  4. Membership VirusBuster/29A

  5. Distribution VirusBuster/29A

  6. Our greetings 29A staff

  7. Policies and goals 29A staff

  8. Secret area VirusBuster/29A

  9. About the viewer VirusBuster/29A

  10. The media as an agent: Selling anti-virus software Morphine

  11. Anti-Virus Companies: Tenacious Spammers Brian Martin & Fridrik Skulason

  12. The Virus Meeting mini-magazine Several staff

  13. Last words from Benny Benny/29A

 

ARTICLES:

  1. ICQ visions Benny/29A

  2. MSIL-PE-EXE infection strategies Benny/29A

  3. Ring0 under WinNT/2k/XP Ratter/29A

  4. SFP revisited Ratter/29A

  5. Self-crypting script files roy g biv/29A

  6. How to break the rules with the class libraries roy g biv/29A

  7. Lost in XLAT-ion roy g biv/29A

  8. Self-Executing HTML roy g biv/29A

  9. The Ins and Outs of JunkMail roy g biv/29A & RT Fishel/defjam

  10. Replication from data files roy g biv/29A

  11. VMware has you Z0MBiE/29A

  12. Injected Evil v1.02 (executable files infection) Z0MBiE/29A

  13. Exploiting WinRAR 3.10 Vecna/29A

  14. Crob FTP Server 2.50.5 Build 238 Exploit Vecna/29A

  15. Per-process residency review: common mistakes Bumblebee

  16. Genetic Programming in Virus ValleZ

  17. Join us now and share the malware... zert

  18. Invisibility yoda

  19. Technics of hooking API functions on Windows Holy_Father

  20. PHP Virus Writing Guide Second Part To Hell/[rRlf]

  21. Using System.Reflection namespace in .NET viruses whale

  22. The ELF Virus Writing HOWTO Alexander Bartolich

  23. PE infection tutorial for beginner LiTlLe VxW

  24. Invisibility on NT boxes Holy_Father

  25. Hooking Windows API Holy_Father

  26. Write an exploit suitable for a vulnerability Gildo

  27. Solving Plain Strings Problem In HLL Z0MBiE

  28. Polymorphism and Intel instruction format LiTlLe VxW

  29. Partitionned virus body using the stack LiTlLe VxW

  30. Virtual PC Has You uNdErX

  31. New way to startup files - ShellExecute InstallScreenSaver API SWaNk

  32. Virus Times uNdErX

  33. NtVDM under WinNT/2k/XP Ratter/29A

 

29A ezine nº 7. Extension *.txt con Total Commander.

 

EDITORIAL 29A-7.007: Policies and goals

ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

In general we're against destructive payloads and the spreading of viruses but we do not forbid our members, or those who contribute to 29A magazine to include destructive payloads in their viruses nor do we forbid our members to spread viruses.

That is why you will occasionally see a virus from 29A in the wild or carrying a destructive payload, even though we do our very best to keep the number of incidents down to a minimum.

Destructive payloads and the spreading of viruses is the reason why people get in trouble, the reason why people like The Black Baron got arrested, prosecuted sentenced and finally jailed. Publishing your sources in our zine you can get in troubles depending on laws of your country.

 

BINARIOS. ESCANEOS con NOD32 v2 y KAV 4.5

por maty

El ZIP contiene 35 binarios comprimidos.

29A ezine nº 7. 43 directorios. 197 ficheros.

 

Configurados KAV 4.5 y NOD32 v2 para un escaneo profundo, estos son los resultados obtenidos (en un K6-2 300Mhz, 256MB a 100Mhz, HD de 7.2000 rpm ATA33 con W2000 y SP4 y demás retahíla de parches).

 

 

W2000 SP4 a 3 de marzo

  • KAV 4.5

KAV 4.5.048 Scanner

Detecta 34 virus (módulo configurado para una revisión profunda).

 

  • NOD32 v2

NOD32 v2 1.644 Scanner

Detecta 26 virus (módulo configurado para una revisión profunda).

 

NOD32 v2 ¿tan mal antivirus es?

Leyendo a Computer Hoy sí: nº 141 (revisión de la comparativa aparecida en el número de enero nº 139) ha pasado de quedar 6º a 7º respecto 11 antivirus evaluados.

nº 139: Panda Titanium, KAV, Panda Platinum, McAfee, Norton, NOD32, SP Antivirus Plus de Trend Micro, BitDefender, Norman, AVG 7, eTrust.

nº 141: KAV, Panda Titanium, Panda Platinum, McAfee, Norton, BitDefender, NOD32, SP Antivirus Plus de Trend Micro, Norman, AVG 7, eTrust.

 

Contacto con Vicente Coll (gerente de Ontinet.com, empresa que distribuye los dos antivirus antes citados, y que muchos consideramos como los dos mejores, a mucha distancia del resto), me recuerda que pruebe en línea de comandos, tal como se comenta en la entrevista a Richard Marko.

NOD32 Scanner en linea de comandos: 35 de 35. OK.

NOD32 Scanner y NOD32 en DOS: Parámetros para operar bajo línea de comandos

 

El log resultante:

NOD32 Scanner versión 1.649 (20040303) NT
Línea de comando: /quit+ /all /sound- /arch+ /pack+ /heurdeep /ah c:\Temporal\29An7\binaries\
Comprobación CRC del archivo NOD32.EXE: estado correcto
La memoria operativa está correcta.
Fecha: 3.3.2004 hora: 20:09:57

Discos, directorios y archivos analizados: c:\Temporal\29An7\binaries\
c:\Temporal\29An7\binaries\Alcopaul\NETVIRUS.ZIP » ZIP » FLATEI.EXE - Win32/Flatei.B Virus
c:\Temporal\29An7\binaries\Alcopaul\NETVIRUS.ZIP » ZIP » SYRA-A.EXE - Win32/HLLP.Flatei.5129 Virus
c:\Temporal\29An7\binaries\Alcopaul\NETVIRUS.ZIP » ZIP » SYRA-B.EXE - Win32/HLLP.Flatei.D Virus
c:\Temporal\29An7\binaries\Alcopaul\NETVIRUS.ZIP » ZIP » SYRA-C.EXE - Win32/HLLP.Flatei.F Virus
c:\Temporal\29An7\binaries\Anonymous\MYDOOM.ZIP » ZIP » BINARY/MYDOOM.EXE - Win32/Mydoom.A Troyano
c:\Temporal\29An7\binaries\Anthony\RINS.ZIP » ZIP » RINS.EXE - Probablemente desconocido NewHeur_PE Virus
c:\Temporal\29An7\binaries\Aphex\DOS.ZIP » ZIP » Dynamic/DoS.dll - Win32/DDodS.Aphexos.10 Troyano
c:\Temporal\29An7\binaries\Aphex\DOS.ZIP » ZIP » Packet.exe - Win32/DDodS.Aphexos.10 Troyano
c:\Temporal\29An7\binaries\Benny\SEROTONI.ZIP » ZIP » serotonin.EXE - Win32/Notor.A Gusano (Worm)
c:\Temporal\29An7\binaries\Bumblebee\FREEBIRD.ZIP » ZIP » RAR32.EXE - Probablemente desconocido WIN32 Virus
c:\Temporal\29An7\binaries\Bumblebee\FREEBIRD.ZIP » ZIP » README.EXE - Probablemente desconocido WIN32 Virus
c:\Temporal\29An7\binaries\delikon\DELIKON.ZIP » ZIP » Release/virus2.exe - Probablemente modificado Virus Win32/Mumo.5135
c:\Temporal\29An7\binaries\DoxtorL\RIVANON.ZIP » ZIP » RIVANON.EXE - Probablemente desconocido WIN32 Virus
c:\Temporal\29An7\binaries\Gildo\GILDO.ZIP » ZIP » GILDO.ELF - Linux/Gildo Virus
c:\Temporal\29An7\binaries\Holy_Father\HXDEF100.ZIP » ZIP » hxdef100.exe - Win32/HacDef.084 Troyano
c:\Temporal\29An7\binaries\Holy_Father\HXDEF100.ZIP » ZIP » bdcli100.exe - Win32/HacDef.084 Troyano
c:\Temporal\29An7\binaries\Holy_Father\HXDEF100.ZIP » ZIP » src.zip » ZIP » src/driver/driver.sys - Win32/HacDef.073.B Troyano
c:\Temporal\29An7\binaries\Kenerman\TIRTHAS.ZIP » ZIP » INFECTED.EXE - Probablemente desconocido WIN32 Virus
c:\Temporal\29An7\binaries\MI_Pirat\PIECEBYP.ZIP » ZIP » PIECEBYP.VIR - Win32/Pepex.A Gusano (Worm)
c:\Temporal\29An7\binaries\MrDinam0\GAYBAR.ZIP » ZIP » notepad.exe - Probablemente desconocido WIN32 Virus
c:\Temporal\29An7\binaries\Necronomikon\ALICIA.ZIP » ZIP » source/system.vbs.txt - Win32/Alician.B Gusano (Worm)
c:\Temporal\29An7\binaries\Necronomikon\ALICIA.ZIP » ZIP » bins.rar » RAR » alicia\system.vbs - Win32/Alician.B Gusano (Worm)
c:\Temporal\29An7\binaries\Necronomikon\HEMPHOPE.ZIP » ZIP » PSFTP.EXE - Probablemente desconocido CRYPT.WIN32 Virus
c:\Temporal\29An7\binaries\pienstevo\SIAMEXE.ZIP » ZIP » SIAMEXE.ELF - Linux/Ovets.A Virus
c:\Temporal\29An7\binaries\roy g biv\CONSCRPT.ZIP » ZIP » CONSCRPT.VB! - Probablemente desconocido SCRIPT Virus
c:\Temporal\29An7\binaries\roy g biv\JUNKHTML.ZIP » ZIP » JUNKHTML.EX! - Win32/Chiton.L.gener1 Virus
c:\Temporal\29An7\binaries\Vallez\LADYMARI.ZIP » ZIP » LadyMarian.exe - Probablemente desconocido CRYPT.WIN32 Virus
c:\Temporal\29An7\binaries\Vallez\URK0.ZIP » ZIP » URK0.EXE - Probablemente desconocido CRYPT.WIN32 Virus
c:\Temporal\29An7\binaries\Vecna\HYBRIS.RAR » RAR » MUAZZIN\SAMPLES\ARJ_HDR.BIN » ARJ - Archivo comprimido dañado
c:\Temporal\29An7\binaries\whale\NAS096B.ZIP » ZIP » release.e$e - Win32/Stepan.J.dropper Virus
c:\Temporal\29An7\binaries\whale\NAS096B.ZIP » ZIP » infected/noimports.e$e - Win32/Stepan Virus
c:\Temporal\29An7\binaries\whale\NAS096B.ZIP » ZIP » infected/winmine.e$e - Win32/Stepan Virus
c:\Temporal\29An7\binaries\whale\ZAIKA.ZIP » ZIP » dll2inc.exe - Win32/DllLoad unknown infection type (Virtool)
c:\Temporal\29An7\binaries\yoda\FLY.ZIP » ZIP » FLY.EYE - Win32/Lamewin.1813.A.gener1 Virus
c:\Temporal\29An7\binaries\yoda\INCONEX.ZIP » ZIP » Z0MBiE/INMEM.ZIP » ZIP » client.exe - Win32/TrojanDownloader.IMCdown Troyano
c:\Temporal\29An7\binaries\yoda\INCONEX.ZIP » ZIP » Z0MBiE/INMEM.ZIP » ZIP » TEST.exe - Win32/TrojanDownloader.IMCdown Troyano

Cantidad de archivos analizados: 1576
Cantidad de virus detectados: 35
Hora de finalización: 20:11:17 . Tiempo total de análisis: 80 seg (00:01:20)

Es decir, que encuentra uno más que el KAV 4.5.048, osea, TODOS. Tras pasar nuevamente el KAV, actualizado poco antes, ya detecta 35 de 35 (parece que también leen el 29A Magazine), compensando así su bajada de calidad en la heurística con las numerosas actualizaciones diarias.

Tras constatar que NOD32 ha actualizado el motor (1,5 MB) la noche del día 3, decido que es momento de volver a probar, pero esta vez desde W98, donde los antivirus fueron actualizados la noche del día 1.

 

 

W98, a 4 de marzo

  • KAV ESCANER vuelve a detectar 34 virus.

El log resultante: AVP32 LOG W98

Imagen      Imagen

  • NOD32 SCANNER detecta 34 virus !!!

Imagen

NOD32 Scanner bajo W98 (nótese el diferente colorido). Detecta 34 virus.

 

 

W2000 SP4, a 4 de marzo

¿Acaso bajo W98 este módulo va mejor que bajo W2000? Miro la configuración, y está todo marcado para una revisión profunda. Así que vuelvo al W2000.

  • KAV Escáner detecta 35 virus, gracias a la actualización.

  • NOD32 Scanner detecta ahora 27, uno más, tras la gran actualización de anoche. Miro la configuración y constato que no estaban marcadas todas las casillas! Misterio, probablemente no guardé la configuración de escaneo profundo.

Repaso la entrevista a Richard Marko, y mi configuración era diferente a la de ayer! No, no he reinstalado imagen alguna de la partición con W2K desde entonces. Diría que era la configuración por defecto, con heurística estándard y sin marcar: Aplicac, Arch. compr, Arch. correo, Listar. ¿Acaso alguna actualización modificó la configuración? ¿O algún cierre forzado del W2000 -problema ya resuelto, tras abandonar cachemanXP 1.1-?

Imagen

Configuración del NOD32 SCANNER para escaneo profundo

 

Vuelvo a probar, ya correctamente configurado y detecta 35 virus. Por lo que el error fue mío, no del módulo SCANNER.

Imagen

 

 

W2000 SP4, a 14 septiembre 2003

Se me ocurre que debería reinstalar viejas imágenes de los dos windows y así ver cómo detectaban en su día.

Reinstalo una imagen de la partición W2000 fechada en septiembre del 2003:

Imagen

Imágenes (*.pqi y *.002) con Drive Image

 

  • KAV 4.5.37 Escáner septiembre 2003. Detecta 23 virus.

Imagen

 

  • NOD32 v1 Scanner septiembre 2003. Detecta 22 virus.

Imagen

 

También probé desde la línea de comandos, obteniendo el mismo resultado (el comando /ah no era reconocido en la v1 del NOD32).

*Dato: bajo W98 los escaneos son más rápidos, al ir más ligero con él un equipo a 300Mhz.

 

¿Y si entrevistásemos a 29A?, como propuse en enero del 2002 en la comparativa (quedó en simple borrador) de antivirus, donde analicé por primera vez el NOD32 v1 (por cierto, publicando los logs, que examiné ¿los revisan las webs y revistas en sus comparativas? mi impresión es que NO).

 

Conclusiones

  • NOD32 es rapidísimo.

  • KAV sigue tardando en exceso, sobre todo como residente, penalizando de modo "insoportable" en una máquina tan antigua (5 años y medio) como la utilizada (desde ella se mantiene la web de NAUTOPIA desde sus inicios). Sí, lo volví a activar.

  • Ha de mejorarse el interfaz visual del NOD32 Scanner para que podamos configurarlo como en la línea de comandos.

  • Surge una cuestión: ¿Cómo configurar Flashget y otros para que utilicen NOD32 desde la línea de comandos, revisando así todos los ficheros descargados? Seamos realistas, salvo los administradores de redes y usuarios muy avanzados, pocos utilizan la línea de comandos.

por Vicente Coll, gerente de Ontinet.com

  • Argumentos para el FlashGet:

/quit+ /all /arch+ /pack+ /heurdeep /scanmem- /ah /prompt /list-

El /prompt es simplemente para que se pare y pregunte qué hacer si encuentra virus.

  • Para el WinRAR 3.30 (mejor que los que incluye por defecto):

"%f" /quit+ /all /arch+ /pack+ /heurdeep /scanmem- /ah /prompt /list-

La idea del /quit+ es para el caso de no encontrar bichos, salga sin decir nada, para no molestar.

 

 

Recomendaciones de maty

  • NOD32 como residente y KAV para escaneos manuales y automatizados.

  • Dada la ralentización del KAV como residente -módulo MONITOR-, si optamos sólo por una licencia, la opción lógica, a día de hoy, es NOD32 v2.

  • Si queremos tener una segunda opinión y mayor eficiencia en la detección de troyanos, disponer del KAV para los escaneos sigue siendo recomendable. Recordemos que los troyanos pueden ser parados desde un buen cortafuegos software BIEN CONFIGURADO.

  • En una red windows "de andar por casa", con máquinas de distinta edad y potencia: NOD32 v2 para los clientes y KAV para el servidor (en máquina moderna, y siempre que no penalizase en exceso). Los correos internos y externos revisados en el servidor de correo, en primera instancia. Lo que a uno se le escape al otro probablemente no.

  • Para una red "más seria", con servidor LINUX / *BSD (opciones más seguras y económicas que las soluciones propuestas por MICROSOFT) y clientes win y linux:

  • servidor linux: antivirus sobre linux para revisar el correo y/o http -y así proteger a los pc win-. FPROT, KAV y NOD32 (el que más convenza). Existen opciones gratuitas como MAILSCAN, el cual está siendo evaluado en estos momentos.

  • clientes win:

  • módulo residente permanente: NOD32

  • escaneo manual y automatizado: KAV  y/o NOD32.

Antes de decidirse por uno u otro, lo mejor es utilizar previamente las versiones de prueba, instalándolas en algunas máquinas, verificando que no den problemas con nuestras configuraciones (algo demasiado habitual con los productos de PANDA, de ahí su pésima fama entre los administradores).

Ante cualquier duda, preguntar al servicio técnico, listas de correo, foros, ... y NO a maty!!!

  • Leer el ESPECIAL SEGURIDAD publicado en VSANTIVIRUS (visita diaria recomendada, en especial, antes de revisar el correo en el servidor -PopTray es una utilidad gratuita, multiplataforma, en español, multicuenta y de código libre-).

  • Y por último, recordad que nuestro sistema caerá siempre por el eslabón más débil: OUTLOOK, INTERNET EXPLORER y MSN MESSENGER. Existiendo alternativas gratuitas, en español y multiplataforma, es una irresponsabilidad seguir permitiendo su uso en una red corporativa.

 

Reflexiones en voz alta

  • Nunca es tarde para RECTIFICAR PUBLICAMENTE.

  • ¿Por qué no rectifican las revistas de informática españolas? Cuando lo hacen, caso de Computer Hoy, es para reafirmarse.

  • Desde hace unos cuantos días, NOD32 v2 está actualizando muy a menudo. Si además de su excelente heurística, se mantiene ese ritmo de actualización de la base de virus y motor, y su módulo IMON para las comunicaciones es ampliado, junto a su reducido precio, será el antivirus de referencia.

Por cortesía del distribuidor español: Beta interna del nuevo módulo IMON con soporte HTTP.

NOD32: IMON con soporte HTTP (beta)

  • KAV 5 beta no parece que haya mejorado de modo apreciable en la velocidad (según reportan los beta testers), con lo que KASPERSKY seguirá perdiendo posiciones y prestigio (aún así, junto al NOD32, a gran distancia del resto).  Tal parece ser el camino seguido por KERIO 4.*, tan cuestionado, a diferencia del KERIO 2.1.5.

  • No se puede vivir eternamente de glorias pasadas, se ha de buscar la excelencia día a día, máxime cuando los usuarios cada vez está más concienciados, buscando información en la red, sin el filtro que supone las revistas de pago y con publicidad, condicionadas, como el resto de medios de comunicación tradicionales.

  • Si no fuese por la ligereza del NOD32 ya habría cambiado de equipo casero dos años atrás (esperaré unos meses -"los primeros siempre pagan el pato"- para que ver cómo evoluciona la plataforma AMD64 -memorias, chipset, ...-, buen momento para instalar una distribución LINUX moderna y una conexión rápida con router).

 

 

We code viruses for the fun of it, because it's our hobby, not because we want to harm other people or to get ourselves into trouble.

We code viruses to invent new techniques, improve on existing techniques and to learn more about the various OSes. We know there are hundred of other ways to do this, probably better ways, yet this is what we like. This is as we said before, our hobby, or at least one of them.

 

Our goal is to create new, unique, interesting viruses and virus utilities and to release 29A magazine on a regular and more frequent basis. Releasing the magazine frequently has been a problem for us, however, we are getting better but it is still something for us to work at.

We beta-test everything included in this package as much as we can before we release it, but there may still be bugs which we didn't find.

We can not and will not be held responsible for whatever you (the reader) decides to do with the contents of the 29A magazines nor can the group be held responsible for the actions of any individual members or contributors.

 

 

redactor: maty

 PORTADA de NAUTOPIA

 

Comentarios
 

 

 

 

CONTACTO               [ NAUTOPIA.org © Copyleft 2004 ]