Мой миленок спозаранку Не глядит на белый свет: Променял меня и пьянку На халявный Интернет! Но в Cети пробыл он мало — Заболел, порвал гармонь. Ну, а вскрытье показало: Вирус был — троянский конь!
Антивирусное обозрение "Мой миленок спозаранку
Не глядит на белый свет:
Променял меня и пьянку
На халявный Интернет!
Но в Cети пробыл он мало —
Заболел, порвал гармонь.
Ну, а вскрытье показало:
Вирус был — троянский конь!"
(Частушка)
Сейчас Интернетом уже никого не удивишь. Это раньше он был дорогим и медленным, что никто даже и не думал скачивать из сети мегабайтные MP3-файлы для своего удовольствия. А теперь... Провайдеров развелось — пальцев на руках и ногах не хватит, чтобы всех пересчитать. Скорости возросли и услуги доступа стали разнообразными: тарифы дневные, ночные, выходного дня. А карточки для подключения к Сети есть почти в каждом киоске. Беспарольный доступ уже во многих домах, а желающих на него так много, что вечером и не пробиться...
Вирусы и Интернет
Если раньше основным переносчиком вирусной заразы были дискеты, то сегодня именно Интернет является главным, а зачастую и единственной источником распространения всевозможных вирусов, троянов, червяков и прочей электронной гадости.
Откуда мы скачиваем десятки программ, зачастую забывая проверять их на вирусы? Правильно, с общедоступных для всех FTP и WWW-архивов. Сколько раз мы получали по почте файлы в формате Microsoft Word и открывали их с отключенным антивирусным монитором, чтобы тот не отнимал ресурсы машины? Что, всегда так делаем?! А ведь это — потенциальная угроза подхватить какой-нибудь макровирус. То же самое касается и тех случаев, когда открываются присоединенные к письму файлы сомнительного происхождения.
Свою лепту в распространение вирусов вносят сайты хакеров и вирусмейкеров. На них практически любой может получить полную информацию о том, как писать вирусы ("Как написать почтовый червь" http://www.xakep.ru/post/12102/default.asp?atype=empty&flash=1) и обходить антивирусную защиту. Там же можно найти готовые исходные тексты и программы-конструкторы вирусов, которые сильно ускоряют и упрощают работу по созданию вируса. Думать не надо! Нужно только выбрать свойства, которыми должен обладать будущий "вредитель компьютерного хозяйства", нажать пару кнопок — и "продукт" готов!
Именно такой программой-конструктором под названием "Vbs Worms Generator" воспользовался 20-летний создатель вируса "Анна Курникова", называющий себя OnTheFly. Как впоследствии он признался, программировать толком не умеет. Интересно, куда смотрит мэр его родного города (Снек, Голландия), предлагая работу недоучке?! История показательна — так выглядит вирусописатель 2001 года: безответственный школьник, студент или просто молодой человек, получивший минимум знаний по работе с клавиатурой, мающийся бездельем, которому под руку попался вирусный генератор. Как правило, они потом сами сожалеют о случившемся.
Но все это — одна сторона медали, имя которой — Интернет. С другой стороны, всемирная Паутина может оказать очень большую помощь в создании антивирусной защиты как отдельно взятого домашнего компьютера, так и большой разветвленной сети какой-нибудь корпорации. Каким образом? Антивирусные рассылки, конференции и сайты разработчиков антивирусных программ обеспечивают оперативное получение информации о новых вирусах и средствах борьбы с ними. Все лучшие антивирусы обновляют свои антивирусные базы через Интернет в автоматическом режиме.
А если у Вас нет антивируса, то он может быть предоставлен Вам бесплатно! И не надо сильно удивляться. Вопрос защиты информации касается всего компьютерного общества. Так, например, на сервере http://www. dials.ru/www_av/home.htm вы можете в онлайновом режиме проверить подозрительный файл при помощи самой последней версии сканера DrWeb. А если неудобно пользоваться онлайном, то и тут тоже есть выход. Некоторые фирмы наряду с платной версией своего продукта выпускают и бесплатную, так сказать, для малоимущих. Возможностей, правда, там поменьше, но вирусы лечит не хуже платной! Примером такого продукта является CA Vet Antivirus — платный продукт, а CA InoculateIT — бесплатный. Но их мы рассмотрим немного позже.
А что касается конструктора вирусов "Vbs Worms Generator", о котором мы говорили выше, то с 11 марта пользователям антивируса Касперского он теперь не страшен. Потому что Лаборатория Касперского разработала уникальный алгоритм защиты от вирусных генераторов. И он обеспечивает 100% гарантию не только от известных, но и вообще от любых вирусов, созданных при помощи "Vbs Worms Generator" и аналогичных ему утилит.
Новые вирусы
Чтобы получить представление о новых вирусах, мы приводим лишь некоторые из них с целью еще раз убедить пользователей применять антивирусные средства...
7 марта подразделение McAfee AVERT присвоило вирусу W32/Naked@MM, также известному как "Naked Wife", высокий уровень риска. Вирус "Naked Wife" представляет собой интернет-червь, маскирующийся под Flash-заставку. Этот опасный и разрушительный вирус был обнаружен в сетях более чем 25 крупнеших мировых компаний, в том числе из "Fortune 500".
1. W32/Naked@MM(Naked Wife). Интернет-червь, после активизации рассылает зараженные копии по электронной почте всем пользователям из адресной книги Microsoft Outlook, а также пытается удалить все файлы с расширениями .BMP, .COM, .DLL, .EXE, .INI, и .LOG в каталогах WINDOWS и WINDOWS\SYSTEM.
Вирус написан на языке Visual Basic и требует для работы Runtime-библиотеки. Во время исполнения он копирует себя в каталог TEMP и выводит окно с заголовком Flash и надписью "JibJab Loading". Далее рассылаются электронные письма всем пользователям из адресной книги.
Тема: Fw: Naked Wife
Тело письма:
My wife never look like that!;-)
Best Regards, Имя отправителя.
Вложение: NakedWife.exe
Симптомы заражения:
— Отсутствие файлов с расширениями .BMP, .COM, .DLL, .EXE, .INI и .LOG в каталогах WINDOWS и WINDOWS\SYSTEM;
— Невозможность запуска приложений;
— Сообщения о получении от Вас писем с вложением NakedWife.exe;
— Сообщение об отсутствии WIN.COM при старте или перезагрузке Windows.
Пользователям необходимо немедленно удалять E-mail-сообщения, содержащие вложение NakedWife.exe.
2. I-Worm.Myba. Интернет-червь, распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. Использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в его адресной книге. Червь является приложением Win32 (PE EXE-файлом) и написан на языке VisualBasic.
Код червя заимствован из VBS-вируса "I-Worm.LoveLetter" — код и названия процедур червя в некоторых случаях практически полностью повторяют "LoveLetter".
Письмо имеет следующие характеристики:
Тема письма: My baby pic!!!
Сообщение в письме: Its my animated baby picture!!
Имя прикрепленного файла: mybabypic.exe
Если пользователь "кликнет" на файле-вложении, червь инсталлирует себя в систему, рассылает зараженные письма и выполняет прочие (включая деструктивные) действия.
Червь рассылает себя в виде писем с прикрепленным EXE-файлом, который, собственно, и является телом червя.
Червь также инсталлирует себя в систему. Он создает в системном каталоге Windows файлы со своими копиями. Имена создаваемых файлов:
WINKERNEL32.EXE, MYBABYPIC.EXE, WIN32DLL.EXE, CMD.EXE, COMMAND.EXE
При внедрении в систему червь регистрирует эти файлы в системном реестре операционной системы для их автоматического запуска при последующих загрузках компьютера.
Проявления червя достаточно многообразны. В зависимости от текущей даты и времени червь:
— включает/выключает NumLock, CapLock и ScrollLock;
— посылает в буфер клавиатуры текст: IM_BESIDES_YOU_;
— открывает сайт http://www.youvebeenhack.com и посылает на него один из текстов:
FROM BUGGER
HAPPY VALENTINES DAY FROM BUGGER
HAPPY HALLOWEEN FROM BUGGER;
Червь также ищет все файлы на всех доступных дисках. Для файлов с разными расширениями червь выполняет различные действия:
VBS, VBE: уничтожает их содержимое.
JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H: переименовывает их с расширением .EXE и записывает в них свою копию.
JPG, JPEG: добавляет к именам файлов расширение .EXE и записывает в них свою копию (например, PIC1.JPG.EXE). Оригинальный файл червь удаляет.
MP2, MP3: создает новый файл с именем MP-файла и расширением .EXE и записывает в него свою копию. У первоначальных MP-файлов устанавливает атрибут "скрытый".
3. I-Worm.Magistr — очень опасный Win32 вирус-червь, распространяющийся через Интернет в зараженных сообщениях электронной почты. Вирус написан на языке Assembler и имеет размер около 30Kb. Червь инфицирует выполняемые файлы Windows и способен распространяться по локальной сети. Вирус имеет очень опасные проявления: в зависимости от различных условий он стирает данные на жестком диске, CMOS и Flash память таким же образом, как и вирус Win95.CIH(aka Chernobyl).
Вирус воздействует на PE EXE файлы (выполняемые файлы Windows) сложным и запутанным способом, что значительно усложняет их дезинфекцию. Вирус шифрует свой основной код с помощью полиморфного механизма и записывает его в конец заражаемого файла.
После выполнения (клике пользователя на инфицированный аттач-файл) вирус инсталлирует себя как компонент EXPLORER.EXE в памяти Windows и затем функционирует в фоновом режиме, сканируя при этом все файлы и заражая PE EXE. Кроме этого, также в фоновом режиме червь занимается рассылкой зараженных email-сообщений и инфицированием сети.
Червь сканирует на зараженном компьютере все базы данных email-адресов и рассылает по всем полученным адресам свои письма, используя при этом:
Outlook Express
Netscape Messenger
Internet Mail and News
Из-за полиморфного характера вируса письма не имеют статических атрибутов: темы, тела сообщения, имени присоединенного файла.
Затем вирус стирает CMOS, FLASH, данные на жеском диске и показывает сообщение:
Another haughty bloodsucker.......
YOU THINK YOU ARE GOD,
BUT YOU ARE ONLY A CHUNK OF SHIT
ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The
Judges Disemboweler. written in Malmo (Sweden)
Вирус содержит 47 текстовых строк на английском, французском и испанском языках:
sentences you
sentences him to
sentence you to
ordered to prison
convict
и другие
4. TROJ_CAINABEL151 представляет собой приложение под Windows 9x для восстановления паролей и управления ими. Программа состоит из двух компонентов: серверного и клиентского. С помощью данного приложения удаленный "пользователь", установив у себя клиентскую часть — инсталляционный пакет CAIN151.EXE, способен осуществить дистанционный ограниченный доступ на инфицированную систему (где инсталлирована серверная компонента программы — "Abel") с возможностью находить и изменять пароли без ведома пользователя, что позволяет квалифицировать его как троянскую программу.
Удаленный "пользователь" инсталлирует клиентскую часть троянца — программу Cain v1.51 — в директорию Cain, которая по умолчанию создается в Program Files. Затем в эту директорию троянец распаковывает следующие файлы:
CAIN.EXE
ABEL.EXE
UNINSTAL.EXE
MANUAL.RTF
\Wordlists\Wordlist.txt
Троянец создает ярлыки программы (shortcut) в меню Start и регистрирует себя в системном реестре:
HKEY_CURRENT_USER\Software\Break-Dance\Cain
Клиентская часть троянской программы Cain имеет графический пользовательский интерфейс, который позволяет удаленному "пользователю" осуществлять на инфицированной машине следующие функции:
— отыскивать и расшифровывать screensaver-пароль, кэшированные пароли, пароли для локального и удаленного доступа;
— определять текущего Windows-пользователя и пользователя Microsoft Network;
— изменять Windows-пароль;
— изменять screen saver пароль;
— изменять Microsoft Network пароль;
— изменять password caching;
— подключать/отключать сетевые диски;
— входить в/выходить из сеть(и);
— Log-off/Restart/Shutdown Windows.
Серверная компонента троянца "Abel" после выполнения на инфицированной машине выводит предупреждающее сообщение с кнопками "Yes" и "No":
Заголовок: ABEL
Тело сообщения:
WARNING! When this program is running other users on the network could find your passwords, are you sure you want to proceed?
При клике пользователя на кнопку "Yes" отображается окошко, содержащее следующее:
Title: Abel
PWL file: C:\WINDOWS\INFECTPC.PWL
Username: INFECT PC
Если это окно минимизировать, то оно появляется в трее (system tray) как значок в виде шестиугольника с синей буквой "A" в центре.
Троянец "сидит" в памяти инфицированного компьютера и слушает TCP-порт 666, ожидая команд от удаленного пользователя. Троянец остается в памяти как процесс, видимый в списке задач под именем "Abel".
5. TROJ_SUB7.22.D. Новая версия Win32-троянца из семейства утилит удаленного администрирования. Троянец создан при помощи компилятора Delphi и запакован компрессором UPX (утилитой для сжатия PE EXE файлов). По своим возможностям напоминает троянца Back Orifice и позволяет удаленному хакеру осуществлять доступ на компьютер-жертву практически с правами системного администратора.
После выполнения троянец создает на инфицированном компьютере в каталоге Windows свою копию с именем WINADMIN.EXE, а также записывает еще один файл размером 10767 байт, сжатый с помощью UPX-компрессии и имеющий случайное имя. Троянец модифицирует файл SYSTEM.INI, в котором строка:
{boot}shell=Explorer.exe
заменяется на: {boot}shell=Explorer.exe winadmin.exe
Помимо этого троянец меняет значение следующих ключей системного реестра:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\ open\command
со значения: "%1" %* на: [name of dropped file] "%1" %*
Затем троянец загружает себя в память компьютера и слушает порт 643, ожидая команд своего хозяина.
Антивирусы:
1. CA Vet Anti-virus ( www.vet.com.au ). Разработчик Computer Associates International, Inc.
Vet for Windows98. Version 10.1.10.2 от 03.07.00г., 3346 Kb.
Антивирус выпускается в Австралии.
— Стоимость 84.70$.
— Работа с сетевыми дисками.
— Отдельная настройка действий для макровирусов. Так, например, о макровирусах может выдаваться только отчет, а все остальные инфицированные файлы будут удаляться.
— Отправка администратору системы по электронной почте предупреждения о найденном вирусе.
— Режим пропускания тех файлов, которые были переименованы во время предыдущего сканирования. Обычно переименовываются подозрительные файлы, получая расширение ._XE вместо .EXE.
— Удаление, лечение, переименование или выдача отчета о подозрительном или инфицированном объекте.
— Работа с сетевыми дисками.
— Тонкая настройка событий, на которые срабатывает монитор: исполняемые файлы, открывающиеся или закрывающиеся файлы.
— Запись отчета о выполненной работе в лог-файл.
— Автоматическое обновление антивирусных баз через Интернет. Настройка получения обновления через прокси-сервер.
К сожалению, для тестирования была найдена не самая последняя версия, поэтому вполне возможно, что те функции, которые существуют в описываемой ниже программе InoculateIT, реализованы и в Vet Antivirus тоже.
2. InoculateIT Personal Edition W9*/NT/2000 ( http://antivirus.cai.com ). Разработчик Computer Associates International, Inc. Version 5.2.5.0 от 23.11.00г., 3739 Kb.
— Бесплатная программа.
— Не поддерживает работу с сетевыми файлами.
— Отсутствует отдельная настройка действий для макровирусов.
— Не поддерживает отправку администратору системы предупреждения о найденном вирусе по электронной почте.
В отличие от Vet Anti-Virus Ver 10.1.10.2 дополнена следующими возможностями.
— Эвристическое сканирование;
— Проверка реестра, INI-файлов, снятие процессов, удаление поврежденных файлов.
3. VBA. Комплекс антивирусных программ "ВирусБлокАда"(http://www.vba.com.by). Известен в Республике Беларусь с 1993 года. Разработчик: Предприятие "ВирусБлокАда". В антивирусный комплекс входят следующие продукты: почтовый монитор и сканер Vba32 for Microsoft Exchange, монитор Vba32 for Windows 9x/NT/ME/2000, сканеры Vba32 для Windows 9x/NT/ME/2000, а также для Win32, DOS/386 и OS/2.
Vba32 for Windows 95/98/ME. Build 3.006 от 09.01.01г., 2160 Kb. 11393 модели вирусов.
— Обновление — несколько раз в месяц (вручную, скачивая дополнения .ZIP со страницы поддержки);
— сканер и монитор с графическим пользовательским интерфейсом объединены в одну программу и имеют общий загрузочный модуль: Vba32 Loader;
— поиск процессов в операционных системах Windows 9x/NT и сканирование образа памяти этих процессов (Win32 версия);
— сканирование первого мегабайта оперативной памяти (DOS/386 версия);
— чтение загрузочных секторов с физических устройств (дисковых накопителей);
— сканирование файловой структуры логических дисков, анализ формата файлов;
— разбор формата документов Microsoft Office (Microsoft Word 6/7, Microsoft Excel 5/7, Microsoft Office 97, Microsoft Office 2000);
— проверка файлов в архивах формата ARJ, HA, RAR и ZIP;
— эмуляция исполняемых программ DOS, Win32 и поиск полиморфных вирусов;
— экспертный (эвристический) анализатор.
По материалам www.mcafee.ru, www.viruslist.com
Дежурный по карантину Доктор МакроФаг macrofag@hotbox.ru
• Компания McAfee ( http://www.mcafee.ru ), известная своими антивирусными пакетами, выпустила игру, призовой фонд которой составит 500 тысяч долларов.
Игра представляет собой аркаду для реселлеров, которые работают с крупными корпоративными заказчиками. Игра от производителя антивирусов похожа на известную Space Invaders ("Космические захватчики"). По ходу игры необходимо отвечать на вопросы, которые, что не удивительно, касаются продуктов, производимых McAfee, и бороться с вирусами, которые так и норовят захватить компьютер клиента.
"Игра на деньги" рассчитана на весь 2001 год. Выплаты призов будут осуществляться по $500 в конце каждого квартала. В конце года предполагается провести игру с призовым фондом в $10000. А самый главный приз — 500 тысяч долларов. Условия его получения весьма туманны. Известно только, что окончательные итоги предполагается подвести в первую неделю января 2002 года.
Руководство многих компаний, работающих с McAfee, выразили небольшую тревогу, ведь их менеджеры могут засесть играть в игру в рабочее время, что может негативно сказаться на результатах продаж.
Вирус Топ 10 За 7 дней
№п/п Название
1. W32/Hybris.dll@MM
2. W32/Hybris.plugin@MM
3. JS/Kak@M
4. JS/Kak.bat.a
5. W32/Hybris.gen@MM
6. APStrojan.qa@MM
7. JS/Seeker.gen
8. BackDoor-G2.svr.gen
9. W97M/Marker.gen
10. W32/Ska.dll@M
14.03.01 Источник: www.mcaffee.com
(c) компьютерная газета
Не глядит на белый свет:
Променял меня и пьянку
На халявный Интернет!
Но в Cети пробыл он мало —
Заболел, порвал гармонь.
Ну, а вскрытье показало:
Вирус был — троянский конь!"
(Частушка)
Сейчас Интернетом уже никого не удивишь. Это раньше он был дорогим и медленным, что никто даже и не думал скачивать из сети мегабайтные MP3-файлы для своего удовольствия. А теперь... Провайдеров развелось — пальцев на руках и ногах не хватит, чтобы всех пересчитать. Скорости возросли и услуги доступа стали разнообразными: тарифы дневные, ночные, выходного дня. А карточки для подключения к Сети есть почти в каждом киоске. Беспарольный доступ уже во многих домах, а желающих на него так много, что вечером и не пробиться...
Вирусы и Интернет
Если раньше основным переносчиком вирусной заразы были дискеты, то сегодня именно Интернет является главным, а зачастую и единственной источником распространения всевозможных вирусов, троянов, червяков и прочей электронной гадости.
Откуда мы скачиваем десятки программ, зачастую забывая проверять их на вирусы? Правильно, с общедоступных для всех FTP и WWW-архивов. Сколько раз мы получали по почте файлы в формате Microsoft Word и открывали их с отключенным антивирусным монитором, чтобы тот не отнимал ресурсы машины? Что, всегда так делаем?! А ведь это — потенциальная угроза подхватить какой-нибудь макровирус. То же самое касается и тех случаев, когда открываются присоединенные к письму файлы сомнительного происхождения.
Свою лепту в распространение вирусов вносят сайты хакеров и вирусмейкеров. На них практически любой может получить полную информацию о том, как писать вирусы ("Как написать почтовый червь" http://www.xakep.ru/post/12102/default.asp?atype=empty&flash=1) и обходить антивирусную защиту. Там же можно найти готовые исходные тексты и программы-конструкторы вирусов, которые сильно ускоряют и упрощают работу по созданию вируса. Думать не надо! Нужно только выбрать свойства, которыми должен обладать будущий "вредитель компьютерного хозяйства", нажать пару кнопок — и "продукт" готов!
Именно такой программой-конструктором под названием "Vbs Worms Generator" воспользовался 20-летний создатель вируса "Анна Курникова", называющий себя OnTheFly. Как впоследствии он признался, программировать толком не умеет. Интересно, куда смотрит мэр его родного города (Снек, Голландия), предлагая работу недоучке?! История показательна — так выглядит вирусописатель 2001 года: безответственный школьник, студент или просто молодой человек, получивший минимум знаний по работе с клавиатурой, мающийся бездельем, которому под руку попался вирусный генератор. Как правило, они потом сами сожалеют о случившемся.
Но все это — одна сторона медали, имя которой — Интернет. С другой стороны, всемирная Паутина может оказать очень большую помощь в создании антивирусной защиты как отдельно взятого домашнего компьютера, так и большой разветвленной сети какой-нибудь корпорации. Каким образом? Антивирусные рассылки, конференции и сайты разработчиков антивирусных программ обеспечивают оперативное получение информации о новых вирусах и средствах борьбы с ними. Все лучшие антивирусы обновляют свои антивирусные базы через Интернет в автоматическом режиме.
А если у Вас нет антивируса, то он может быть предоставлен Вам бесплатно! И не надо сильно удивляться. Вопрос защиты информации касается всего компьютерного общества. Так, например, на сервере http://www. dials.ru/www_av/home.htm вы можете в онлайновом режиме проверить подозрительный файл при помощи самой последней версии сканера DrWeb. А если неудобно пользоваться онлайном, то и тут тоже есть выход. Некоторые фирмы наряду с платной версией своего продукта выпускают и бесплатную, так сказать, для малоимущих. Возможностей, правда, там поменьше, но вирусы лечит не хуже платной! Примером такого продукта является CA Vet Antivirus — платный продукт, а CA InoculateIT — бесплатный. Но их мы рассмотрим немного позже.
А что касается конструктора вирусов "Vbs Worms Generator", о котором мы говорили выше, то с 11 марта пользователям антивируса Касперского он теперь не страшен. Потому что Лаборатория Касперского разработала уникальный алгоритм защиты от вирусных генераторов. И он обеспечивает 100% гарантию не только от известных, но и вообще от любых вирусов, созданных при помощи "Vbs Worms Generator" и аналогичных ему утилит.
Новые вирусы
Чтобы получить представление о новых вирусах, мы приводим лишь некоторые из них с целью еще раз убедить пользователей применять антивирусные средства...
7 марта подразделение McAfee AVERT присвоило вирусу W32/Naked@MM, также известному как "Naked Wife", высокий уровень риска. Вирус "Naked Wife" представляет собой интернет-червь, маскирующийся под Flash-заставку. Этот опасный и разрушительный вирус был обнаружен в сетях более чем 25 крупнеших мировых компаний, в том числе из "Fortune 500".
1. W32/Naked@MM(Naked Wife). Интернет-червь, после активизации рассылает зараженные копии по электронной почте всем пользователям из адресной книги Microsoft Outlook, а также пытается удалить все файлы с расширениями .BMP, .COM, .DLL, .EXE, .INI, и .LOG в каталогах WINDOWS и WINDOWS\SYSTEM.
Вирус написан на языке Visual Basic и требует для работы Runtime-библиотеки. Во время исполнения он копирует себя в каталог TEMP и выводит окно с заголовком Flash и надписью "JibJab Loading". Далее рассылаются электронные письма всем пользователям из адресной книги.
Тема: Fw: Naked Wife
Тело письма:
My wife never look like that!;-)
Best Regards, Имя отправителя.
Вложение: NakedWife.exe
Симптомы заражения:
— Отсутствие файлов с расширениями .BMP, .COM, .DLL, .EXE, .INI и .LOG в каталогах WINDOWS и WINDOWS\SYSTEM;
— Невозможность запуска приложений;
— Сообщения о получении от Вас писем с вложением NakedWife.exe;
— Сообщение об отсутствии WIN.COM при старте или перезагрузке Windows.
Пользователям необходимо немедленно удалять E-mail-сообщения, содержащие вложение NakedWife.exe.
2. I-Worm.Myba. Интернет-червь, распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. Использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в его адресной книге. Червь является приложением Win32 (PE EXE-файлом) и написан на языке VisualBasic.
Код червя заимствован из VBS-вируса "I-Worm.LoveLetter" — код и названия процедур червя в некоторых случаях практически полностью повторяют "LoveLetter".
Письмо имеет следующие характеристики:
Тема письма: My baby pic!!!
Сообщение в письме: Its my animated baby picture!!
Имя прикрепленного файла: mybabypic.exe
Если пользователь "кликнет" на файле-вложении, червь инсталлирует себя в систему, рассылает зараженные письма и выполняет прочие (включая деструктивные) действия.
Червь рассылает себя в виде писем с прикрепленным EXE-файлом, который, собственно, и является телом червя.
Червь также инсталлирует себя в систему. Он создает в системном каталоге Windows файлы со своими копиями. Имена создаваемых файлов:
WINKERNEL32.EXE, MYBABYPIC.EXE, WIN32DLL.EXE, CMD.EXE, COMMAND.EXE
При внедрении в систему червь регистрирует эти файлы в системном реестре операционной системы для их автоматического запуска при последующих загрузках компьютера.
Проявления червя достаточно многообразны. В зависимости от текущей даты и времени червь:
— включает/выключает NumLock, CapLock и ScrollLock;
— посылает в буфер клавиатуры текст: IM_BESIDES_YOU_;
— открывает сайт http://www.youvebeenhack.com и посылает на него один из текстов:
FROM BUGGER
HAPPY VALENTINES DAY FROM BUGGER
HAPPY HALLOWEEN FROM BUGGER;
Червь также ищет все файлы на всех доступных дисках. Для файлов с разными расширениями червь выполняет различные действия:
VBS, VBE: уничтожает их содержимое.
JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H: переименовывает их с расширением .EXE и записывает в них свою копию.
JPG, JPEG: добавляет к именам файлов расширение .EXE и записывает в них свою копию (например, PIC1.JPG.EXE). Оригинальный файл червь удаляет.
MP2, MP3: создает новый файл с именем MP-файла и расширением .EXE и записывает в него свою копию. У первоначальных MP-файлов устанавливает атрибут "скрытый".
3. I-Worm.Magistr — очень опасный Win32 вирус-червь, распространяющийся через Интернет в зараженных сообщениях электронной почты. Вирус написан на языке Assembler и имеет размер около 30Kb. Червь инфицирует выполняемые файлы Windows и способен распространяться по локальной сети. Вирус имеет очень опасные проявления: в зависимости от различных условий он стирает данные на жестком диске, CMOS и Flash память таким же образом, как и вирус Win95.CIH(aka Chernobyl).
Вирус воздействует на PE EXE файлы (выполняемые файлы Windows) сложным и запутанным способом, что значительно усложняет их дезинфекцию. Вирус шифрует свой основной код с помощью полиморфного механизма и записывает его в конец заражаемого файла.
После выполнения (клике пользователя на инфицированный аттач-файл) вирус инсталлирует себя как компонент EXPLORER.EXE в памяти Windows и затем функционирует в фоновом режиме, сканируя при этом все файлы и заражая PE EXE. Кроме этого, также в фоновом режиме червь занимается рассылкой зараженных email-сообщений и инфицированием сети.
Червь сканирует на зараженном компьютере все базы данных email-адресов и рассылает по всем полученным адресам свои письма, используя при этом:
Outlook Express
Netscape Messenger
Internet Mail and News
Из-за полиморфного характера вируса письма не имеют статических атрибутов: темы, тела сообщения, имени присоединенного файла.
Затем вирус стирает CMOS, FLASH, данные на жеском диске и показывает сообщение:
Another haughty bloodsucker.......
YOU THINK YOU ARE GOD,
BUT YOU ARE ONLY A CHUNK OF SHIT
ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The
Judges Disemboweler. written in Malmo (Sweden)
Вирус содержит 47 текстовых строк на английском, французском и испанском языках:
sentences you
sentences him to
sentence you to
ordered to prison
convict
и другие
4. TROJ_CAINABEL151 представляет собой приложение под Windows 9x для восстановления паролей и управления ими. Программа состоит из двух компонентов: серверного и клиентского. С помощью данного приложения удаленный "пользователь", установив у себя клиентскую часть — инсталляционный пакет CAIN151.EXE, способен осуществить дистанционный ограниченный доступ на инфицированную систему (где инсталлирована серверная компонента программы — "Abel") с возможностью находить и изменять пароли без ведома пользователя, что позволяет квалифицировать его как троянскую программу.
Удаленный "пользователь" инсталлирует клиентскую часть троянца — программу Cain v1.51 — в директорию Cain, которая по умолчанию создается в Program Files. Затем в эту директорию троянец распаковывает следующие файлы:
CAIN.EXE
ABEL.EXE
UNINSTAL.EXE
MANUAL.RTF
\Wordlists\Wordlist.txt
Троянец создает ярлыки программы (shortcut) в меню Start и регистрирует себя в системном реестре:
HKEY_CURRENT_USER\Software\Break-Dance\Cain
Клиентская часть троянской программы Cain имеет графический пользовательский интерфейс, который позволяет удаленному "пользователю" осуществлять на инфицированной машине следующие функции:
— отыскивать и расшифровывать screensaver-пароль, кэшированные пароли, пароли для локального и удаленного доступа;
— определять текущего Windows-пользователя и пользователя Microsoft Network;
— изменять Windows-пароль;
— изменять screen saver пароль;
— изменять Microsoft Network пароль;
— изменять password caching;
— подключать/отключать сетевые диски;
— входить в/выходить из сеть(и);
— Log-off/Restart/Shutdown Windows.
Серверная компонента троянца "Abel" после выполнения на инфицированной машине выводит предупреждающее сообщение с кнопками "Yes" и "No":
Заголовок: ABEL
Тело сообщения:
WARNING! When this program is running other users on the network could find your passwords, are you sure you want to proceed?
При клике пользователя на кнопку "Yes" отображается окошко, содержащее следующее:
Title: Abel
PWL file: C:\WINDOWS\INFECTPC.PWL
Username: INFECT PC
Если это окно минимизировать, то оно появляется в трее (system tray) как значок в виде шестиугольника с синей буквой "A" в центре.
Троянец "сидит" в памяти инфицированного компьютера и слушает TCP-порт 666, ожидая команд от удаленного пользователя. Троянец остается в памяти как процесс, видимый в списке задач под именем "Abel".
5. TROJ_SUB7.22.D. Новая версия Win32-троянца из семейства утилит удаленного администрирования. Троянец создан при помощи компилятора Delphi и запакован компрессором UPX (утилитой для сжатия PE EXE файлов). По своим возможностям напоминает троянца Back Orifice и позволяет удаленному хакеру осуществлять доступ на компьютер-жертву практически с правами системного администратора.
После выполнения троянец создает на инфицированном компьютере в каталоге Windows свою копию с именем WINADMIN.EXE, а также записывает еще один файл размером 10767 байт, сжатый с помощью UPX-компрессии и имеющий случайное имя. Троянец модифицирует файл SYSTEM.INI, в котором строка:
{boot}shell=Explorer.exe
заменяется на: {boot}shell=Explorer.exe winadmin.exe
Помимо этого троянец меняет значение следующих ключей системного реестра:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\ open\command
со значения: "%1" %* на: [name of dropped file] "%1" %*
Затем троянец загружает себя в память компьютера и слушает порт 643, ожидая команд своего хозяина.
Антивирусы:
1. CA Vet Anti-virus ( www.vet.com.au ). Разработчик Computer Associates International, Inc.
Vet for Windows98. Version 10.1.10.2 от 03.07.00г., 3346 Kb.
Антивирус выпускается в Австралии.
— Стоимость 84.70$.
— Работа с сетевыми дисками.
— Отдельная настройка действий для макровирусов. Так, например, о макровирусах может выдаваться только отчет, а все остальные инфицированные файлы будут удаляться.
— Отправка администратору системы по электронной почте предупреждения о найденном вирусе.
— Режим пропускания тех файлов, которые были переименованы во время предыдущего сканирования. Обычно переименовываются подозрительные файлы, получая расширение ._XE вместо .EXE.
— Удаление, лечение, переименование или выдача отчета о подозрительном или инфицированном объекте.
— Работа с сетевыми дисками.
— Тонкая настройка событий, на которые срабатывает монитор: исполняемые файлы, открывающиеся или закрывающиеся файлы.
— Запись отчета о выполненной работе в лог-файл.
— Автоматическое обновление антивирусных баз через Интернет. Настройка получения обновления через прокси-сервер.
К сожалению, для тестирования была найдена не самая последняя версия, поэтому вполне возможно, что те функции, которые существуют в описываемой ниже программе InoculateIT, реализованы и в Vet Antivirus тоже.
2. InoculateIT Personal Edition W9*/NT/2000 ( http://antivirus.cai.com ). Разработчик Computer Associates International, Inc. Version 5.2.5.0 от 23.11.00г., 3739 Kb.
— Бесплатная программа.
— Не поддерживает работу с сетевыми файлами.
— Отсутствует отдельная настройка действий для макровирусов.
— Не поддерживает отправку администратору системы предупреждения о найденном вирусе по электронной почте.
В отличие от Vet Anti-Virus Ver 10.1.10.2 дополнена следующими возможностями.
— Эвристическое сканирование;
— Проверка реестра, INI-файлов, снятие процессов, удаление поврежденных файлов.
3. VBA. Комплекс антивирусных программ "ВирусБлокАда"(http://www.vba.com.by). Известен в Республике Беларусь с 1993 года. Разработчик: Предприятие "ВирусБлокАда". В антивирусный комплекс входят следующие продукты: почтовый монитор и сканер Vba32 for Microsoft Exchange, монитор Vba32 for Windows 9x/NT/ME/2000, сканеры Vba32 для Windows 9x/NT/ME/2000, а также для Win32, DOS/386 и OS/2.
Vba32 for Windows 95/98/ME. Build 3.006 от 09.01.01г., 2160 Kb. 11393 модели вирусов.
— Обновление — несколько раз в месяц (вручную, скачивая дополнения .ZIP со страницы поддержки);
— сканер и монитор с графическим пользовательским интерфейсом объединены в одну программу и имеют общий загрузочный модуль: Vba32 Loader;
— поиск процессов в операционных системах Windows 9x/NT и сканирование образа памяти этих процессов (Win32 версия);
— сканирование первого мегабайта оперативной памяти (DOS/386 версия);
— чтение загрузочных секторов с физических устройств (дисковых накопителей);
— сканирование файловой структуры логических дисков, анализ формата файлов;
— разбор формата документов Microsoft Office (Microsoft Word 6/7, Microsoft Excel 5/7, Microsoft Office 97, Microsoft Office 2000);
— проверка файлов в архивах формата ARJ, HA, RAR и ZIP;
— эмуляция исполняемых программ DOS, Win32 и поиск полиморфных вирусов;
— экспертный (эвристический) анализатор.
По материалам www.mcafee.ru, www.viruslist.com
Дежурный по карантину Доктор МакроФаг macrofag@hotbox.ru
• Компания McAfee ( http://www.mcafee.ru ), известная своими антивирусными пакетами, выпустила игру, призовой фонд которой составит 500 тысяч долларов.
Игра представляет собой аркаду для реселлеров, которые работают с крупными корпоративными заказчиками. Игра от производителя антивирусов похожа на известную Space Invaders ("Космические захватчики"). По ходу игры необходимо отвечать на вопросы, которые, что не удивительно, касаются продуктов, производимых McAfee, и бороться с вирусами, которые так и норовят захватить компьютер клиента.
"Игра на деньги" рассчитана на весь 2001 год. Выплаты призов будут осуществляться по $500 в конце каждого квартала. В конце года предполагается провести игру с призовым фондом в $10000. А самый главный приз — 500 тысяч долларов. Условия его получения весьма туманны. Известно только, что окончательные итоги предполагается подвести в первую неделю января 2002 года.
Руководство многих компаний, работающих с McAfee, выразили небольшую тревогу, ведь их менеджеры могут засесть играть в игру в рабочее время, что может негативно сказаться на результатах продаж.
Вирус Топ 10 За 7 дней
№п/п Название
1. W32/Hybris.dll@MM
2. W32/Hybris.plugin@MM
3. JS/Kak@M
4. JS/Kak.bat.a
5. W32/Hybris.gen@MM
6. APStrojan.qa@MM
7. JS/Seeker.gen
8. BackDoor-G2.svr.gen
9. W97M/Marker.gen
10. W32/Ska.dll@M
14.03.01 Источник: www.mcaffee.com
(c) компьютерная газета
Компьютерная газета. Статья была опубликована в номере 11 за 2001 год в рубрике безопасность :: Антивирусное обозрение
