AVP для платформы BSD Unix

AVP для платформы BSD Unix

"Лаборатория Касперского", российский лидер в области разработки и внедрения антивирусных систем безопасности, объявила о выпуске первой бета-версии известного антивируса AVP для платформы BSD Unix.

Новый продукт предназначен для обеспечения надежной антивирусной защиты серверов и рабочих станций, работающих под управлением операционной системы BSD Unix.

AVP для BSD Unix создан на основе того же антивирусного ядра, что и остальные 32-разрядные антивирусы семейства AVP. Продукт обеспечивает надежную защиту от компьютерных вирусов и вредоносных программ (включая Троянских коней и Интернет червей) всех типов, надежно контролирует все вирусоопасные источники - мобильные носители информации, сетевые ресурсы, электронную почту, Интернет.

Первая бета-версия AVP для BSD Unix включает только антивирусный сканер. В последующих версиях продукт будет дополнен резидентным антивирусным фильтром и ревизором изменений. Также программа будет содержать функцию загрузки обновлений антивирусной базы через Интернет, удобный планировщик событий, систему отчетов и предупреждений по электронной почте, функцию изолирования зараженных файлов и графический интерфейс.

Как и антивирус "Лаборатории Касперского" для Linux, AVP для BSD Unix будет иметь открытое API (открытый исходный текст клиентской части программы). Это обеспечит пользователям возможность свободно интегрировать AVP в дополнительные приложения.

"Платформа BSD Unix всегда считалась одной из самых надежных для работы как на серверах, так и на рабочих станциях. Теперь мы сделали эту платформу одной из самых безопасных", - охарактеризовал выпуск бета-версии AVP для BSD Unix технический директор "Лаборатории Касперского" Михаил Калиниченко. 12.08.99 - Лаборатория Касперского

WinHLP.Demo

Первый известный "настоящий" Windows HLP-вирус: размножается только при открытии HLP-файлов (файлы помощи) Windows, ищет и заражает другие HLP-файлы в текущем каталоге (первым известным вирусом, записывающим свой "дроппер" в HLP-файлы, был Win95.SK).

При открытии зараженного HLP-файла Windows обрабатывает встроенный в него вирусный скрипт и выполняет все указанные в нем инструкции. При помощи неочевидного приема одна из вирусных инструкций выполняет как код (как обычную программу Windows) данные, которые указаны в этой инструкции. Таким образом, скрипт вируса переключает себя из режима скрипта HLP-файла в режим обычного приложения Windows.

Выполняемый при этом код является "стартером" вируса, который при помощи {полиморфного:Poly} кода реконструирует главную процедуру вируса - процедуру заражения - и передает на нее управление. Процедура заражения во многом напоминает другие Win32-вирусы: она сканирует ядро Windows (KERNEL32.DLL), ищет в нем адреса необходимых вирусу функций и вызывает подпрограмму поиска HLP-файлов Windows и внедрения в них.

При заражении конкретного HLP-файла вирус разбирает его структуру, ищет секцию скриптов "SYSTEM", записывает в нее необходимые инструкции и дополняет их полиморфным "стартером".

Перед запуском процедуры заражения и после окончания ее работы вирусный скрипт выводит два окна сообщений:
"HLP.Demo
Trying to infect"
и
"HLP.Demo
Script comes to end!"
Anticmos

Очень опасный вирус. При загрузке с пораженного флоппи-диска записывается в MBR винчестера, затем перехватывает INT 13h и записывается в boot-сектора дискет. Оригинальное содержимое секторов не сохраняет. Периодически стирает содержимое CMOS. "Anticmos.Lixi" содержит строку: "I am Li Xibin!"

Процедура заражения, применяемая в вирусе, не вполне корректна: при заражении диска она затирает часть системных данных загрузочного сектора (метка тома, серийный номер диска, идентификатор файловой системы и некоторые другие поля, использующиеся только в загрузочных секторах жестких дисков). Вирус затирает эти данные кодом своей процедуры инсталляции в память.

При лечении этого вируса многие антивирусные программы не вполне корректно "вычищают" вирус из загрузочных секторов - они оставляют "как есть" код вируса, который был записан в область системных данных сектора. Эти "следы вируса" могут детектироваться другими антивирусным программами. Например, AVP детектирует их как "вариант вируса Anticmos". Применяемая в AVP процедура лечения вируса вычищает его код полностью, и вылеченные при помощи AVP диски более не детектируются антивирусным программами как зараженные.

PFS.3786

Неопасный резидентный файлово-загрузочный зашифрованный стелс-вирус. Заражает MBR винчестера и записывается в конец COM- и EXE-файлов.

При запуске зараженного файла вирус записывается в MBR, перехватывает INT 21h и остается резидентно в системной памяти. При загрузке с зараженного диска перехватывает INT 8 (таймер), ждет загрузки DOS и затем перехватывает INT 21h.

Перехватчик INT 21h обрабатывает более десятка DOS-функций: FindFirst/Next (включая поиск по длинным именам), открытие файлов, закрытие, запуск, переименование, чтение и т.д.

Вирус заражает файлы при их открытии, запуске, переименовании и чтении/записи атрибутов. При вызове остальных DOS-функций вирус передает управление на свои стелс-подпрограммы.

Помимо стелс-функций вирус использует ряд достаточно сложных методов для скрытия своего присутствия в системе.

При заражении MBR вирус вызывает процедуры прямого чтения/записи секторов через порты контроллера и обходит таким образом встроенную в BIOS антивирусную защиту.

При заражении памяти вирус копирует в нее всего 339 байт своего кода (обработчик INT 21h). При необходимости вирус дочитывает свой основной код с первого трека винчестера, куда записывает его при заражении MBR. В результате вирус не занимает обычной DOS-памяти и не присутствует в списке резидентных программ при просмотре карты памяти. В зависимости от системной конфигурации вирус также копирует свой основной код в XMS-память и при необходимости использует эту копию вместо кода, расположенного в секторах винчестера.

Вирус содержит строку: "PowerFul Stealth v6.1 (c)'98 DK eyegabooom"

Подготовил Константин Лозинский


Компьютерная газета. Статья была опубликована в номере 33 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2022 Компьютерная газета
oJnWE3?=нD}{DfHM=|]| ,Rh٣ <Ļi՛)^l`6=Rep9oyB~{<@- $ 3?:͜i*Ifgf$;9'yUw9Z.N#ҧcxS`np^i㺔o; :_].mC[tTbH)n̳\jzskV[CMͿ v}\I?lI_ }:7„CzhrE