Заразно все.

Антивирусное обозрение "Заразно все".
(3-й закон Прайса)
Базы данных крупных антивирусных комплексов насчитывают до нескольких десятков записей об известных и исследованных вирусах (например, AVP на 26.03.01г. известно 44387 вредных программ). Об этом знают многие. Однако, мало кто знает о том, что ни один антивирус мира не может определить и обезвредить такие опасные и чрезвычайно вредные вирусы, как GoodTimes, Irina, Join the Club, Penpal Greetings и некоторые другие, хотя про них вирусологи знают давно. Почему? В чем дело?!
Оказывается, главная причина этого вопиющего факта заключается в том, что этих вирусов просто-напросто не существует в природе! Да-да! Вирусов нет, но есть фальшивые сообщения о якобы весьма опасных программах, которые распространяются по сети Интернет и уничтожают все на своем пути. Эти лживые и пугающие слухи, похожие на злую компьютерную шутку (computer hoax), называют вирусной мистификацией. И они не менее заразны, чем настоящие вирусы (см. эпиграф), поражая умы и сковывая волю отдельных компьютерных пользователей.

Вирус без вируса
В истории вирусных мистификаций трудно найти ее начало. Начнем с 1994 года.
Декабрь 1994 г. В Фидо и Интернете появились сообщения о вирусе, который заражает компьютер посредством электронной почты — при получении и чтении писем. Сообщение выглядело следующим образом: Here is some important information. Beware of a file called GoodTimes. Happy Chanukah everyone, and be careful out there. There is a virus on America Online being sent by E-Mail. If you get anything called "Good Times", DON'T read it or download it. It is a virus that will erase your hard drive. Forward this to all your friend. It may help them a lot.
Такого вируса не существовало, однако, кое-кто так сильно поверил в него, что заявил о заражении им! И хотя впоследствии появился настоящий вирус GT-Spoof, содержащий текст "Good Times", однако он не мог распространяться по сети и был обычным "досовским" вирусом.
Февраль 1997 г. В Интернете появились многочисленные сообщения о вирусе Join the Crew ("Присоединяйся к команде"). В переводе на русский язык они выглядели так: "ВНИМАНИЕ!!! Если Вы получили письмо с заголовком "JOIN THE CREW", ТО НЕ ОТКРЫВАЙТЕ его! Это сотрет ВСЕ данные на вашем диске! Перешлите это письмо как можно большему числу людей... это действительно новый вирус и очень немногие знают о нем."
Рассчитанная на наивных и плохо подготовленных компьютерных пользователей, мистификация требовала, чтобы ее отправили другим людям, "как можно большему числу людей". И уловка сработала! В течение 1,5-2 лет письмо-предупреждение получили тысячи человек по всему миру.
Май 1999г. Мистификация Budweiser Frogs. Текст сообщения: Кто-то рассылает очень "хорошую" экранную заставку, Budweiser Frogs "BUDDYLST.ZIP". Если вы ее загрузите, вы потеряете все!!! Ваш жесткий диск будет поврежден, и любой получит имя и пароль вашего экрана из Интернета. НЕ ЗАГРУЖАЙТЕ ЕГО НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ!!!

Он поступил в обращение вчера, насколько мы можем судить. Пожалуйста, разошлите это сообщение. Это новый, очень вредный вирус, и немногие о нем знают. Эта информация поступила вчера утром от компании Microsoft.
Пожалуйста, поделитесь этой информацией со всеми, кто имеет доступ в Интернет. И еще раз, передайте эту информацию всем, кто находится в вашем списке адресов для того, чтобы предотвратить нежелательное. AOL говорит, что это очень опасный вирус и не существует средств защиты от него в данный период времени. Пожалуйста, предпримите все предостерегающие меры и перешлите это сообщение всем вашим друзьям, с которыми вы поддерживаете связь в on-line.

Вам это случайно не напоминает письмо-счастье? Вот-вот, не хватает только фразы "перепишите 21 раз и отправьте копии по разным адресам"!
Декабрь 1999г. Зачастую за мистификациями трудно найти человека, впервые рассказавшем о несуществующем вирусе. Но бывают исключения. Так, например, компания "ДиалогНаука" сообщила о том, что в городе Мурманске объявился некто, выдающий себя за ученика Д. Н. Лозинского.
Он предлагает за большие деньги проверить и вылечить компьютеры от нового страшного вируса Mozart, который якобы сработает 01.01.2000 и нанесет непоправимый ущерб — уничтожит FLASH BIOS, разгонит "харды" до критичной скорости так, что они будут "гореть", и прочее.
Интересно, а в Вашем городе нет таких предприимчивых "специалистов"?

Май 2000 г. Мистификация Wobbler, она же California, она же Kali. Распространялась от имени корпорации IBM пользователям Маков и PC. Начиналась так: "Subject: IBM OFFICIAL VIRUS WARNING PASS THIS ON TO ANYONE YOU HAVE AN E-MAIL ADDRESS FOR. If you receive an e-mail titled "Lets watch TV" DO NOT OPEN IT. It will erase everything on your hard drive. This information was announced yesterday morning from IBM; AOL states that "KALI" is a very dangerous virus, much worse than "Melissa," and that there is NO remedy for it at this time. "
Фальшивка о вирусе, еще более опасном, чем Melissa, получает большую известность. Видимо, из-за того, что люди были сильно напуганы вирусами из вредного семейства I LOVE YOU и поэтому рассылают эту дезинформацию всем подряд.

Другая мистификация месяца — Win a holiday ("Выиграй отдых"). Опять что-то неизвестное стирает весь винчестер и якобы информация поступила от Maйкрософт: "If you receive an email titled "WIN A HOLIDAY" DO NOT open it. It will erase everything on your hard drive. Forward this letter outto as many people as you can. This is a new, very malicious virus and not many people know about it. This information was announced yesterday (16/2/98) morning from Microsoft; please share it with everyone that might access the internet. Once again, pass this along to EVERYONE in your address book so that this may be stopped. Also, do not open or even look at any mail that says "RETURNED OR UNABLE TO DELIVER" This virus will attach itself to your computer components and render them useless. Immediately delete any mail items that say this. AOL has said that this is a very dangerous virus and that there is NO remedy for it at this time. Please practice cautionary measures and forward this to all your online friends = ASAP. "
Октябрь 2000 г. Big Brother ("Большой брат") из Голландии. Предостерегает открывать письма с заголовком "Big-Brother 2, de eerste naaktfoto's!". В противном случае в систему проникает вирус, который портит электронную почту, стирает информацию на винчестере и т.д. Причем, самое интересное, мистификация для лечения предлагает воспользоваться антивирусными программами "Mc Afee, Norton en AVP".
Январь 2001 г. Мистификация Pikachus Ball. Будто бы компания SYMANTEC опубликовала предупреждение о новом вирусе, который распространяется по электронной почте в присоединенном файле "PIKACHUS BALL.exe" и портит жесткие диски.
Немного позже мир узнал и о WAZUP. Большой текст на французском сообщает о несуществующем вирусе, который необратимо портит жесткий диск, уничтожая на нем все zip, doc, jpg и системные файлы. Но перед этим он успеет отправить кому-то в Сети ваши имя и пароль доступа в Интернет.

Февраль 2001 г. Virtual Card for You. Известная с декабря 1999 года, эта мистификация сообщает о появлении, как Вы уже догадались, нового и очень опасного вируса, который распространяется в письме, имеющем вложенную виртуальную визитную карточку (vCard). При запуске карточки вирус активизируется и рассылает свои копии по адресам, найденным в адресной книге, после чего уничтожает всю информацию на жестком диске. Якобы по сообщению телекомпании CNN вирус в течение нескольких часов вызвал настоящую панику в Нью-Йорке, а антивирусные компании оказались абсолютно бессильны перед этой опасностью.
Хотя описываемого вируса пока обнаружить никому не удалось, на самом деле в системе безопасности почтовых программ Outlook и Outlook Express существуют серьезные недоработки. В процессе обработки карточек, содержащих больший объем информации, возможно переполнение буфера данных. Эти данные могут попасть в защищенные сегменты системной памяти и быть запущены на выполнение.
Март 01г. New Pictures of Family hoax. Мистификация не рекомендует открывать письмо, пришедшее от знакомого, в заголовке которого написано NEW PICTURES OF FAMILY ("Новые картинки семьи"). Иначе весь диск С будет очищен от данных. Также, якобы компания Intel объявила о появлении нового вируса, который приходит с письмом Family Pictures ("Семейные картинки"), удаляет все динамические библиотеки, и компьютер после этого перестает загружаться.
Вот такой блеф существует в Сети! И не стоит надеяться, что поток бестолковых писем-мистификаций иссякнет! Видимо, такова человеческая природа, что когда кто-то кому-то напишет какой-нибудь бред, всегда найдется тот, кто ему поверит и перешлет другому.

Чем опасны такие вирусные мистификации:
— Простота и легкость создания. В отличие от разработки настоящих вирусов, здесь программировать не нужно. Поэтому мистификацию может создать любой охотник подшутить и посмеяться, хоть немного разбирающийся в человеческой психологии.
— Явный спам (нежелательная почта).
— Лишний трафик в Сети.
— Занимают место на информационном носителе и/или в памяти компьютера — использует ресурсы системы.
— Потеря времени на чтение бесполезного сообщения.
— Могут оказаться настоящим сообщением о новом вирусе. Хотя такая вероятность очень мала (0,05%), потому что информацию о новых вирусах поставляют сертифицированные и известные антивирусные компании, однако она все-таки существует.

Что делать при получении подобных писем-предупреждений:
— Не паниковать.
— Никому ничего не посылать.
— Игнорировать это письмо и удалить.
— Изучить оперативную информацию на сайтах антивирусных компаний или посетить специализированные ресурсы по компьютерным мистификациям (не только по вирусам!): http://www.data-fellows.com/news/hoax/ ; http://www.vmyths.com/hoax.cfm
— Предупредить приславшего Вам фальшивое письмо о его ошибке.
Лишний раз заметим, что стоит относиться крайне осторожно к файлам, вложенным в электронные письма, тем более, если они получены от неизвестного отправителя!
Если уважаемому читателю известны случаи мистификаций, с которыми он сталкивался лично, то он может прислать письмо со своей историей по адресу, указанному внизу статьи.

НОВЫЕ ВИРУСЫ
Здесь — лишь малая часть "появившихся" вирусов. Наша цель — убедить пользователей применять антивирусные средства.
1. VBS/Linda-A (VBS/Loveletter.CH@mm). Интернет-червь, написанный на языке Visual Basic Script и распространяющийся по email, IRC (Internet Relay Chat) и локальным сетям. При своем распространении по электронной почте червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. Вирус содержит в себе опасную процедуру уничтожения многих файлов.
Червь попадает на компьютер в виде электронного письма с характеристиками:
Тема: Important message for [имя получателя]
Текст: This is the attached file you asked from me.
Вложение: может иметь различные имена
При активизации (если пользователь открывает вложение) червь создает свою копию с именем XMLDriver32.dll.vbs в системном каталоге Windows.
Затем червь ищет на локальных дисках зараженного компьютера и всех подключенных к нему сетевых дисках файлы с расширениями: VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP3, MP2, XML, PHP3, HTM, WAV, BMP, DOC, RTF, XLS, PPT, WRI, MDB, ZIP, RAR, ARJ, PDF, MID, GIF, AVI, HLP, FRM, MP4, C, PL, PAS, PS, TIF, WPD, FM, MK5, ASP, TXT, CHM, GZ, TAR, WSC, MHT, HTT, LHA, LZH, PCX, PIF
При нахождении подходящих файлов червь создает свои копии, используя их названия и добавляя к расширению .VBS. После этого червь удаляет оригиналы файлов (например, если червь находит файл "DUMMY.ZIP", он создает свою копию — файл "DUMMY.ZIP.VBS" и удаляет "DUMMY.ZIP").
Если на зараженном компьютере установлен клиент MIRC, червь для инфицирования IRC-каналов создает управляющий скрипт SCRIPT.INI в каталоге C:\MIRC. Этот скрипт отсылает копии червя всем пользователям, подключающимся к зараженному чат-каналу.

2. PHP_CARACULA.A.
Скрипт-вирус, представляет собой скрипт-программу на языке PHP (Hypertext Preprocessor scripting language). Распространяется через IRC (Internet Relay Chat), вставляя свой код в конец HTM, HTML и PHP файлов. Вирус также заражает файлы с расширениями .EXE, .OCX, .SYS, .BAT и .VXD в системном каталоге Windows, перезаписывая их своим кодом.
После выполнения вирус выводит на дисплей некое сообщение об ошибке, а сам тем временем ищет файл SCRIPT.INI, определяя, установлен ли на зараженном компьютере клиент MIRC. При нахождении этого файла вирус записывает в каталог клиента mIRC новый системный файл SCRIPT.INI, который передает его копию каждому пользователю, который подключается к каналу.
Затем вирус создает в корневой директории C:\ каталог "a _MSPHP" и записывает туда файл MS.PHP, который содержит его копию. Вирус также создает файл MSPHP.INI, содержащий следующий текст:
[MSPHP]
Microsoft PHP Support This folder and the ms.php file into it will help your computer and you web browser to move one step more into the world of PHP.
Microsoft wants you to enjoy the high technology available on the net in this day, so to make this ability Microsoft developed a new product named MSPHP that will help you and your computer to know the PHP language.
This folder was created automaticly bu MSInternetExplorer Live Update. If you want to uninstall this options do not delete the folder or the file because then you may cause damage to your computer just send email to msphp@microsoft.com and we will tell you how to uninstall it.
Copyright Microsoft (c) 2001
После этого вирус уничтожает содержимое файла MSDOS.SYS и заполняет его мусором, что приводит к тому, что инфицированная система больше не загружается. Содержимое файла MSDOS.SYS после бесчинств вируса будет представлять собой следующее:
[Paths]
WinDir=G:\_Sym\Microsoft\Windows
WinBootDir=A:\System\ini
HostWinBootDrv=R"

[OPTIONS]
BootMulti=6
WinVer=Infected Version
MsDos By Microsoft
Xxxxxxxxxxxxxxxxxxxxxxxxx
Вирус портит файл CONFIG.SYS, также заполняя его мусором:
[Windows]
device=C:\Windows\??ss.sys
device=C:\_msdos\90.sys
device=C:\Windows\notepad.exe
Are you ready to slide?????
После этого вирус удаляет на инфицированном компьютере следующие файлы:
C:\Windows\regedit.exe
C:\Windows\System\Mshtml.dll
C:\Windows\System\Wsock.vxd
C:\Windows\System\Winspool.drv
C:\Windows\System\vxblock.dll
Вирус ищет файлы со следующими расширениями и добавляет свой код в конец этих файлов: HTM, HTML, PHP.
Вирус перезаписывает файлы в системном каталоге Windows, имеющие следующие расширения: EXE, OCX, SYS, BAT,VXD.

3. Linux/Lion.worm.
Интернет-червь, атакующий Linux-сервера. Для проникновения на компьютеры червь использует "дыру" в безопасности BIND DNS сервиса.
Червь сканирует Интернет в поиске систем, имеющих уязвимость в безопасности root-доступа. Найдя подобную систему, червь инфицирует ее, собирает информацию о ней (ip-адрес, логины, пароли) в файл с именем "mail.log" и затем отсылает его на электронный адрес "1i0nsniffer@china.com".
Помимо этого, червь предпринимает попытки связаться через Интернет с сайтом "51.net" (домен "51.net" зарегистрирован в Китае) и скачать оттуда файл "crew.tgz" ("tgz" — стандартный архив, применяемый в UNIX-системах). На зараженной машине архив распаковывается, и инсталлируются процедуры, при выполнении которых уже вновь инфицированный компьютер также начинает сканировать ресурсы глобальной сети для поиска следующих жертв.

4. VBS/Anjulie@MM.
Интернет-червь, представляющий собой VBS-скрипт и распространяющийся как вложение в электронные письма. Для рассылки сообщений червь использует MS Outlook и рассылает себя по всем адресам из адресной книги. Помимо этого, червь сбрасывает на зараженную машину вирус Win95.CIH ("Чернобыль").
При активизации червь инсталлирует себя в систему. Он копирует себя в TEMP-каталог WINDOWS с именем T4UMHF5.vbs, а также записывает на пораженный компьютер в этот же каталог еще один файл "ALE32.EXE", который представляет собой копию вируса "Чернобыль". После этого червь, используя Microsoft Outlook, производит почтовую рассылку своих копий. Параметры письма при этом следующие:
Тема: Read the true history on Angelina Julie
Тело:
Your life
Your work
Your lovers
Вложение: AngelinaJulie.txt.vbs или T4UMHF5.VBS (имена вложений могут варьироваться)
Для обеспечения своего выполнения при каждом старте операционной системы червь регистрирует себя в секции автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\T4UMHF5=C:\WINDOWS\TEMP\T4UMHF5.VBS
В завершение своих злодеяний скрипт запускает на выполнение файл ALE32.EXE, который в свою очередь загружает в память инфицированного компьютера вирус "Чернобыль".
Скрипт содержит текст:
AlevirusSCS VxBrasil:)
EXE-файл содержит текст:
AlevirusSCS v666 VxBrasil

АНТИВИРУСЫ
1. Quick Heal Anti-Virus for Windows 95/98/NT. Разработчик: Cat Computer Services (P) Ltd, Индия (http://www.quickheal.com). Версия 6.01 от 10.02.01г. Размер: 8995 Кб версия 6.0 и 2129 Кб — обновление до версии 6.01. Вирусная база 21.03.01г.
В конце установки антивирус сканирует память, начальные записи дисков, системные файлы.
В состав антивирусного комплекса входят следующие модули: сканер (Quick Heal), монитор (Quick Heal Online protection), планировщик (Scheduler) и так называемый Messendger — информационное окно, в котором можно найти последние новости и сообщения об обновлениях.
Количество вирусов в базе антивирусного комплекса не указывается.
Одно из неудобств — после каждого обновления необходимо перегружать компьютер.
— Стоимость 28$.
— Автоматическое обновление через Интернет (Live Update).
— Защита от макровирусов Word и Excel.
— Сканирование почтового ящика Outlook Express 5.0 (.DBX files).
— Интегрированная защита Microsoft Office 2000 (почты, документов, таблиц, презентаций и пр.).
— Создание аварийного диска (Rescue Disk).
— Отслеживание нового поколения (какого именно — не уточняется) полиморфных вирусов.
— Рекурсивное сканирование компрессированных файлов (в т.ч. и .EXE).
— Улучшенный эвристический механизм для обнаружения новых вирусов и лечения пораженных ими файлов.
— Отслеживает пути проникновения вирусов по электронной почте, Интернет, локальной сети и гибким дискам.
— Помещение подозрительных файлов в так называемый Карантин (Quarantine) — изолированное место, в котором подозрительные или зараженные файлы могут безопасно находиться до отправки в антивирусную лабораторию.
— Краткая, интегрированная в сканер, антивирусная энциклопедия.
— Раздел помощи, кроме стандартной справки Windows, оформлен также в формате HTML.
— Минимальные требования к системе: 80486 процессор, ОЗУ 8 Мб, место на диске — 8 Мб, ОС — Windows 95/98/NT.

2. AVTrojan для Microsoft Windows 95, 98, ME, NT, 2000. Разработчик AVTrojan Software, Россия (http://www.trojan.ru/ru/). Версия 2.1 от 20.03.01г. Размер: 530 Кб. В антивирусной база содержится 1216 записей.
Предназначен для борьбы с троянскими конями, vbs и i-worm вирусми. Способен успешно удалить троянскую программу там, где другие антивирусы сообщают об ошибке.
— Условия распространения — trial (30 дней).
— Стоимость регистрации — 180 руб. (в т.ч. и по Webmoney).
— Состоит из двух частей — сканера и монитора.
— Настраивается папка для Карантина.
— Автоматическое обновление через Интернет (Live Update).

По материалам
www.viruslist.com
Дежурный по карантину
Доктор МакроФаг macrofag@hotbox.ru


(c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 13 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2024 Компьютерная газета