Network Associates обещает создать противоядие для вирусов, связанных с проблемой 2000 года
Network Associates обещает создать противоядие для вирусов, связанных с проблемой 2000 года
Компания Network Associates (www.nai.com), специализирующаяся на разработке антивирусного ПО, анонсировала инициативу по защите от вирусов, связанных с проблемой 2000 года. В рамках реализации этой инициативы Network Associates представила программу Millenium Support Program, которая предусматривает круглосуточный доступ пользователей в специальную службу, где будут дежурить более 300 специалистов по антивирусной защите. Служба будет работать не только до 1 января 2000 года, но и после этой даты.
Кроме того, сейчас Network Associates занята обновлением своей технологии сканирования ViruLogic, что позволит ускорить распознавание вирусов 2000 года. Создается также специальный информационный центр по этим вирусам, который поможет пользователям подготовиться к возможным новогодним вирусным атакам. Все услуги по программе Millenium Support Program будут предоставляться бесплатно клиентам службы поддержки Network Associates PrimeSupport Enterprise. Для всех остальных доступ в эту службу будет предоставляться с 25 декабря до 7 января, как сообщается, за символическую плату.
22.09.99 - InfoArt News Agency
Появился очередной макро-вирус Suppl
Компания Network Associates опубликовала предупреждение о появлении нового вируса, получившего название Suppl.
Он представляет собой один из вариантов макро-вируса для Word-файлов. Вирус был обнаружен "патрульной" антивирусной службой AVERT компании Network Associates. Это программа сканирования групп новостей, которая круглосуточно ведет автоматический поиск новых вирусов.
По сообщению Network Associates, вирус Suppl распространяется по электронной почте. Попав на компьютер пользователя, он отслеживает отсылаемые почтовые сообщения и прикрепляет ко всем исходящим письмам зараженный документ "suppl.doc". Если получатель откроет его, то увидит пустой экран, а машина будет уже заражена. Через 163 часа после заражения компьютера вирус начинает "обнулять" все файлы на жестком диске, имеющие расширения.doc,.xls,.txt,.rtf,.dbf,.zip,.arj, и.rar (их размер становится равным 0 байт).
Вирус записывает в каталог Windows три файла - WININIT.INI, DLL.LZH и ANTHRAX.INI, а затем автоматически распаковывает архивный файл DLL.LZH в DLL.TMP. Содержимое нового файла WININIT.INI дает команду операционной системе заменить имеющийся файл WSOCK32.DLL на WSOCK33.DLL и переименовать файл DLL.TMP в WSOCK32.DLL. В новом файле WSOCK32.DLL содержатся инструкции по прикреплению ко всей исходящей почте файла suppl.doc и обнуления всех файлов с вышеуказанными расширениями через 163 часа после заражения.
Средство от вируса Suppl компания Network Associates опубликовала на своем Web-сайте по адресу http://www.nai.com.
Совет пользователям как всегда один - не открывать прикрепленный к письму файл suppl.doc, да и вообще все подозрительные сообщения, пришедшие из незнакомых источников.
Служба антивирусного реагирования
AVERT корпорации Network Associates (www.nai.com) сообщила об обнаружении новой враждебной программы Count2K, действующей по принципу т.н. "троянского коня". Особую опасность представляет то, что программа распространяется по электронной почте от лица службы технической поддержки корпорации Microsoft. Защита от нового "троянского коня" доступна всем пользователям антивирусных продуктов Network Associates версии 4.0.25 и выше. Соответствующее обновление антивирусных продуктов Network Associates доступно через Internet (www.nai.com и www.nai.ru). Применение предыдущих версий антивирусов McAfee/Network Associates и Dr. Solomon не обеспечивает защиты от нового вируса.
Вирус распространяется в файле с названием Y2KCOUNT.EXE" длиной 124885 байт, прикрепленном к сообщению электронной почты.
Внутри файла содержится саморазворачивающийся архив, внутри которого находятся файлы Project1.exe, file001.dat, file002.dat, file003.dat, file004.dat. При обращении к архиву на экране появляется сообщение "Password protection error or invalid CRC32!" и начинается выполнение файла Project1.exe, который копирует каждый из четырех.dat файлов, содержащихся в архиве, в каталог WINDOWS\SYSTEM под именами Proclib.exe, Proclib.dll, Proclib16.dll, ntsvsrv.dll, Nlhvld.dll.
Затем в секцию [boot] файла SYSTEM.INI в строку 'drivers=' записывается имя "ntsvsrv.dll", что обеспечивает запуск "трояна" при следующей перезагрузке системы. В момент перезагрузки файл WSOCK32.DLL в каталоге WINDOWS\SYSTEM переименовывается в Nlhvld.dll, затем файл Proclib16.dll переписывается в WSOCK32.DLL. Эта операция позволяет "трояну" подключаться к Internet-соединению и запускать файл proclib.exe при каждом сеансе работы с Internet. Цель работы нового "трояна" - перехват имени пользователя и пароля и пересылка этих данных автору "трояна".
Как уничтожить этого "троянского коня":
1. Отредактируйте строку drivers= в секции [boot] файла SYSTEM.INI и уничтожьте имя файла> ntsvsrv.dll.
2. Перезапустите систему и НЕ НАЧИНАЙТЕ РАБОТАТЬ С INTERNET. Таком образом WSOCK32.DLL не будет загружен в память и может быть успешно переименован.
3. Скопируйте файл WINDOWS\SYSTEM\Nlhvld.dll в WINDOWS\SYSTEM\WSOCK32.DLL.
Если вы получите запрос на подтверждение операции, отвечайте YES. Если вы получите сообщение об ошибке, поскольку файл в использовании, - значит WSOCK32.DLL уже загружен. Закройте все сетевые и Internet-приложения (или перегрузитесь с чистой дискеты) и повторите операцию.
4. Уничтожьте файлы Proclib.exe, Proclib.dll, Proclib16.dll, ntsvsrv.dll, Nlhvld.dll из каталога WINDOWS\SYSTEM.
Macro.Word97.Blaster
Опасный макро-вирус, известен также под именем "W97M.Cont". Заражает область системных макросов при открытии зараженного документа. Остальные документы заражает при их закрытии. Процедура заражения ищет процедуры вируса "Document_Close" и "Document_Open" и записывает их на диск в файл "C:\CONT.DBL". При заражении код вируса из этого файла добавляется в документ, при этом макросы, присутствующие в документе, не удаляются, кроме макросов, имена которых совпадают с именами процедур вируса.
В одном случае из двух вирус меняет информацию о документе (summary info):
Заголовок= "Macro Carrier"
Автор= "Dream Blaster"
Ключевые слова = "Minny"
При закрытии документа вирус проверяет системную дату и по 17-м числам запускает процедуру, которая ищет файл "C:\MINNY.LOG" с установленными атрибутами "скрытый" и "только чтение". Если такой файл не найден, процедура добавляет в файл "AUTOEXEC.BAT" команды:
deltree /Y f:\*
deltree /Y e:\*
deltree /Y d:\*
deltree /Y c:\*
rem Created by Dream Blaster
rem Minny, you are simply a bitch
Эти команды удаляют все файлы и каталоги на дисках C:, D:, E: и F: при следующей перезагрузке компьютера.
Подготовил Константин Лозинский
Компания Network Associates (www.nai.com), специализирующаяся на разработке антивирусного ПО, анонсировала инициативу по защите от вирусов, связанных с проблемой 2000 года. В рамках реализации этой инициативы Network Associates представила программу Millenium Support Program, которая предусматривает круглосуточный доступ пользователей в специальную службу, где будут дежурить более 300 специалистов по антивирусной защите. Служба будет работать не только до 1 января 2000 года, но и после этой даты.
Кроме того, сейчас Network Associates занята обновлением своей технологии сканирования ViruLogic, что позволит ускорить распознавание вирусов 2000 года. Создается также специальный информационный центр по этим вирусам, который поможет пользователям подготовиться к возможным новогодним вирусным атакам. Все услуги по программе Millenium Support Program будут предоставляться бесплатно клиентам службы поддержки Network Associates PrimeSupport Enterprise. Для всех остальных доступ в эту службу будет предоставляться с 25 декабря до 7 января, как сообщается, за символическую плату.
22.09.99 - InfoArt News Agency
Появился очередной макро-вирус Suppl
Компания Network Associates опубликовала предупреждение о появлении нового вируса, получившего название Suppl.
Он представляет собой один из вариантов макро-вируса для Word-файлов. Вирус был обнаружен "патрульной" антивирусной службой AVERT компании Network Associates. Это программа сканирования групп новостей, которая круглосуточно ведет автоматический поиск новых вирусов.
По сообщению Network Associates, вирус Suppl распространяется по электронной почте. Попав на компьютер пользователя, он отслеживает отсылаемые почтовые сообщения и прикрепляет ко всем исходящим письмам зараженный документ "suppl.doc". Если получатель откроет его, то увидит пустой экран, а машина будет уже заражена. Через 163 часа после заражения компьютера вирус начинает "обнулять" все файлы на жестком диске, имеющие расширения.doc,.xls,.txt,.rtf,.dbf,.zip,.arj, и.rar (их размер становится равным 0 байт).
Вирус записывает в каталог Windows три файла - WININIT.INI, DLL.LZH и ANTHRAX.INI, а затем автоматически распаковывает архивный файл DLL.LZH в DLL.TMP. Содержимое нового файла WININIT.INI дает команду операционной системе заменить имеющийся файл WSOCK32.DLL на WSOCK33.DLL и переименовать файл DLL.TMP в WSOCK32.DLL. В новом файле WSOCK32.DLL содержатся инструкции по прикреплению ко всей исходящей почте файла suppl.doc и обнуления всех файлов с вышеуказанными расширениями через 163 часа после заражения.
Средство от вируса Suppl компания Network Associates опубликовала на своем Web-сайте по адресу http://www.nai.com.
Совет пользователям как всегда один - не открывать прикрепленный к письму файл suppl.doc, да и вообще все подозрительные сообщения, пришедшие из незнакомых источников.
Служба антивирусного реагирования
AVERT корпорации Network Associates (www.nai.com) сообщила об обнаружении новой враждебной программы Count2K, действующей по принципу т.н. "троянского коня". Особую опасность представляет то, что программа распространяется по электронной почте от лица службы технической поддержки корпорации Microsoft. Защита от нового "троянского коня" доступна всем пользователям антивирусных продуктов Network Associates версии 4.0.25 и выше. Соответствующее обновление антивирусных продуктов Network Associates доступно через Internet (www.nai.com и www.nai.ru). Применение предыдущих версий антивирусов McAfee/Network Associates и Dr. Solomon не обеспечивает защиты от нового вируса.
Вирус распространяется в файле с названием Y2KCOUNT.EXE" длиной 124885 байт, прикрепленном к сообщению электронной почты.
Внутри файла содержится саморазворачивающийся архив, внутри которого находятся файлы Project1.exe, file001.dat, file002.dat, file003.dat, file004.dat. При обращении к архиву на экране появляется сообщение "Password protection error or invalid CRC32!" и начинается выполнение файла Project1.exe, который копирует каждый из четырех.dat файлов, содержащихся в архиве, в каталог WINDOWS\SYSTEM под именами Proclib.exe, Proclib.dll, Proclib16.dll, ntsvsrv.dll, Nlhvld.dll.
Затем в секцию [boot] файла SYSTEM.INI в строку 'drivers=' записывается имя "ntsvsrv.dll", что обеспечивает запуск "трояна" при следующей перезагрузке системы. В момент перезагрузки файл WSOCK32.DLL в каталоге WINDOWS\SYSTEM переименовывается в Nlhvld.dll, затем файл Proclib16.dll переписывается в WSOCK32.DLL. Эта операция позволяет "трояну" подключаться к Internet-соединению и запускать файл proclib.exe при каждом сеансе работы с Internet. Цель работы нового "трояна" - перехват имени пользователя и пароля и пересылка этих данных автору "трояна".
Как уничтожить этого "троянского коня":
1. Отредактируйте строку drivers= в секции [boot] файла SYSTEM.INI и уничтожьте имя файла> ntsvsrv.dll.
2. Перезапустите систему и НЕ НАЧИНАЙТЕ РАБОТАТЬ С INTERNET. Таком образом WSOCK32.DLL не будет загружен в память и может быть успешно переименован.
3. Скопируйте файл WINDOWS\SYSTEM\Nlhvld.dll в WINDOWS\SYSTEM\WSOCK32.DLL.
Если вы получите запрос на подтверждение операции, отвечайте YES. Если вы получите сообщение об ошибке, поскольку файл в использовании, - значит WSOCK32.DLL уже загружен. Закройте все сетевые и Internet-приложения (или перегрузитесь с чистой дискеты) и повторите операцию.
4. Уничтожьте файлы Proclib.exe, Proclib.dll, Proclib16.dll, ntsvsrv.dll, Nlhvld.dll из каталога WINDOWS\SYSTEM.
Macro.Word97.Blaster
Опасный макро-вирус, известен также под именем "W97M.Cont". Заражает область системных макросов при открытии зараженного документа. Остальные документы заражает при их закрытии. Процедура заражения ищет процедуры вируса "Document_Close" и "Document_Open" и записывает их на диск в файл "C:\CONT.DBL". При заражении код вируса из этого файла добавляется в документ, при этом макросы, присутствующие в документе, не удаляются, кроме макросов, имена которых совпадают с именами процедур вируса.
В одном случае из двух вирус меняет информацию о документе (summary info):
Заголовок= "Macro Carrier"
Автор= "Dream Blaster"
Ключевые слова = "Minny"
При закрытии документа вирус проверяет системную дату и по 17-м числам запускает процедуру, которая ищет файл "C:\MINNY.LOG" с установленными атрибутами "скрытый" и "только чтение". Если такой файл не найден, процедура добавляет в файл "AUTOEXEC.BAT" команды:
deltree /Y f:\*
deltree /Y e:\*
deltree /Y d:\*
deltree /Y c:\*
rem Created by Dream Blaster
rem Minny, you are simply a bitch
Эти команды удаляют все файлы и каталоги на дисках C:, D:, E: и F: при следующей перезагрузке компьютера.
Подготовил Константин Лозинский
Компьютерная газета. Статья была опубликована в номере 39 за 1999 год в рубрике безопасность :: Вирусный бюллетень
