Обнаружен новый сетевой "червь" с троянской компонентой W32/PrettyPark

Обнаружен новый сетевой "червь" с троянской компонентой W32/PrettyPark, распространяющийся посредством Internet.

Первое впечатление часто бывает обманчивым. Так гласит известная пословица, которую можно без труда отнести и к компьютерным реалиям. Специалисты по компьютерной безопасности и компьютерной вирусологии совсем недавно обнаружили нового сетевого "червя", обладающего троянской компонентой и скрывающегося под безобидным и потому вводящим в заблуждение названием PrettyPark ("хорошенький парк"). Судя по последним данным, этот "червь" уже достаточно быстро распространяется по Internet, а по последствиям может даже переплюнуть известный хакерам и околокомпьютерной тусовке BackOrifice, с помощью которого был произведен несанкционированный доступ к информации, находящейся на сотнях тысяч компьютеров, зараженных этим "троянцем" и находящихся на то время в Сети.

Наиболее вероятный способ появления PrettyPark у вас на компьютере - это e-mail сообщение от кого-либо из ваших знакомых или просто респондентов, с текстом в строке Subject (тема письма): "C:\CoolProgs\Pretty Park.exe" и прилинкованным к письму запускаемым файлом Pretty Park.exe, который в сущности и является "червем". Если пользователь запускает этот файл, PrettyPark регистрируется как скрытое приложение, после чего запускает процедуру самоинсталляции и прочно обосновывается в системе.

Механизм размножения у PrettyPark не нов, достаточно тривиален, но эффективен. Каждые тридцать секунд находящийся в памяти компьютера "червь" обращается к Windows Address Book (где хранятся электронные адреса ваших респондентов), а затем рассылает по найденным адресам e-mail сообщения с прилинкованной копией себя же и вышеприведенным текстом в поле Subject.

Вдобавок ко всему PrettyPark осуществляет соединение с одним из 13 заданных в теле "червя" IRC-серверов, после чего передает на определенный канал и определенному пользователю информацию о системных настройках и паролях зараженного компьютера, что позволяет автору "червя" собирать данные об инфицированных системах и отслеживать динамику его распространения. Также при желании, автор может использовать копию PrettyPark на зараженной машине для получения другой важной информации: количества логических дисков в системе, логинов и паролей для входа в Internet. С помощью PrettyPark на зараженном компьютере можно удаленно создавать, удалять файлы и директории, запускать программы, что дает автору "червя" практически полный и тайный контроль извне над инфицированным компьютером.

На сегодняшний день PrettyPark эффективно удаляет из системы AVP Касперского и Panda Antivirus Platinum.

Появился клон Win32/CIH

Как и ожидалось, начался процесс мутации самого разрушительного и вредоносного вируса последнего времени Win32/CIH, более известного под кодовым названием "Chernobyl". Новый обнаруженный клон - резидентный вирус Emperor, представляет собой улучшенную версию CIH с более мощной деструктивной компонентой.

К счастью, из-за того, что Emperor поражает лишь досовские запускаемые файлы (EXE и COM), он не будет распространяться так стремительно, как Win32/CIH, который поражает гораздо более широко распространенные запускаемые файлы Windows. Этот факт облегчает обнаружение Emperor и позволяет говорить о том, что данный клон не вызовет столь разрушительных последствий, как его предшественник. К счастью, в новом вирусе также содержится множество ошибок, что определяет его низкую жизнеспособность. Таким образом, вероятность широкого распространения "Императора" равна нулю.

Основной вред, наносимый Emperor, - это удаление всей информации с жесткого диска зараженного компьютера, повреждение Flash-BIOS и вывод на экран следующего текста:

"EMPEROR.

I will grind my hatred upon the loved ones.

Despair will be brought upon the hoping childs of hapiness.

Wherever there is joy the hordes of the eclipse will pollute.

Sadness and hate under the reign of fear.

In the name of the almighty Emperor...".

Включение деструктивной компоненты происходит в двух случаях: если инфицированный компьютер был перезагружен с пяти до десяти утра любого дня или же если вирус обнаружил в памяти компьютера активизированный дебаггер (средство для отладки и анализа программ в машинном коде).

Перезагрузка компьютера с системной дискеты не дает ничего, так как вирус шифрует partition table, что не позволяет после срабатывания деструктивной компоненты удалить вирус с помощью антивирусного программного обеспечения.

В отличие от CIH, Emperor копирует себя в большее количество областей жесткого диска, что делает процесс его удаления более сложным. Также Emperor использует разнообразные стелс-технологии для сокрытия своего присутствия (в том числе и модификацию CMOS для отключения BIOS antivirus protection). В довершение ко всему Emperor шифрует оригинальную копию Master Boot Record (MBR) и дешифрует ее только в том случае, если копия вируса уже находится в памяти компьютера и активна. Так что благополучно загрузить компьютер или обратиться к зараженному жесткому диску можно лишь при наличии активизированного вируса в памяти.

Для предотвращения заражения, обнаружения и эффективного удаления Emperor не забывайте использовать свежие версии антивирусных программ. Во избежание уничтожения содержимого Flash BIOS, пользователям рекомендуется поставить переключатели Flash BIOS в положение, запрещающее запись.

Первый скрипт-вирус под CorelDraw

Обнаружен и внесен в базы данных ряда антивирусных программ новый вирус CS/Galadriel, поражающий файлы типа CSC, являющиеся скриптами для известного дизайнерского пакета CorelDraw.

Возможность существования вируса для Corel Draw основана на том факте, что Corel Draw, как и некоторые другие мощные системы обработки информации, поддерживает написанные на скрипт-языках дополнительные программы (скрипты). Скрипты используются для настройки Corel Draw под конкретные задачи, решение которых не входит в стандартные возможности программы. Скрипт-язык Corel Draw очень близок к языку Visual Basic, используемому в Microsoft Office, и поддерживает большое количество функций, в том числе функции работы с файлами. Таким образом, скрипты Corel Draw позволяют искать файлы, читать/писать из/в них, осуществлять поиск данных - то есть все необходимое для создания вируса.

В комплекте, поставляемом фирмой Corel, вируса не содержится. Вирус может находиться в CSC-файле, полученном извне, или в пиратской версии дистрибутива CorelDraw. CS/Galadriel проявляется шестого июня каждого года и выводит на экран фрагмент текста, взятый из книги известного писателя, являющегося родоначальником фэнтэзи Дж. Р. Р. Толкиена (кстати, и сам вирус назван в честь королевы эльфов из книги "Властелин колец").

Распространение вируса происходит следующим образом. CS/Galadriel просматривает в текущей директории существующие CSC-файлы и проверяет их на наличие метки "REM ViRUS GaLaDRieL FOR COREL SCRIPT bY zAxOn/DDT". Если метка отсутствует, данный CSC-файл заражается.

После детального изучения вируса эксперты пришли к мнению, что вероятность его широкого распространения весьма мала: число пользователей, использующих скрипты (тем более обменивающихся ими) Corel Draw, совсем незначительно.

Подготовил Константин Лозинский


Компьютерная газета. Статья была опубликована в номере 23 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2024 Компьютерная газета