AVP признан лучшим антивирусным продуктом
AVP признан лучшим антивирусным продуктом
Компания "Лаборатория Касперского" сообщила о том, что пять зарубежных компьютерных издания назвали ее пакет AVP лучшим антивирусным продуктом.
В ноябрьском номере итальянской редакции популярного международного компьютерного журнала CHIP (www.chipitalia.com) опубликованы результаты сравнительного тестирования 8 наиболее популярных в этой стране антивирусов. Помимо AntiViral Toolkit Pro (AVP) в соревновании приняли участие Norton AntiVirus, ThunderByte Antivirus, PC-Cillin, F-Secure AntiVirus, McAfee VirusScan, Sweep и Panda Antivirus. По совокупности протестированных характеристик AVP занял первое место.
Вторая волна печально известного Интернет-червя I-Worm.ZippedFiles, поразившая в конце ноября сотни компаний по всему миру, стала причиной для проведения сравнительного анализа лучших антивирусных продуктов известным немецким журналом PC Welt. Напомним, что новый вариант червя был невидим для антивирусов, т.к. был запакован утилитой сжатия Neolite. Поэтому основной акцент в процессе тестирования был сделан именно на способностях антивирусов обнаруживать вирусы внутри упакованных файлов. Результаты сравнения показали, что по этим параметрам AVP нет равных (78,13%). Ближайший соперник (FRISK F-Prot) отстал от AVP на 43,13%. Другие участвовавшие в тестах антивирусные сканеры показали более чем скромные результаты: McAfee - 30%, Trend Micro PC-Cillin - 25%. Полную неспособность обнаруживать вирусы в упакованных файлах продемонстрировал Norton AntiVirus компании Symantec.
Декабрьский номер польского компьютерного журнала ENTER (www.enter.pl) посвящен сравнению наиболее распространенных на местном рынке антивирусных программ. В тестировании участвовали следующие антивирусные продукты: AVP, AVK, Dr.Web, F-Prot, F-Secure, InoculateIT, McAfee VirusScan, Norton AntiVirus, MkS_Vir, Panda AntiVirus, PC-Cillin, RAV, Sweep. Безусловным лидером по совокупности рассмотренных характеристик данных программ оказался российский AVP, набравший 6 очков из 6 возможных. Важно отметить, что второе и третье места заняли соответственно антивирусы AVK и F-Secure, в самой важной части архитектуры которых использовано антивирусное ядро AVP.
Австралийский компьютерный журнал PC User (www.pcuser.com.au) второй год подряд называет AVP продуктом года.
Германский компьютерный журнал для поклонников Интернет "HomeP@ge" также рекомендовал своим читателям пользоваться AVP.
WM97/Ethan - самый распространенный вирус
Компания Sophos (http://www.sophos.com) каждый месяц проводит статистические исследования распространенности различных вирусов в "диком виде". По данным последнего исследования, первое место сейчас занимает вирус WM97/Ethan. Он упоминается в 12,6% сообщений об обнаружении вирусов. Второе место по популярности занимает вирус WM97/Class-ED - 11,3% сообщений, третье место за вирусом WM97/Marker-O (6,2%), который в ноябре занимал пятую строчку в рейтинге. Знаменитый вирус WM97/Melissa-AG в ноябре занимал 4 место, а в декабре переместился на шестое (4,1%). Все эти вирусы относятся к классу макро-вирусов (Word Macro, WM), поражающих Word-документы.
Как заявил ведущий консультант Sophos Грэхем Клули (Graham Cluley), если большинство пользователей станет вместо Word-документов использовать RTF-файлы, то электронный мир стал бы более безопасным.
Network Associates выпускает антивирусный пакет VIPER
Компания Network Associates (www.nai.com) анонсировала новый инструментарий McAfee Virus Interface for Protective Early Response (VIPER), который может быть интегрирован в бизнес-приложения, работающие под управлением Linux.
VIPER производит сканирование электронной почты и проверяет загружаемые с других Web-серверов программы на наличие "злонамеренного" кода. По сообщению Network Associates, пакет VIPER предназначается для Internet-провайдеров и провайдеров онлайновых служб, которые хотели бы встроить в свои серверы средства антивирусного сканирования.
И хотя Unix-вирусы сейчас распространены гораздо меньше, чем вирусы для Windows, защита от них лишней никогда не будет. По сообщению разработчика, поставки пакета VIPER for Linux начнутся 1 января 2000 г. Цена зависит от конфигурации сервера пользователя.
Trend Micro принимается за решение проблемы вирусов, распространяемых по электронной почте
Компания Trend Micro выпустила новую версию своего антивирусного и защитного ПО - InterScan eManager for Windows NT 3.1. По заявлению разработчика, это ПО позволяет решить проблему вирусов, распространяемых по электронной почте. Именно такие вирусы стали особенно многочисленными в последние месяцы.
В новой версии ПО используется усовершенствованная технология фильтрации содержимого электронных писем, которая, по заявлению Trend, ставит заслон вирусам, использующим Java-апплеты и различные script-коды.
Встроенные script-вирусы типа недавно обнаруженного червя Bubbleboy существенно увеличивают риск, связанный с чтением электронных писем, поскольку эти вирусы начинают работу в момент открытия письма, а не при запуске на исполнение прикрепленного зараженного файла.
Trend заявляет, что ее пакет InterScan eManager, установленный на почтовом сервере, работающем под управлением Windows NT, заблаговременно обнаруживает и блокирует самоисполняемые скрипты, скрытые в электронной почте. Такие зараженные письма при использовании InterScan eManager просто не попадают на компьютеры пользователей.
Антивирусное ПО eManager можно купить отдельно в качестве модуля расширения для пакета InterScan VirusWall или в составе пакета Trend InterScan 2000 Suite, специально подготовленного к Новому году.
Полнофункциональную пробную версию InterScan eManager 3.1 for NT с функцией блокирования script-вирусов можно загрузить с Web-сайта компании Trend Micro по адресу http://www.antivirus.com.
Finjan предупреждает о надвигающихся вирусах нового поколения
Компания Finjan Software опубликовала предупреждение о появлении в Новом году вирусов нового поколения. В заявлении говорится, что хотя многие организации уже подготовились к защите своих систем от вирусов, нашествие которых связывают с проблемой 2000 года, но от вирусов нового типа эта защита не спасет.
Finjan специализируется на средствах защиты компьютерных систем от вредоносных Java-апплетов и тому подобных программ. По мнению специалистов этой фирмы, появление таких вирусов, как Melissa, ExploreZip, Y2K Trojan.exe, WinNT Infis, Minizip, Mypics и Babylonia, говорит о намерениях "хакерской индустрии" использовать наступление 2000 года для организации массовых атак на компьютерные системы всего мира.
Finjan считает, что эти атаки уже начаты, только хакеры настроили свои программы таким образом, чтобы они начали свои разрушительные действия в новогоднюю ночь. Специалисты Finjan заявляют, что обычными антивирусными средствами в такой ситуации не обойтись, здесь нужен комплексный подход. Finjan уже разработала модель защиты, получившую название First Strike Proactive Security. Сообщается, что такая система идентифицирует новые типы атак на границах корпоративных сетей и ликвидирует троянских коней.
Более подробную информацию о средствах защиты производства Finjan можно получить на Web-сайте компании по адресу http://www.finjan.com.
F-Secure предупреждает о новом полиморфном вирусе Pri
Компания F-Secure (http://www.f-secure.com), совсем недавно известная под названием Data Fellows, опубликовала предупреждение о новом вирусе по имени Pri. Этот вирус имеет и другое название - PSD. Это полиморфный макро-вирус документов Word 97, который активизируется при открытии зараженного файла. После начала работы вирус проверяет, не заражен ли общий шаблон документов, и если нет, то он делает это, при этом производится модификация самого вируса.
В природе встречается и вариант этого вируса, который называется Pri.B, в отличие от оригинала Pri.A. По сообщению F-Secure, вирус Pri.B очень похож на Pri.A, но он добавляет определенный код в меню "Tools/Macros/Visual Basic Editor", в результате чего редактор MS-Word закрывается сразу же после сохранения любых изменений. Есть и еще одно небольшое отличие.
Когда вирус Pri.A заражает общий шаблон, он заражает и все документы, которые будут закрыты после этого. Кроме того, вирус блокирует меню "Tools/Macros/Visual Basic Editor". Затем вирус Pri.A проверяет время на системных часах компьютера, и если число часов равно числу минут, то вирус рассеивает по открытому в данный момент документу 10 фигур различной формы и цвета. При работе вируса Pri.B число этих фигур может быть произвольным.
По сообщению F-Secure, вирус Pri активизируется 25 декабря. В этот день он переписывает файл "C:\Autoexec.bat" и вносит в него команду о немедленном переформатировании диска "C:" сразу после перезагрузки системы.
Вирус Pri не активизируется на компьютере с Windows NT. Если же он начинает свое черное дело на компьютере с Windows 95 или 98, то на экране появляется сообщение:
"Vine... Vide... Vice...Moslem Power Never End...
You Dare Rise Against Me... The Human Era is Over, The CyberNET EraHas Come!!!"
Как и многие другие макро-вирусы этого типа, вирус Pri рассылает себя по первым 50 адресам, записанным в адресной книге пользователя.
Специалисты F-Secure собираются в ближайшее время выпустить антивирусное средство против Pri.
Появился новый вирус-червь W32.NewApt.Worm, распространяющийся по электронной почте
Компания Sophos опубликовала на своем сайте (http://www.sophos.com/virusinfo/analyses/w32newapt.html) предупреждение о появлении вируса-червя NewApt, который, как утверждается, уже распространяется по компьютерным системам. Сообщение электронной почты, содержащее этот вирус, замаскировано под новогоднее поздравление от компании MessageMates.
Если почтовая программа пользователя поддерживает просмотр HTML-файлов, то пользователь прочтет в теле письма следующий текст:
"http://stuart.messagemates.com/index.html
Hypercool Happy Year 2000 funny programs and animations?. We attached our recent animation from this site in our mail! Check it out!"
То есть пользователям предлагается посмотреть прикрепленный к письму анимированный ролик.
Сама компания MessageMates, Web-адрес которой приводится в письме, заявила, что автор вируса использовал ее имя для распространения червя NewApt. Сама она к этим "поздравлениям" никакого отношения не имеет.
Если же HTML-файлы почтовой программой не поддерживаются, то пользователь увидит другой текст: "he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT stuff".
Присоединенный исполняемый файл может называться cheeseburst.exe, party.exe, monica.exe (список возможных названий довольно длинный). Если пользователь запустил на исполнение присланный файл, то на экран компьютера выводится диалоговое окно с текстом "The dinamic link library giface.dll could not be found in specified path". Вирус W32/NewApt затем рассылает себя в таких же письмах по адресам, содержащимся в адресной книге пользователя. Кроме того, W32/NewApt изменяет регистр Windows таким образом, что вирус перезагружается всякий раз при запуске Windows.
"Лаборатория Касперского" о многоликом вирусе-черве I-Worm.NewApt
Ранее уже сообщалось о появлении в "диком виде" нового вируса-червя W32.NewApt.Worm. В "Вирусной энциклопедии" "Лаборатории Касперского" он назван немного иначе - I-Worm.NewApt.
Вот подробное описание нового вируса, сделанное "Лабораторией Касперского".
I-Worm.NewApt является вредоносной программой типа "червь", распространяющейся через сеть Интернет. "Червь" представляет собой исполняемый EXE-файл Windows длиной около 70 Кбайт. Он распространяется в сети посредством сообщений электронной почты, содержащих зараженный вложенный файл. Название вложенного зараженного файла выбирается генератором случайных чисел из 26 вариантов.
Рассылаемые сообщения имеют заголовок (Subject) "Just for your eyes". В теле сообщения содержится следующий не-HTML текст:
"he, your lame client cant read HTML, haha.
click attachment to see some stunningly HOT stuff"
Или текст в формате HTML:
"Hypercool Happy New Year 2000 funny programs and animations...
We attached our recent animation from this site in our mail! Check it out!"
В случае, если вложенный файл запущен, "червь" получает управление и устанавливает себя в систему. Для этого он копирует себя под своим текущим именем (из приведенного выше списка) в директорию Windows и прописывается в системном реестре в секции "Run=".
SOFTWARE \Microsoft \Windows \CurrentVersion \Run "tpawen" = "C:\WIN\PANTHER.EXE /x"
Необходимо еще раз заметить, что имя "червя" не является постоянным и может меняться в соответствии с приведенным выше списком.
Для сокрытия своей деятельности "червь" показывает на экране следующее сообщение:
"The dinamic link library giface.dll could not be found in specified path: C:\WINDOWS\SYSTEM;C:\WINDOWS;C:\WINDOWS\COMMAND;"
"Червь" также создает и инициализирует для своих нужд следующие ключи системного реестра:
HKEY_CURRENT_USER \Software \Microsoft \Windows
itn =
cat =
cd =
lk =
lms =
mda =
mde =
Затем "червь" регистрирует себя в качестве "сервиса" (он становится невидимым в списке активных задач) и остается в памяти в виде скрытого приложения. Основная подпрограмма "червя" (всего их две, работающих параллельно в фоновом режиме) периодически просматривает установленные логические диски в поисках файлов, имеющих отношение к Интернет (MS Mail, Outlook Express, Netscape Navigator и др.), открывает их, получает из них найденные адреса электронной почты и рассылает по ним зараженные сообщения.
Начиная с 12 июня 2000 года, "червь" убирает строку "Run=" из системного реестра и прекращает внедряться в систему. Это значит, что его время действия ограничено этой датой. Однако и в этом случае он может представлять собой потенциальную опасность, потому как в системе остаются его копии, которые могут активизироваться в случае изменения системной даты.
"Червь" начинает проявляться в 00 часов 00 минут 26 декабря по текущим системному времени и дате. Каждые три секунды он пытается присоединиться к удаленному компьютеру в компании Microsoft - стандартная DoS атака (Deny of Service).
Независимо от системной даты "червь" пытается набирать телефонные номера, случайно выбирая их из списка, содержащегося внутри его.
Подготовил Константин Петрович
Компания "Лаборатория Касперского" сообщила о том, что пять зарубежных компьютерных издания назвали ее пакет AVP лучшим антивирусным продуктом.
В ноябрьском номере итальянской редакции популярного международного компьютерного журнала CHIP (www.chipitalia.com) опубликованы результаты сравнительного тестирования 8 наиболее популярных в этой стране антивирусов. Помимо AntiViral Toolkit Pro (AVP) в соревновании приняли участие Norton AntiVirus, ThunderByte Antivirus, PC-Cillin, F-Secure AntiVirus, McAfee VirusScan, Sweep и Panda Antivirus. По совокупности протестированных характеристик AVP занял первое место.
Вторая волна печально известного Интернет-червя I-Worm.ZippedFiles, поразившая в конце ноября сотни компаний по всему миру, стала причиной для проведения сравнительного анализа лучших антивирусных продуктов известным немецким журналом PC Welt. Напомним, что новый вариант червя был невидим для антивирусов, т.к. был запакован утилитой сжатия Neolite. Поэтому основной акцент в процессе тестирования был сделан именно на способностях антивирусов обнаруживать вирусы внутри упакованных файлов. Результаты сравнения показали, что по этим параметрам AVP нет равных (78,13%). Ближайший соперник (FRISK F-Prot) отстал от AVP на 43,13%. Другие участвовавшие в тестах антивирусные сканеры показали более чем скромные результаты: McAfee - 30%, Trend Micro PC-Cillin - 25%. Полную неспособность обнаруживать вирусы в упакованных файлах продемонстрировал Norton AntiVirus компании Symantec.
Декабрьский номер польского компьютерного журнала ENTER (www.enter.pl) посвящен сравнению наиболее распространенных на местном рынке антивирусных программ. В тестировании участвовали следующие антивирусные продукты: AVP, AVK, Dr.Web, F-Prot, F-Secure, InoculateIT, McAfee VirusScan, Norton AntiVirus, MkS_Vir, Panda AntiVirus, PC-Cillin, RAV, Sweep. Безусловным лидером по совокупности рассмотренных характеристик данных программ оказался российский AVP, набравший 6 очков из 6 возможных. Важно отметить, что второе и третье места заняли соответственно антивирусы AVK и F-Secure, в самой важной части архитектуры которых использовано антивирусное ядро AVP.
Австралийский компьютерный журнал PC User (www.pcuser.com.au) второй год подряд называет AVP продуктом года.
Германский компьютерный журнал для поклонников Интернет "HomeP@ge" также рекомендовал своим читателям пользоваться AVP.
WM97/Ethan - самый распространенный вирус
Компания Sophos (http://www.sophos.com) каждый месяц проводит статистические исследования распространенности различных вирусов в "диком виде". По данным последнего исследования, первое место сейчас занимает вирус WM97/Ethan. Он упоминается в 12,6% сообщений об обнаружении вирусов. Второе место по популярности занимает вирус WM97/Class-ED - 11,3% сообщений, третье место за вирусом WM97/Marker-O (6,2%), который в ноябре занимал пятую строчку в рейтинге. Знаменитый вирус WM97/Melissa-AG в ноябре занимал 4 место, а в декабре переместился на шестое (4,1%). Все эти вирусы относятся к классу макро-вирусов (Word Macro, WM), поражающих Word-документы.
Как заявил ведущий консультант Sophos Грэхем Клули (Graham Cluley), если большинство пользователей станет вместо Word-документов использовать RTF-файлы, то электронный мир стал бы более безопасным.
Network Associates выпускает антивирусный пакет VIPER
Компания Network Associates (www.nai.com) анонсировала новый инструментарий McAfee Virus Interface for Protective Early Response (VIPER), который может быть интегрирован в бизнес-приложения, работающие под управлением Linux.
VIPER производит сканирование электронной почты и проверяет загружаемые с других Web-серверов программы на наличие "злонамеренного" кода. По сообщению Network Associates, пакет VIPER предназначается для Internet-провайдеров и провайдеров онлайновых служб, которые хотели бы встроить в свои серверы средства антивирусного сканирования.
И хотя Unix-вирусы сейчас распространены гораздо меньше, чем вирусы для Windows, защита от них лишней никогда не будет. По сообщению разработчика, поставки пакета VIPER for Linux начнутся 1 января 2000 г. Цена зависит от конфигурации сервера пользователя.
Trend Micro принимается за решение проблемы вирусов, распространяемых по электронной почте
Компания Trend Micro выпустила новую версию своего антивирусного и защитного ПО - InterScan eManager for Windows NT 3.1. По заявлению разработчика, это ПО позволяет решить проблему вирусов, распространяемых по электронной почте. Именно такие вирусы стали особенно многочисленными в последние месяцы.
В новой версии ПО используется усовершенствованная технология фильтрации содержимого электронных писем, которая, по заявлению Trend, ставит заслон вирусам, использующим Java-апплеты и различные script-коды.
Встроенные script-вирусы типа недавно обнаруженного червя Bubbleboy существенно увеличивают риск, связанный с чтением электронных писем, поскольку эти вирусы начинают работу в момент открытия письма, а не при запуске на исполнение прикрепленного зараженного файла.
Trend заявляет, что ее пакет InterScan eManager, установленный на почтовом сервере, работающем под управлением Windows NT, заблаговременно обнаруживает и блокирует самоисполняемые скрипты, скрытые в электронной почте. Такие зараженные письма при использовании InterScan eManager просто не попадают на компьютеры пользователей.
Антивирусное ПО eManager можно купить отдельно в качестве модуля расширения для пакета InterScan VirusWall или в составе пакета Trend InterScan 2000 Suite, специально подготовленного к Новому году.
Полнофункциональную пробную версию InterScan eManager 3.1 for NT с функцией блокирования script-вирусов можно загрузить с Web-сайта компании Trend Micro по адресу http://www.antivirus.com.
Finjan предупреждает о надвигающихся вирусах нового поколения
Компания Finjan Software опубликовала предупреждение о появлении в Новом году вирусов нового поколения. В заявлении говорится, что хотя многие организации уже подготовились к защите своих систем от вирусов, нашествие которых связывают с проблемой 2000 года, но от вирусов нового типа эта защита не спасет.
Finjan специализируется на средствах защиты компьютерных систем от вредоносных Java-апплетов и тому подобных программ. По мнению специалистов этой фирмы, появление таких вирусов, как Melissa, ExploreZip, Y2K Trojan.exe, WinNT Infis, Minizip, Mypics и Babylonia, говорит о намерениях "хакерской индустрии" использовать наступление 2000 года для организации массовых атак на компьютерные системы всего мира.
Finjan считает, что эти атаки уже начаты, только хакеры настроили свои программы таким образом, чтобы они начали свои разрушительные действия в новогоднюю ночь. Специалисты Finjan заявляют, что обычными антивирусными средствами в такой ситуации не обойтись, здесь нужен комплексный подход. Finjan уже разработала модель защиты, получившую название First Strike Proactive Security. Сообщается, что такая система идентифицирует новые типы атак на границах корпоративных сетей и ликвидирует троянских коней.
Более подробную информацию о средствах защиты производства Finjan можно получить на Web-сайте компании по адресу http://www.finjan.com.
F-Secure предупреждает о новом полиморфном вирусе Pri
Компания F-Secure (http://www.f-secure.com), совсем недавно известная под названием Data Fellows, опубликовала предупреждение о новом вирусе по имени Pri. Этот вирус имеет и другое название - PSD. Это полиморфный макро-вирус документов Word 97, который активизируется при открытии зараженного файла. После начала работы вирус проверяет, не заражен ли общий шаблон документов, и если нет, то он делает это, при этом производится модификация самого вируса.
В природе встречается и вариант этого вируса, который называется Pri.B, в отличие от оригинала Pri.A. По сообщению F-Secure, вирус Pri.B очень похож на Pri.A, но он добавляет определенный код в меню "Tools/Macros/Visual Basic Editor", в результате чего редактор MS-Word закрывается сразу же после сохранения любых изменений. Есть и еще одно небольшое отличие.
Когда вирус Pri.A заражает общий шаблон, он заражает и все документы, которые будут закрыты после этого. Кроме того, вирус блокирует меню "Tools/Macros/Visual Basic Editor". Затем вирус Pri.A проверяет время на системных часах компьютера, и если число часов равно числу минут, то вирус рассеивает по открытому в данный момент документу 10 фигур различной формы и цвета. При работе вируса Pri.B число этих фигур может быть произвольным.
По сообщению F-Secure, вирус Pri активизируется 25 декабря. В этот день он переписывает файл "C:\Autoexec.bat" и вносит в него команду о немедленном переформатировании диска "C:" сразу после перезагрузки системы.
Вирус Pri не активизируется на компьютере с Windows NT. Если же он начинает свое черное дело на компьютере с Windows 95 или 98, то на экране появляется сообщение:
"Vine... Vide... Vice...Moslem Power Never End...
You Dare Rise Against Me... The Human Era is Over, The CyberNET EraHas Come!!!"
Как и многие другие макро-вирусы этого типа, вирус Pri рассылает себя по первым 50 адресам, записанным в адресной книге пользователя.
Специалисты F-Secure собираются в ближайшее время выпустить антивирусное средство против Pri.
Появился новый вирус-червь W32.NewApt.Worm, распространяющийся по электронной почте
Компания Sophos опубликовала на своем сайте (http://www.sophos.com/virusinfo/analyses/w32newapt.html) предупреждение о появлении вируса-червя NewApt, который, как утверждается, уже распространяется по компьютерным системам. Сообщение электронной почты, содержащее этот вирус, замаскировано под новогоднее поздравление от компании MessageMates.
Если почтовая программа пользователя поддерживает просмотр HTML-файлов, то пользователь прочтет в теле письма следующий текст:
"http://stuart.messagemates.com/index.html
Hypercool Happy Year 2000 funny programs and animations?. We attached our recent animation from this site in our mail! Check it out!"
То есть пользователям предлагается посмотреть прикрепленный к письму анимированный ролик.
Сама компания MessageMates, Web-адрес которой приводится в письме, заявила, что автор вируса использовал ее имя для распространения червя NewApt. Сама она к этим "поздравлениям" никакого отношения не имеет.
Если же HTML-файлы почтовой программой не поддерживаются, то пользователь увидит другой текст: "he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT stuff".
Присоединенный исполняемый файл может называться cheeseburst.exe, party.exe, monica.exe (список возможных названий довольно длинный). Если пользователь запустил на исполнение присланный файл, то на экран компьютера выводится диалоговое окно с текстом "The dinamic link library giface.dll could not be found in specified path". Вирус W32/NewApt затем рассылает себя в таких же письмах по адресам, содержащимся в адресной книге пользователя. Кроме того, W32/NewApt изменяет регистр Windows таким образом, что вирус перезагружается всякий раз при запуске Windows.
"Лаборатория Касперского" о многоликом вирусе-черве I-Worm.NewApt
Ранее уже сообщалось о появлении в "диком виде" нового вируса-червя W32.NewApt.Worm. В "Вирусной энциклопедии" "Лаборатории Касперского" он назван немного иначе - I-Worm.NewApt.
Вот подробное описание нового вируса, сделанное "Лабораторией Касперского".
I-Worm.NewApt является вредоносной программой типа "червь", распространяющейся через сеть Интернет. "Червь" представляет собой исполняемый EXE-файл Windows длиной около 70 Кбайт. Он распространяется в сети посредством сообщений электронной почты, содержащих зараженный вложенный файл. Название вложенного зараженного файла выбирается генератором случайных чисел из 26 вариантов.
Рассылаемые сообщения имеют заголовок (Subject) "Just for your eyes". В теле сообщения содержится следующий не-HTML текст:
"he, your lame client cant read HTML, haha.
click attachment to see some stunningly HOT stuff"
Или текст в формате HTML:
"Hypercool Happy New Year 2000 funny programs and animations...
We attached our recent animation from this site in our mail! Check it out!"
В случае, если вложенный файл запущен, "червь" получает управление и устанавливает себя в систему. Для этого он копирует себя под своим текущим именем (из приведенного выше списка) в директорию Windows и прописывается в системном реестре в секции "Run=".
SOFTWARE \Microsoft \Windows \CurrentVersion \Run "tpawen" = "C:\WIN\PANTHER.EXE /x"
Необходимо еще раз заметить, что имя "червя" не является постоянным и может меняться в соответствии с приведенным выше списком.
Для сокрытия своей деятельности "червь" показывает на экране следующее сообщение:
"The dinamic link library giface.dll could not be found in specified path: C:\WINDOWS\SYSTEM;C:\WINDOWS;C:\WINDOWS\COMMAND;"
"Червь" также создает и инициализирует для своих нужд следующие ключи системного реестра:
HKEY_CURRENT_USER \Software \Microsoft \Windows
itn =
cat =
cd =
lk =
lms =
mda =
mde =
Затем "червь" регистрирует себя в качестве "сервиса" (он становится невидимым в списке активных задач) и остается в памяти в виде скрытого приложения. Основная подпрограмма "червя" (всего их две, работающих параллельно в фоновом режиме) периодически просматривает установленные логические диски в поисках файлов, имеющих отношение к Интернет (MS Mail, Outlook Express, Netscape Navigator и др.), открывает их, получает из них найденные адреса электронной почты и рассылает по ним зараженные сообщения.
Начиная с 12 июня 2000 года, "червь" убирает строку "Run=" из системного реестра и прекращает внедряться в систему. Это значит, что его время действия ограничено этой датой. Однако и в этом случае он может представлять собой потенциальную опасность, потому как в системе остаются его копии, которые могут активизироваться в случае изменения системной даты.
"Червь" начинает проявляться в 00 часов 00 минут 26 декабря по текущим системному времени и дате. Каждые три секунды он пытается присоединиться к удаленному компьютеру в компании Microsoft - стандартная DoS атака (Deny of Service).
Независимо от системной даты "червь" пытается набирать телефонные номера, случайно выбирая их из списка, содержащегося внутри его.
Подготовил Константин Петрович
Компьютерная газета. Статья была опубликована в номере 01 за 2000 год в рубрике безопасность :: Вирусный бюллетень
