КОРЬ - острая вирусная болезнь с воздушно-капельным механизмом передачи. Специфические методы терапии не разработаны. Основа лечения - постельный режим, гигиеническое содержание больного, симптоматиче

Антивирусное обозрение "КОРЬ - острая вирусная болезнь с воздушно-капельным механизмом передачи. Специфические методы терапии не разработаны. Основа лечения - постельный режим, гигиеническое содержание больного, симптоматические средства." Медицинский справочник

Действительно, в чем-то есть сходство между настоящими живыми вирусами и компьютерными программами, которые по своим вредным последствиям похожи на вирусы. Если вдруг заболел человек, например, той же самой корью, то он должен лежать дома, глотать лекарства и лечиться до полного выздоровления. А если компьютер подхватил какую-нибудь заразу, то сколько его ни закутывай в одеяло - толка не будет. Вашему электронному другу нужно только одно лекарство - антивирусная программа, способная найти и обезвредить вирус или троянскую программу, которых с каждым днем становится все больше и больше.

И тут у многих могут возникнуть вопросы. Какие бывают вирусы? Откуда они берутся? Как избежать заражения? Как вылечиться? В двух словах об этом и не расскажешь. А так как подобных вопросов может быть очень много, то, для того чтобы на все ответить, потребуется не одна статья. Как быть? Лучше всего это сделать с помощью специализированных выпусков, объединенных общей темой, - антивирусного обозрения. В этих выпусках, кроме рассказов о вирусах и антивирусах, будут рассматриваться актуальные вопросы вирусологии, вирусной защиты и пр. Итак, начнем...

Вокруг "Вирусного бюллетеня"

Известный британский журнал по проблемам вирусной безопасности Virus Bulletin, проведя свои исследования, определил победителя среди ведущих антивирусных экспертов мира. Им оказался Евгений Касперский. Это имя многим давно известно. Еще бы! Ведь он является руководителем "Лаборатории Касперского", разрабатывающей антивирус, также носящей его имя. Теперь Касперскому предстоит открыть 11 ежегодную международную конференцию Virus Bulletin-2001 ( http://www.virusbtn.com/vb2001/index.html ), которая пройдет 27-28 сентября в столице Чешской Республики, г. Праге.

Кстати, этот же журнал в очередной (пятый!) раз присудил российским программам - сканеру Doctor Web ( http://www.dials.ru ) и резидентному сторожу SpIDer Guard - престижную награду "Virus Bulletin 100%". Она присуждается тем программам, которые в паре - сканер и сторож - определяют 100% вирусов из коллекции "In the Wild" (т.е. вирусов, реально встречающихся в мире на компьютерах пользователей).

Отметим, что Антивирус Касперского оказался на почетном пятом месте, определив 99,55% вирусов. В последний раз эту награду программа Касперского получала в январе 1999 года.

Редакция Virus Bulletin подвела итоги последних шести тестирований (около года) и опубликовала любопытную таблицу ( http://www.virusbtn.com/100/vb100sum.html ). Строки таблицы упорядочиваются по убыванию количества наград VB100%, а при их совпадении предпочтение дается участникам с более свежими наградами. Таким образом, таблица дает характеристику надежности и стабильности результатов.

Впервые за время участия в этих тестах Doctor Web поднялся в сводной таблице на 4-е место (занимая ранее, после двух предыдущих тестов, 5-е место).

"Анна Курникова", в последний раз

Многие уже слышали о вирусе с таким названием. Мы не будем лишний раз повторяться, а просто дадим краткое описание этого вируса, чтобы больше к нему не возвращаться. Почему? Потому что это самый обычный скрипт-вирус, использующий хорошо известные методы проникновения на компьютеры.

"Курникова" - это новая модификация Интернет-червя "Lee". Методы распространения и работы этого вируса идентичны печально известному "ILOVEYOU", вызвавшему глобальную эпидемию в мае прошлого года.

"Курникова" был создан при помощи генератора вирусов "[K]Alamar's Vbs Worms Creator", позволяющему даже начинающим пользователям выпускать свои собственные вирусы. Червь написан на языке программирования Visual Basic Script (VBS), зашифрован и распространяется по сети Интернет при помощи сообщений электронной почты, содержащих вложенный файл "AnnaKournikova.jpg.vbs".

После запуска файла червь регистрирует себя в системном реестре Windows, получает доступ к адресной книге почтовой программы MS Outlook и незаметно для пользователя рассылает свои копии по всем найденным адресам электронной почты. Во избежание повторной рассылки червь создает дополнительный ключ в системном реестре:

HKEY_CURRENT_USER\Software\OnTheFly\mailed

Червь не содержит каких-либо опасных побочных действий. Помимо массовой рассылки зараженных файлов, перегружающей корпоративные и персональные каналы передачи данных, 26 января "Курникова" запускает Интернет-браузер и открывает голландский Web-сайт http://www. dynabyte.nl.

Скрипт-вирусы для РНР

Первый PHP-вирус был выявлен Лабораторией Касперского в октябре 2000 г., в январе нынешнего обнаружился второй - PHP.NewWorld, а в феврале и третий - PHP/IO.

Язык программирования HP (Hypertext Preprocessor) позволяет создавать динамически изменяемые страницы, и сегодня технологию PHP использует более 5 миллионов сайтов. PHP - язык, идеально подходящий для небольших web-сайтов, работающий на любой платформе, в отличие от ASP, созданного специально для Microsoft Internet Information Server (IIS). PHP распространяется бесплатно и доступен для загрузки с Web-сайта PHP Group по адресу www.php.net.

Анализ работы PHP-вирусов и исследование возможных путей их развития дают возможность заключить, что они не несут в себе абсолютно никакой опасности. Основанием для такого вывода служат следующие факты. Во-первых, возможность самостоятельного проникновения PHP-вирусов на web-сайты и серверы провайдеров, обрабатывающих скрипты, практически равна нулю. Это объясняется тем, что по умолчанию система безопасности запрещает обрабатываемым скриптам доступ к директориям, отличным от окружения родительского web-сайта. Следовательно, PHP-вирусы могут развиваться исключительно в рамках уже зараженного web-сайта. Таким образом, проникновение PHP-вирусов на компьютеры возможно только при помощи их искусственной имплантации вследствие умышленных действий администратора или взлома системы. Первое маловероятно, а во втором случае использование PHP-вируса представляется малоэффективным: зачем, спрашивается, хакеру, взломавшему web-сайт, нужно "подсаживать" туда PHP-вирус, если можно нанести гораздо больший вред, например, уничтожив все данные? Во-вторых, даже если PHP-вирус каким-либо из описанных выше способов проник на web-сайт, он не способен к дальнейшему распространению. Он не может получить доступ к системным каталогам сервера провайдера, попасть на любые другие web-сайты и тем более на клиентские машины, просматривающие HTML-страницы с вредоносным PHP-скриптом. Невозможность последнего объясняется тем, что пользователь получает от PHP-обработчика чистую HTML-страницу, не содержащую никаких скриптов. Конечно, будущие PHP-вирусы могут давать обработчику инструкции вставлять в готовую HTML-страницу свой код, который будет исполнен PHP-обработчиком на локальной машине. С другой стороны, возможность широкого распространения таких вирусов крайне мала из-за того, что установленный PHP процессор на рабочей станции - крайне редкое явление.

На данный момент PHP-вирусы не представляют абсолютно никакой опасности. Тем более, что процедуры их обнаружения и удаления уже добавлены в антивирусные базы практически всех антивирусных программ.

Новые вирусы

Новые вирусы появляются ежечасно, порой до нескольких десятков в день. Чтобы не печатать описания их всех (может не хватить газеты), но получить представление о современных вирусах, здесь приводятся лишь некоторые из них.

XM97/Barisada-O
- макро-вирус для Excel. Представляет собой незначительную модификацию предыдущих версий вируса. Замечен в "диком виде". Вирусные макросы содержатся в файле RMC.XLS. 24 апреля между 14.00 и 15.00 вирус активизируется и выводит ряд диалоговых окон, предлагая пользователю инфицированного компьютера "поиграть" в вопросы и ответы. Игра с вирусом может завершиться плачевно: будут очищены все ячейки во всех открытых таблицах. Первое диалоговое окно выглядит так:

Заголовок:1st Question
Текст: Question: What is the Sword Which Karl Styner(=Gray Scavenger) used? Answer: Barisada
Выбор: Yes, No
Если пользователь кликнет на кнопку 'No', то вирус выводит следующее окно:

Заголовок: "Right Answer"
Текст: "Good! You're Authorized now!"
При клике на кнопку 'Yes' пользователь увидит сообщение:

Заголовок: Wrong Answer
Текст: I wil give you one more Chance. Be careful!!
Затем появляется окно со следующим вопросом и предупреждением в заголовке, что неверный ответ вызовет серьезные проблемы:

Заголовок: "Wrong Answer may cause The Serious Problem!"
Текст: "Summoning Xavier is the Ultimate Magic. Right?"
Если пользователь выберет 'Yes', то появится сообщение о правильном ответе:

Заголовок: "Right Answer"
Текст: "ok, i will forgive you"
При выборе кнопки 'No' игра заканчивается в пользу вируса, и выводится сообщение:
'You shall Die'
'Wrong Answer, Your file will be deleted!'
После этого вирус очищает все ячейки во всех открытых таблицах.

Worm.Shorm.
Сетевой червь, заражающий компьютеры под управлением Windows. Распространяется по локальным и глобальным сетям. Выбирает компьютер-жертву, и если диск на компьютере открыт на полный доступ, создает свою копию в каталоге автозапуска Windows. Также ворует пароли доступа в сеть и Интернет. Считывает RAS-информацию (имя пользователя, номера телефонов, пароли), кэшированные пароли доступа и отправляет их на два адреса: krenx@mail.ru и winam@mail.ru . Последнее говорит о явном российском происхождении вируса.

При запуске на компьютере червь копирует себя в системный каталог Windows с тремя именами: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE. Затем эти файлы регистрируются в ключах автозапуска системного реестра. Таким образом, червь запускается при каждом рестарте Windows. Затем червь обращается к Web-странице по адресу http://krenx.newmail.ru/ip.txt и считывает ее содержимое. Данная страница содержит IP-маски подсетей, которые атакуются червем. Червь затем выбирает случайную маску подсети, перебирает все возможные IP-адреса этой подсети и пытается установить соединение. Если соединение произошло удачно (т.е. существует компьютер с данным IP-адресом), червь пытается получить доступ к его диску. Если диск открыт на полный доступ (чтение/запись), то червь определяет имя каталога Windows и копирует себя туда с именами:

Start Menu\Programs\StartUp\ AVPMonitor.exe

Главное меню\Программы\Автозагрузка\AVPMonitor.exe

Таким образом, зараженными могут оказаться компьютеры под управлением английской и русской версий Windows. Поскольку червь копирует себя в каталог авто-запуска Windows, то он будет автоматически исполнен при очередной перезагрузке Windows. Червь может обновлять себя с Web-сайта. Для этого он обращается к Internet-файлу http://krenx.newmail.ru/win.exe, скачивает его и запускает на локальной машине.

Abuser.
Win32-троянец. Позволяет организовать DDoS-атаку (распределенная атака "отказ в обслуживании"). Маскируется под программный инсталляционный пакет. При его запуске на дисплее появляется экран инсталляции "CD-R Doubler". Однако пользователю не предлагается выбор каких-либо опций для установки, и Abuser продолжает процесс инсталляции без вмешательства пользователя, создавая при этом в каталоге "C:\Program Files" следующие скрытые файлы:
ALIASES.INI - содержит общие mIRC-инструкции;
MIRC.INI - содержит настройки mIRC;
POPUPS.INI - содержит flooding-инструкции (затопления) для mIRC;
REMOTE.INI - содержит переменные mIRC;
SCHD.EXE - клиентская программа mIRC;
SCRIPT.INI, SCRIPT1.INI, SCRIPT2.INI - содержат серверные скрипты и скрипты для выполнения flood-операций;
SEVERS.INI - содержит установки для IRC-сервера;
SYSTEMTRAY.ICO - иконка, выводящаяся в системном трее;
URLS.INI - список интернет-адресов (URL-ы).
В StartUp-группу троянец добавляет ярлык для запуска SCHD.EXE (клиента mIRC) после загрузки системы. Файлы SCRIPT.INI, SCRIPT1.INI, SCRIPT2.INI дают возможность "хозяину" троянца, используя зараженную машину как сервер, дистанционно запустить DDoS-атаку.

Итоги февраля

Специализирующаяся на антивирусном программном обеспечении компания Sophos (www.sophos.com) на основании своих исследований опубликовала список самых "популярных" вирусов января месяца. Вирусы оценивались в зависимости от количества пораженных ими компьютеров.

1. VBS/SST-A "Курникова" 38.2%
2. W32/Apology-B 11.7%
3. W32/Hybris-B 7.8%
4. VBS/Kakworm 6.2%
5. W32/Navidad-B 3.8%
6. Re-entry W32/Flcss 3.2%
7. VBS/Lovelet-AS 2.8%
8. Re-entry WM97/Marker-C 2.6%
9. Re-entry Troj/JetHome 2.2%
10. Re-entry W32/Verona-B 1.6%
На все остальные пришлось 19.9%.

АНТИВИРУСЫ

1. DrWeb32. Версия 4.22 ( http://www.dials.ru ). 3525 Kb.

Последняя версия 4.22 антивирусного семейства DrWeb32 (для Windows, DOS/386, OS/2 и Novell NetWare) вышла 18 декабря 2000 года.

В резидентном стороже SpIDer для Windows 95/98/ME и для Windows NT/2000, а также в программе DrWeb для Novell Netware реализована автоматическая перезагрузка вирусных баз и ядра "на лету". В качестве флаг-файла, изменение которого приводит к такой перезагрузке, по умолчанию используется файл "горячего" дополнения drwtoday.vdb.

Кроме того, в SpIDer для Windows NT/2000 реализован вызов его настроек в Панели Управления из агента и автоматическая перезагрузка драйвера при изменении настроек агента.
- Вирусная база содержит 23899 вирусных записей (на 27.02.01 г.);
- Ежедневное обновление через Интернет;
- Стоимость 1-й лицензии - 480 руб.

2. Антивирус Касперского. ( http://www.kasperskylab.ru/products.asp )

Лаборатория Касперского предлагает большой выбор программ антивирусной защиты как для домашних пользователей, так и для корпоративных сетей любого масштаба.

Антивирус использует все современные типы антивирусной защиты: антивирусные сканеры, мониторы, поведенческие блокираторы и ревизоры изменений. Поддерживает все самые популярные операционные системы, почтовые шлюзы, межсетевые экраны, web-серверы.

Рассмотрим один из продуктов Лаборатории для домашнего пользователя - Антивирус Касперского(tm) Gold Version 3.5.1.6 + Бонус! (KAV Inspector). 9005 Kb

Операционные системы: DOS, Windows 95/98/NT/2000. Идеальный вариант как для начинающих, так и для более опытных пользователей.

Данный программный комплекс позволяет Вам полностью контролировать все источники проникновения вирусов на компьютер, включая Интернет, электронную почту, дискеты, прочие мобильные носители, архивированные и сжатые файлы и др.

Он защищает от всех видов вредоносных кодов, включая компьютерные вирусы, троянские программы, Интернет-черви, опасные Java-апплеты, Active X и др. В случае обнаружения вирусной атаки программа сможет быстро и эффективно нейтрализовать ее и удалить нежелательные последствия.
- Известно вирусов 43383 (на 27.02.01 г.);
- Однопользовательская лицензия на 2 года - 49.95$;
- Ежедневные обновления антивирусной базы через Интернет;
- Хорошая техническая поддержка.

3. Антивирус "Stop!" Версия 3.00 build 450 ( http://www.dizet.com.ua/stop.html ). 941 Kb

Stop! обнаруживает компьютерные вирусы в памяти и на дисках компьютера.

Программа обнаруживает и удаляет наиболее опасные: троянские программы (Trojan), программы удаленного администрирования (Backdoor), троянские программы, предназначенные для воровства паролей (Trojan.PSW), интернет-черви (I-Worm), IRC- и mIRC-черви (IRC-Worm, mIRC-worm), VBS вирусы, Win32 вирусы, макро-вирусы, BAT/CMD вирусы и троянские "вставки" в BAT файлы. В программе реализованы алгоритмы эвристического анализа и алгоритмы поиска новых вирусов, позволяющие обнаруживать как множество примитивных старых DOS-вирусов, так и вирусов нового поколения, ориентированных на 32-разрядные платформы.
- Обнаружение более 5000 вирусов;
- Моментальный поиск активной троянской программы и ее удаление;
- Удаление активных троянских программ с диска, даже если файл заблокирован троянской программой;
- Ежедневное обновление антивирусных баз через Интернет;
- Персональная лицензия - 10 USD;
- Триал-версия на 30 дней (не лечит).

Вирусный TOP-10
1 VBS_KAKWORM.A
2 TROJ_MTX.A
3 TROJ_HYBRIS.B
4 TROJ_HYBRIS.A
5 TROJ_NAVIDAD.E
6 TROJ_NAVIDAD.A
7 TROJ_BYMER
8 JS_SEEKER.A
9 TROJ_QAZ.A
10 TROJ_HYBRIS.C
27.02.01 Источник: Лаборатория Дизет

По материалам www.kaspersky.com, www.dizet.com.ua, Диалог Наука, McAfee. Дежурный по карантину Доктор МакроФаг macrofag@hotbox.ru (c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 09 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2024 Компьютерная газета