Лаборатория Касперского о новом вирусе Win32.FunLove

"Лаборатория Касперского" о новом вирусе Win32.FunLove

Мы уже сообщали сегодня о появлении вируса FunLove. Теперь предлагаем вашему вниманию подробное описание этого вируса от известного российского разработчика антивирусных систем безопасности компании "Лаборатория Касперского".

Вирус Win32.FunLove обнаружен в "диком виде" (In-the-Wild), т.е. для компьютерных пользователей существует реальная опасность заражения данным вирусом.

Win32.FunLove является неопасным резидентным паразитическим Win32 вирусом. Он заражает PE (Portable Executable) файлы на локальных и сетевых дисках. Благодаря своей способности размножаться по локальной сети вирус может заразить всю корпоративную сеть с одной рабочей станции, если ей предоставлены права записи на сетевые диски.

Файлы, зараженные вирусом Win32.FunLove, можно легко распознать по строке (название популярной западной рок-группы), содержащейся в его теле: "Fun Loving Criminal".

После запуска зараженного файла вирус создает в системной директории Windows файл FLCSS.EXE ("Дроппер"), в который записывает свой "чистый" код, и затем запускает его на выполнение. "Дроппер" вируса является обычным файлом формата Win32 PE. Под операционными системами Windows 95 и Windows 98 он запускается в качестве скрытого (hidden) Windows приложения, а под Windows NT - как сервис. После этого активизируется процедура заражения системы.

В случае возникновения ошибки в процессе создания "дроппера" для заражения системы вирус все равно запускает эту процедуру заражения, но уже непосредственно из своего тела, а не через "дроппер". Процесс поиска и заражения файлов происходит в фоновом режиме (thread), в результате чего уже зараженные файлы выполняются без заметных задержек.

В процессе заражения системы вирус сканирует все локальные диски от C: до Z:, затем просматривает дерево директорий сетевых ресурсов и заражает все PE файлы с расширениями.OCX,.SCR и.EXE. Вирус записывает свой код в последнюю секцию файла (увеличивая тем самым размер файла на 4099 байтов) и добавляет в стартовый адрес инструкцию "JumpVirus". Данная инструкция обеспечивает запуск вируса из последней секции файла перед выполнением самой программы.

Вирус проверяет имена файлов и не заражает файлы по следующим маскам: ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*.

Вирус имеет черты семейства вирусов {"Bolzano":Win32_Bolzano}. Он изменяет файлы NTLDR и WINNT\System32\ntoskrnl.exe тем же самым способом, что и вирус "Bolzano". Измененные файлы можно восстановить из резервной копии.

Совместная акция Microsoft и ИД "Коммерсантъ"

была использована для распространения вируса

Не успели Представительство Microsoft в СНГ и Издательский Дом "Коммерсантъ" объявить о старте совместного некоммерческого проекта "Еще не поздно!", имеющего целью предоставить пользователям средства тестирования и устранения "Проблемы 2000" в программном обеспечении, как этим воспользовались какие-то злоумышленники.

Как сообщается, 15 ноября 1999 года Представительство Microsoft в СНГ получило информацию о том, что на адреса электронной почты клиентов корпорации стали приходить сообщения от лица Представительства с прикрепленным файлом patch_Y2Kcount.exe. Текст этого сообщения дословно повторяет недавно опубликованный в изданиях ИД "Коммерсантъ" анонс совместной акции Представительства Microsoft и ИД "Коммерсантъ" по помощи пользователям ПК в преодолении "Проблемы 2000 года". А прикрепленный файл, как оказалось, является вирусом и не имеет никакого отношения к программным обновлениям корпорации Microsoft, связанным с переходом в 2000 год. Представительство Microsoft сообщает, что оно не отправляло подобных сообщений.

Прикрепленный файл patch_Y2Kcount.exe был проверен в "Лаборатории Касперского". Как оказалось, запуск его на исполнение приводит к внедрению в компьютерную систему "троянской" программы Trojan.PSW.Stealth.d, которая обеспечивает несанкционированную передачу данных (имена и пароли доступа в Интернет) с зараженного компьютера на адрес электронной почты uu@ru.ru.

Представительство Microsoft предупреждает, что корпорация Microsoft никогда не распространяет программные продукты по электронной почте. Необходимые программные обновления распространяются корпорацией через Интернет. При этом программы размещаются на web-узле, http://www. microsoft.com, или могут быть получены на сайте FTP ftp://ftp.micro-soft.com. Все обновления, связанные с проблемой 2000 года, можно получить на web-узле корпорации (http://www.microsoft.com/y2k) или на специальных компакт-дисках (Microsoft Year 2000 Resource CD или диск, выпущенный в рамках совместной с ИД "Коммерсантъ" акции "Еще не поздно!").

Корпорация Microsoft периодически информирует своих клиентов по электронной почте о наличии новых обновлений. Однако такие сообщения содержат только ссылки на Web-адреса, где можно загрузить то или иное обновление.

Если Вы получили электронное сообщение, в котором утверждается, что к данному письму прикреплен программный продукт корпорации Microsoft, ни в коем случае не запускайте прикрепленный файл. Такое сообщение следует немедленно удалить вместе с прикрепленным файлом.

BubbleBoy: Новое поколение Интернет-червей. Противоядие уже найдено!

"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, предупреждает о появлении нового поколения Интернет-червей, представляющего реальную опасность для компьютерных пользователей и корпоративных сетей. I-Worm.BubbleBoy является первым известным Интернет-червем, способным распространяться по электронной почте, не прибегая к использованию вложенных файлов. Данный "червь" внедряется на компьютеры сразу же после попытки прочтения зараженного письма.

Все ранее обнаруженные Интернет-черви использовали стандартный прием саморассылки при помощи вложенных файлов. BubbleBoy внедряется на компьютер сразу же после прочтения зараженного письма и незаметно для пользователя рассылает себя по адресам из адресной книги почтовой программы MS Outlook.

"На данный момент мы не зарегистрировали массовых случаев заражения этим "червем". Однако не иключена возможность его широкого распространения в самое ближайшее время", - сказал Евгений Касперский, руководитель антивирусной лаборатории компании.

Симптомы заражения

Распознать зараженный компьютер можно по следующим признакам. "Червь" "помечает" свое присутствие на компьютере посредством внесения изменений в следующие ключи системного реестра:

HKEY_LOCAL_MACHIN\Software\OUTLOOK.BubbleBoy\ = OUTLOOK.Bubbleboy 1.0 by Zulu

или (в зависимости от версии "червя")

HKEY_LOCAL_MACHIN\Software\OUTLOOK.BubbleBoy\ = OUTLOOK.Bubbleboy 1.1 by Zulu

А также

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner = Bubbleboy

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOrganization = Vandelay Industries

Методы защиты

Для обеспечения 100% защиты от проникновения BubbleBoy на компьютер или корпоративную сеть необходимо воспользоваться следующими методами:

1. Установите дополнение компании Microsoft, которое устраняет брешь в защите Internet Explorer 5. Данное дополнение находится по адресу http://support.microsoft.com/ support/kb/articles/Q240/3/08.ASP.

2. Если Вы не используете HTML-приложения (HTA-файлы) в своей работе, то вы можете обезопасить себя от BubbleBoy-подобный программ, удалив ассоциацию с расширением.HTA. Для этого необходимо выполнить следующие шаги:

- Открыть окно "My Computer (Мой компьютер)", дважды щелкнув на значке "My Computer (Мой компьютер)" на рабочем столе;

- В меню выбрать пункт "View (Вид)", затем "Options...(Параметры...)";

- На закладке "File Types (Типы файлов)" в списке "Registered file types (Зарегистрированные типы файлов)" выбрать "HTML Applicaton";

- Щелкнуть на кнопке "Re-move(Удалить)" и подтвердить действие;

- Закрыть диалоговое окно настроек.


Компьютерная газета. Статья была опубликована в номере 46 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2022 Компьютерная газета