Вирус Babylonia уже не так опасен, как раньше

Вирус Babylonia уже не так опасен, как раньше

Вирус нового типа Win95.Babylonia появился совсем недавно. Первое сообщение о заражении и Internet-чатов и групп новостей в Европе, США и странах Азиатско-Тихоокеанского региона появилось на этой неделе - в понедельник 6 декабря. В описании вируса, сделанном российской антивирусной компанией "Лаборатория Касперского", указывается, что Win95.Babylonia сочетает в себе возможности как вируса, так и Интернет-червя и "троянской" программы. Проникнув на компьютер, вирус ждет, пока пользователь вновь установит соединение с Internet, после чего вирус инициирует соединение с Web-сайтом, известным под названием SOK4EVER, откуда производится загрузка дополнительных вирусных модулей. Принадлежит этот сайт группе "любителей вирусов" Source of Kaos и располагается он в Японии.

Вернее, теперь уже можно сказать в прошедшем времени - принадлежал группе Source of Kaos и располагался в Японии, так как этот сайт, с которого производилась рассылка новых вирусных модулей, по сообщению антивирусной фирмы Trend Micro, уже закрыт. Вирус Win95.Babylonia, конечно же, не обезврежен, но уже не столь опасен, как раньше, поскольку функции несанкционированного удаленного администрирования он уже лишен.

Создатель вируса Melissa признал свою вину

31-летний программист Дэвид Смит (David L. Smith) признал в суде, что он является создателем и распространителем печально известного вируса Melissa, эпидемия которого разразилась в марте этого года. В окружном суде штата Нью-Джерси, где рассматривалось это дело, Дэвид Смит обвинялся в рассылке заведомо опасной компьютерной программы. Согласно обвинению прокурора, общий ущерб от вируса Melissa превысил 80 млн дол.

На судебном процессе Смит сказал, что он и не думал, что созданный им вирус наделает столько бед. Однако то, как он замаскировал вирус, говорит о том, что он приложил все усилия к его максимальному распространению. Напомним, что вирус распространялся в письмах электронной почты по 50 адресам из адресной книги почтовой программы зараженного компьютера, а в теле письма сообщалось, что это "важное сообщение" от знакомого адресату человека. Поэтому пользователи и открывали зараженный файл, присланный от "друга", чего они никогда не стали бы делать, если бы получили послание от неизвестного отправителя.

Теперь автор вируса Melissa ждет приговора суда.

Вирус ICQGREETING обнаружен в диком виде

Компании Trend Micro и Computer Associates, специализирующиеся на разработке антивирусного ПО, сообщили о том, что в природе в диком виде обнаружен новый вирус типа троянского коня, получивший название ICQGREETING. Он может быстро распространиться по Internet, так как генерирует рассылку по электронной почте большого числа своих копий. В таких электронных письмах в строке "тема" всегда пусто, в теле письма также ничего нет, а есть только прикрепленный файл "Icq_Greetings.exe".

ICQGREETING является вариантом вируса-червя Mypics, который появился неделю назад. Mypics приходил в письме в исполняемом файле Pics4You.exe", в теле письма содержался текст "Here's some pictures for you!".

Как и Mypics, вирус ICQGREETING поражает системы с ОС Windows 95/88, NT или 2000. Кроме того, для его распространения по электронной почте необходимо наличие на зараженном компьютере программы Microsoft Outlook.

ICQGREETING запрограммирован на исполнение специальных команд 1 января 2000 г. - он попытается отформатировать диск С:, флоппи-дисководы A: и B: и, если он имеется, жесткий диск D:. Однако, по сообщению Computer Associates, в самом коде вируса имеются ошибки, и отформатировать диски ему, скорее всего, не удастся.

Как и Mypics вирус ICQGREETING по замыслу его создателя также должен внести изменения в ПЗУ, но, опять же из-за ошибок, он этого сделать не сможет.

При запуске на исполнение файла "Icq_Greetings.exe" троянский вирус помещает свой файл в каталог Windows и изменяет содержимое системного регистра таким образом, что программа, содержащая вирус, автоматически запускается на исполнение при перезагрузке компьютера. Через 20 минут после запуска вирус пытается разослать свои копии по адресам, содержащимся в адресной книге почтовой программы Outlook, и эта процедура повторяется каждые 10 минут. Эта массовая рассылка сообщений сама по себе может вызвать перегрузку почтовых систем по всему миру.

Компании Trend Micro (http:// www.antivirus.com) и Computer Associates (http://www.cai.com) сообщают пользователям о том, что с их Web-сайтов они могут загрузить соответствующие обновления для своего антивирусного ПО, которые обнаруживают вирус ICQGREETING.

Network Associates открывает краткосрочную службу новогодней антивирусной помощи

Компания Network Associates скоро начнет прием заказов на услуги кратковременной помощи от вирусов, нашествие которых ожидается в районе Нового года. Служба начнет работу 31 декабря 1999 г. и будет работать весь январь 2000 г. Клиентам предлагается выбрать вариант обслуживания в течение 5 дней, двух недель или всего месяца. Пакет услуг Millennium Support включает круглосуточную поддержку пользователя, начиная с 31 декабря, предупреждения о потенциальных вирусных угрозах и рассылку информационных бюллетеней.

Продажа полисов на антивирусные услуги начнется на сайте компании www.nai.com 15 декабря. Кроме того, Network Associates открыла специальный Web-сайт http://www.avertingy2Kviruses.com, где представлена разнообразная информация о компьютерных вирусах и борьбе с ними.

Новая версия MimeSweeper теперь удаляет все макро-вирусы

Компания Content Technologies выпустила модуль расширения для своей программы проверки электронной почты MailSweeper, который, как сообщается, сможет удалять из входящей почты все макро-вирусы, независимо от механизма их работы. По сообщению представителя Content Technologies, создание такого модуля стало возможным после того, как специалистами фирмы был найден "макро-ген", который со 100%-ой точностью позволяет идентифицировать все новые и старые макро-вирусы. Модуль производит автоматическую проверку почты на макро-вирусы, в том числе и те, которые запускаются на исполнение автоматически. Кроме того, модуль проверяет даты создания и модификации пришедших документов, так как подозрительные даты могут указывать на проблемы с обработкой дат 2000 г. на компьютере отправителя.

Пока выпущена предварительная версия модуля, получившего название Y2K Scenario Plugin for MailSweeper.

Она должна помочь пользователям электронной почты без потерь встретить Новый год, а именно в этот период ожидается массовое нашествие вирусов всех мастей. Выпуск полнофункциональной версии модуля намечен на начало 2000 г.

Пользователи ПО MailSweeper могут загрузить модуль расширения Y2K Scenario с Web-сайта по адресу http://www.mimesweeper.com. Там же новые пользователи могут загрузить 30-дневную пробную версию MailSweeper.

Trend Micro открывает бесплатную онлайновую службу защиты от вирусов

В целях подготовки к прогнозируемому новогоднему нашествию компьютерных вирусов компания Trend Micro открывает на своем сайте http://www.y2kvirus.com специальную бесплатную онлайновую службу. Она будет работать в период с 29 декабря по 3 января. Здесь пользователи смогут подписаться на получение по электронной почте ежедневных предупреждений о появлении новых вирусов, связанных с проблемой 2000 г. Кроме того, здесь пользователям предоставляется бесплатный доступ к антивирусному сканеру HouseCall, с помощью которого можно обнаружить и удалить Y2K-вирусы со своего компьютера.

Win95.Begemot

Опасный резидентный полиморфный Windows-вирус длиной около 8Kb. Инсталлирует себя в память Windows и заражает PE EXE-файлы Windows при обращениях к ним.

Использует системные вызовы Win95/98 и по этой причине неработоспособен под Windows NT. Содержит ошибки, часто завешивает компьютер и портит файлы при их заражении. Использует несколько нестандартных приемов: пакует свой код (и распаковывает при инсталляции в память); записывает зараженные файлы в RAR-архивы (имя таких файлов - BEER.EXE); запускает дополнительную нитку процесса, которая взаимодействует с внешним управляющим модулем. Этот модуль может управлять процессами вируса, например, включать/отключать процедуру заражения файлов.

Вирус также ищет и выгружает антивирусные мониторы "AVP Monitor" и "Amon Antivirus Monitor", удаляет некоторые антивирусные файлы данных, в зависимости от системного таймера выводит сообщения.

Содержит строку-"копирайт", по которой очень просто определить файлы, зараженные вирусом:

"Virus Win98.BeGemot by Benny/29A".

Win95.Yobe

Опасный резидентный Windows-вирус. Использует системные вызовы Win95/98 и по этой причине неработоспособен под Windows NT. Содержит ошибки и часто завешивает компьютер при заражении файлов. Несмотря на это, представляет достаточный интерес с технической точки зрения - вирус использует довольно необычный прием заражения файлов.

Вирус может быть обнаружен только в двух файлах: в файле "SETUP.EXE" на дискетах и в файле "SETUP.EXE" в корне диска C: (в имени этого файла присутствует пробел).

На дискетах вирус использует необычный для современных вирусов прием расположения своего тела. Вирус записывает свой код в последние кластеры дискеты и модифицирует присутствующий на ней файл SETUP.EXE таким образом, что при запуске он считывает код вируса непосредственно с кластеров дискеты и инсталлирует его в систему.

Зараженный SETUP.EXE на дискетах выглядит как 512-байтная DOS EXE-программа, однако это не совсем так. При заражении этого файла на дискете вирус использует метод вируса DirII и таким образом прячет свой основной код: при помощи вызовов чтения/записи секторов дискеты вирус получает доступ к ее системным областям (корневой каталог и FAT-ы), изменяет номер первого кластера файла SETUP.EXE и необходимым образом модифицирует таблицы FAT. В результате первоначальное содержимое файла SETUP.EXE остается без изменений, однако соответствующая запись в каталоге дискеты указывает на код вируса.

При запуске этого SETUP.EXE с зараженной дискеты DOS-компонента вируса получает управление, создает файл "C:\SETUP.EXE" и записывает в него копию вируса, предварительно считав эти данные с дискеты. Затем вирус запускает этот файл, и управление получает процедура инсталляции вируса в систему. Затем вирус "лечит" на дискете файл SETUP.EXE.

При инсталляции в систему вирус создает в системном реестре новый ключ авто-запуска своей копии при каждом рестарте Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

YOBE=""C:\SETUP.EXE" YOBE".

Затем вирус переключается на уровень ядра Windows (Ring0), выделяет себе блок памяти, копирует туда свой код, перехватывает команды работы с файлами (IFS API) и остается в памяти Windows как VxD-драйвер. Перехватчик вируса обрабатывает только открытие файлов. Если открывается файл SETUP.EXE на диске A:, вирус заражает его описанным выше способом.

Вирус содержит также дополнительные процедуры. Первая из них ищет и выгружает антивирусные мониторы "AVP Monitor" и "Amon Antivirus Monitor". Вторая в зависимости от случайного счетчика выводит в левую часть экрана вертикальную полосу, заполненную словами "YOBE".

По информации вестника "Касперский сообщает..." Подготовил Константин Петрович


Компьютерная газета. Статья была опубликована в номере 50 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2023 Компьютерная газета