O97M.Tristate

O97M.Tristate

Вирус O97M.Tristate впервые был обнаружен в США. Его общая длина составляет один VBA5-модуль. Основными жертвами этого вируса являются файлы MS Word 97, MS Excel 97, MS PowerPoint 97.

В основном O97M.Tristate инфицирует документы MS Word 97, а также таблицы MS Excel 97 и слайды MS PowerPoint slides. Процедуры заражения для каждого из приложений MS Office различны и более подробно описаны ниже.

Заражение системы во время запуска инфицированного документа Word97

Как и W97M.Class, O97M.Tristate не добавляет новое VBA-модуль в зараженный файл, а лишь встраивает вирусный код в уже существующий по умолчанию в файле модуль "ThisDocument". Следующая вирусная процедура активизирует во время закрытия инфицированного документа Word:

1. Переход в MS Excel:

Если в запускаемой директории MS Excel не существует файл BOOK1.* (обычно это директория XLSTART), вирус отключает защиту от макро-вирусов в MS Excel. Затем он создает зараженную "книгу" Excel BOOK1.* в текущей запускаемой директории MS Excel.

2. Переход в MS PowerPoint:

Происходит проверка существования модуля "Triplicate" в Blank Presentation.POT (шаблоне PowerPoint, который обычно хранится в директории TEMPLATES). Если такого модуля не существует, то отключается внутренняя защита от макро-вирусов MS PowerPoint и создается вирусный модуль "Triplicate" в Blank Presentation.POT. Также создает простейший объект AutoShape, который взаимодействует с существующим слайдом. Вирусный модуль присоединяется к этому AutoShape-объекту.

3) Повторное заражение закрываемого документа Word (если необходимо). Если модуль "ThisDocument" не содержит того, что требуется вирусу, O97M.Tristate заменяет содержимое "ThisDocument" своим вирусным кодом. Вследствие этого, VBA-код пользователя, находящийся в "ThisDocument", затирается.

Заражение системы во время запуска инфицированной MS Excel таблицы или файла MS PowerPoint происходит практически аналогичным образом, как это было описано выше. Единственное отличие - порядок заражения шаблонов приложений MS Office.

Back Orifice 2000

Все компьютерные новостные издания уже на протяжении недели трубят о появлении новой версии печально известного троянского коня Back Orifice (BO). Предыдущая версия программы была "представлена" ее разработчиками - хакерской группой под интригующим названием "Культ мертвой коровы" ("Cult of Dead Cow") на конференции хакеров Def Con'98. Def Con'99, прошедшая в прошлый уикэнд в Лас-Вегасе (штат Невада, США), "порадовала" компьютерных пользователей всего мира их новым детищем - Back Orifice 2000 (BO2000).

Напомню, что BO является идеальным средством несанкционированного управления компьютера. Как правило, программа проникает на компьютер через электронную почту в виде вложенного исполняемого файла. Пользователь, поддавшийся броскому названию (например, "новая версия ICQ!") и по неосторожности запустивший этот файл, собственноручно внедрял "троянца" на свой компьютер. Собственно, из-за такого способа распространения подобные программы и получили название "троянский конь". Back Orifice был первым "троянским конем", дававшим возможность злоумышленникам управлять зараженным компьютером на расстоянии. Управление подразумевает:

1. доступ к локальным и сетевым дискам;

2. поиск, загрузка, удаление файлов на удаленной машине;

3. перехват информации, введенной пользователем;

4. многие другие действия, направленные на перехват конфиденциальной информации.

Чтобы избежать проникновения на компьютер BO2000, достаточно соблюдать несколько простых правил:

- никогда не запускайте вложенные в сообщения электронной почты файлы (даже если они получены от ваших знакомых), предварительно не проверив их антивирусом;

- никогда не запускайте программы, полученные на мобильных накопителях (дискетах, CD-ROM, магнитооптике и т.д.) из источников, не заслуживающих доверия;

- никогда и никому не сообщайте паролей доступа к вашему компьютеру.

На конференции Def Con'99 авторы программы с гордостью представили нововведения. Среди наиболее выдающихся из них - поддержка Windows NT (при сохранении поддержки Windows 95/98), поддержка встраиваемых модулей (plug-in) для будущего развития программы, криптографическая защита. Однако самое интересное - опубликование исходных текстов BO2000. Не стоит пояснять, чем это может грозить компьютерному миру - "исходники" вируса "Чернобыль" всего за несколько месяцев со дня опубликования в сети Интернет дали жизнь десяткам других вирусов, использующих его деструктивные алгоритмы (уничтожение информации на жестких дисках, стирание микросхемы Flash BIOS).

По словам авторов Back Orifice, программа призвана заставить Microsoft наконец позаботиться о безопасности пользователей операционной системы Windows. Кроме того, как утверждают создатели "троянца", BO2000 предназначен отнюдь не для несанкционированного проникновения в компьютерные системы, а всего лишь для удобного и простого администрирования удаленных терминалов. Вполне понятна подобная интерпретация: если бы авторы сказали правду, то их наверняка ждало бы тюремное заключение.

По данным специалистов, на текущий момент не зарегистрировано массовых случаев заражения BO2000. Вместе с тем многие крупные западные компании решили воспользоваться шумихой, поднятой вокруг этого "троянца", для нагнетания вирусной истерии и привлечения к себе дополнительного внимания.

Напоминаю, что соответствующие изменения в базы данных ведущих антивирусных программ для детектирования и удаления BO2000 уже внесены. Так что оснований для беспокойства пока нет.

Подготовил Константин Лозинский


Компьютерная газета. Статья была опубликована в номере 28 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2022 Компьютерная газета