...Незримое, но осязаемое присутствие Червя-Победителя... исполняет еще трепещущее сердце леденящим и нестерпимым ужасом, перед которым отступает самое смелое воображение.

Антивирусное обозрение "...Незримое, но осязаемое присутствие Червя-Победителя... исполняет еще трепещущее сердце леденящим и нестерпимым ужасом, перед которым отступает самое смелое воображение."
Эдгар Аллан По.

1999 год, появление вируса Babylonia открыло новую страницу в мировой истории заразных программ. Babylonia стал первым самообновляющимся вирусом, способным загружать дополнения с удаленного компьютера из сети Интернет. Следующий, 2000-й год стал расцветом появления вредных программ с реализованной технологией самообновления. Были обнаружены вирусы Sonic, Music, а также Hybris. О последнем стоит поговорить отдельно.

Сетевой червь Hybris — кандидат на "Вирус года"
Технология самообновления позволяет вирусу незаметно для владельца зараженного компьютера обновлять версии установленных вредоносных компонент и инсталлировать новые.
Интернет-червь Hybris, распространяющийся по электронной почте, умеет загружать дополнения не только с Web-страницы http://pleiku.vietmedia.com/bye, но и из электронной антивирусной конференции alt.comp.virus. Использование электронных конференций крайне затрудняет борьбу с распространением вируса, потому что Web-сайты сразу после обнаружения факта их использования вредоносными программами закрываются, а закрыть конференции практически невозможно. Автор Hybris реализовал также в вирусе сильный алгоритм шифрования дополнений (по алгоритму RSA со 128-битным ключом) и электронную подпись. Таким образом, управлять вирусом может только сам его создатель или те, кому известна электронная подпись.
При запуске EXE-файла с копией червя он заражает библиотеку WSOCK32.DLL. При этом червь:
— записывает себя в конец файла.
— перехватывает функции "connect", "recv", "send".
— заменяет стартовый адрес DLL-библиотеки на свой код и при этом шифрует "настоящую" стартовую процедуру файла.
Червь перехватывает функции работы с Интернет, сканирует принимаемые и отправляемые данные, ищет в них адреса электронной почты и каждый раз при отправке пользователем электронного письма с зараженной машины червь предпринимает попытку отправить письмо со своей присоединенной копией по этому же адресу. Текст email-сообщения определяется одним из установленных компонентов и, следовательно, может меняться по мере "обновления" версии червя. Соответственно, тема, тело сообщения и имя присоединенного файла могут постоянно меняться.
Червь также содержит компонент, который 24 сентября 1 минуту в час в любой день 2001 года выводит в центре экрана большую анимационную картинку, изображающую спираль, от которой очень трудно избавиться.
Хотя обнаруженные плагины довольно безобидны и не наносят прямого ущерба пользователю. Но, как отметил Евгений Касперский, глава антивирусной Лаборатории, "плагины дают возможность автору вируса модифицировать свое творение в режиме реального времени и фактически позволяют контролировать зараженные машины во всем мире". Будучи обновленными из сети Интернет, они могут приобрести совершенно иные функции — например, установить на компьютере троянскую программу или утилиту backdoor.
По результатам мартовского исследования популярности вирусов, Hybris находится на третьем месте, уступая MTX и Kakworm. Но Hybris умеет постоянно мутировать, а те — нет. И вполне возможно, что пальма лидерства в вирусной десятке скоро будет отдана ему.

Новые вирусы
Здесь — лишь малая часть "появившихся" вирусов. Мы хотим убедить пользователей компьютерных систем применять антивирусные средства.

1. WM97/Marker-GW. Это появилась новая модификация вируса, обнаруженная в "диком виде". Marker-GW входит в обширное семейство макро-вирусов для Word 97 Marker. Однако, новый вариант вируса не отличается особым разнообразием в своем проявлении на зараженном компьютере.
С шансом 1 из 3-х вирус может изменить свойства инфицированного документа на следующие:
заголовок = "Ethan Frome"
Автор = "EW/LN/CB"
Ключевые слова = "Ethan"

2. VBS/Breberka.A.
Новый интернет-червь, представляющий из себя VBS-скрипт и распространяющийся в виде присоединенного файла к электронным письмам. При рассылке по почте зараженных писем использует MS Outlook. Запускается только в операционных системах с установленным Windows Scripting Host (в Windows98, Windows2000 он установлен по умолчанию).
Сообщение червя имеет следующие характеристики:
Тема: "IQ Test!!!"
Тело: "r u stupid? [Y/N];)))"
Вложение: "Breberka.txt[10 пробелов].vbe"
Червь рассылает свои письма по всем адресам из адресной книги Outlook, плюс к этому на "breberka_counter@seznam.cz". Пытаясь провести пользователя, добавляет пробелы перед расширением .VBS, тем самым маскируя факт, что присоединенный к сообщению файл является VBS-скриптом. В зависимости от настроек системы настоящее расширение файла (".vbs") может быть не показано. В этом случае файл отображается как "Breberka.txt".
При выполнении скрипта вирусные файлы копируются на зараженный компьютер в каталоги:
%Windows%\"winhelp.vbe"
%Temp%\"Breberka.txt[10 пробелов].vbe"
3. Peelf.2132 (он же Lindose, Winux) — неопасный нерезидентный многоплатформенный вирус. Вирус не был пока замечен в "диком виде" и является, по всей видимости, "пробой пера".
После инфекции меняется лишь дата последней модификации, но размер файлов при этом не увеличивается.
Вирус написан на языке ассемблера, его размер около 2,5 Кб. Он заражает файлы Windows PE EXE и Linux ELF файлы. Вирус состоит из двух частей: Windows часть и Linux часть.
Windows часть. Ищет в текущем и верхних каталогах Windows PE и Linux ELF файлы. Тип файла определяется вирусом по формату. Вирус содержит две подпрограммы для заражения каждого типа файлов (Windows-версия подпрограмм заражения).
Linux часть. Ищет в текущем каталоге Windows PE и Linux ELF файлы (определяет формат по структуре файла). Содержит две подпрограммы для заражения каждого типа файлов (Linux-версия подпрограмм заражения).
Заражение Windows PE файлов. Вирус сканирует секции внутри файла. Если в файле есть секция ".reloc", то вирус записывает себя в середину файла. Он сохраняет оригинальный адрес точки входа и возвращает управление оригинальному файлу.
Заражение Linux ELF файлов. Вирус записывает себя внутрь файла по смещению адреса точки входа. Он сохраняет код оригинальной точки входа и восстанавливает файл после окончания работы.
Вирус также содержит строки текста:
[Win32/Linux.Winux] multi-platform virus by Benny/29A
This GNU program is covered by GPL.

АНТИВИРУСЫ
1. F-Secure Anti-Virus v5.21 for Workstations Windows 9X/NT/ 2000.
Разработчик: F-Secure, Финляндия ( http://www.fsecure.com ). Дистрибутив: 13732 Кб. Вирусная база от 29.03.01 г. определяет вирус Magistr.
Новое в версии 5.21: встроенная в интерфейс программы кнопка Update Now для получения последних вирусных баз.
Предназначен для корпораций и малых фирм, стационарных и мобильных компьютерных систем. После инсталляции создает три иконки: для проверки всех локальных дисков, дискеты и папки. Максимально упрощенный интерфейс сводит работу с программой до нажатия одной-двух кнопок.
В программе реализована уникальная технология CounterSign. Она позволяет F-Secure Anti-Virus проверять вирусы, одновременно (!) используя механизмы проверки от двух лучших антивирусов: AVP (Лаборатория Касперского) и F-Prot (компания Data Fellows). Вот почему антивирус конфликтует с монитором AVP, приводя к зависанию Windows98. Приходится отключать AVP...
Возможно подключение (plugin) других сканирующих механизмов. Идея CounterSign начала претворяться в жизнь в октябре 1997 года, когда финская и российская стороны заключили совместный договор о разработке антивируса F-Secure Anti-Virus CounterSign.
Казалось бы, это хорошая идея — сканировать подозрительные области одновременно несколькими антивирусными механизмами.
Предполагалось, что это позволит достичь максимальной безопасности и защиты от любых посягательств на электронную собственность со стороны вирусов. Однако...
Антивирус не может похвастать высокой скоростью сканирования, если не сказать больше... Интересно, кому нужны такие неторопливые антивирусы по такой крутой цене? Видимо, спокойным и терпеливым финским парням:). Правда, стоит признать, что в апрельском тестировании на платформе Windows NT F-Secure Anti-Virus v5.02 получил награду, обнаружив 100% вирусов, встречающихся в диком виде (желающие могут скачать: ftp://ftp.ida.net/pub/ Software/Darby/fsav502.zip). Но это было год назад! А в этом ему похвастать особо и нечем.
В отличие от других антивирусов, даже имеющих специальные вирусные библиотеки, выдает очень подробное описание найденного вируса. Поэтому его смело можно рекомендовать в качестве хорошего электронного справочника.
— Условия распространения — Trial, 90 дней.
— Цена 1 лицензии — 125$.
— Системные требования: 32 Мб ОЗУ и 30 Мб на жестком диске.
— Может выполнять сканирование в фоновом режиме — Real-Time Protection.
— Автоматическое обновление антивирусных баз.
— Обновление программной части выполняется через дистрибьюторскую сеть.
— Настройка действия при нахождении зараженного файла (удалить, переименовать, вылечить автоматически, запрос).
— Технология F-Secure Gatekeeper позволяет обнаруживать и удалять вирусы в реальном времени.
— Сканирование всех файлов или с указанными расширениями.
— В режиме ручного сканирования требуется указать нужную папку.
— Проверяет архивные файлы .ZIP, .ARJ, .LZH и другие.
— Поддерживает английский, немецкий и французский языки.

2. Panda Antivirus 6.0 Platinum. V.6.23.00.
Разработчик: Panda Software Int, Испания (www.pandasoftware.com). Дата выхода 22.01.00г. Дистрибутив: 11838 Mb. Вирусная база включает 56425 вирусов.
После установки Panda Antivirus Platinum превращается в иконку (изображающую мордочку симпатичной панды), которую можно найти в трее. Это одновременно: сканер, монитор, планировщик и настройка всех режимов работы антивируса.
— Только английский язык.
— Поддерживает W95/98/NT W/S, Win 3.1x, DOS или OS/2.
— Условия распространения — Trial, 30 дней.
— Цена 29,95$.
— Обнаруживает и удаляет вирусы из электронной почты (Outlook, Eudora, Pegasus и др.), в известных браузерах (Explorer, Mosaic, Netscape и пр.).
— Контролирует сетевой трафик, может блокировать порты (telnet, http, ftp и др.).
— Встроенный Virus List — краткая библиотека по вирусам, даются лишь основные характеристики.
— Даже имея серийный номер, для выполнения автоматического обновления требуется логин и пароль. Данная версия не рассчитана на автоматическое обновление.
— Действия при обнаружении инфекции: запрет на доступ к файлу, автоматическое лечение, переименование, удаление, запрос пользователя.
— Проверяет архивные файлы.
— Поддерживает паролирование для доступа к разным модулям антивируса.
— Создает аварийный диск.

Вопросы и ответы

— Я раньше думал, что можно уничтожить вирус, если отформатировать весь винчестер. Но мне сказали, что это не поможет. Правда ли это?

Все зависит от того, с каким вирусом Вы столкнулись. Если Вас "донимает" макровирус для Microsoft Word или Excel, то, действительно, выполнив форматирование жесткого диска, можно уничтожить вредную программу.
Однако, существует ряд вирусов, от которых невозможно избавиться, даже форматируя винчестер. За такую живучесть их иногда называют "бессмертными". Между тем, причина подобного "безобразия" кроется в том, что на любом винчестере имеется 0-я дорожка, которая содержит так называемый "внесистемный загрузчик". Он называется MBR — Master Boot Record (главная загрузочная запись). И оказывается, что при обычном форматировании 0-я дорожка не затирается и никак не изменяется.
Но если выполнить команду FDISK /MBR, которая на место MBR записывает стандартный загрузочный сектор, то "горцу" придет конец.

— Что означает знак @ в вирусном ТОП-10?

Вы когда-нибудь пользовались электронной почтой? Да? Так вот, там адрес почты содержит этот знак. Таким образом, нетрудно догадаться, что знак "@" и идущие вслед за ним буквы означают всего лишь одну из разновидностей вируса, указывая на способ его распространения. Например: "...@M" — вирус присоединяется к отправляемым письмам, а "...@MМ" — вирус рассылает себя по всем адресам, найденным в Outlook Express (mass mail messages). Стоит заметить, что при классификации вирусов наиболее широко маркировку "@" использует антивирусная компания McAfee, Panda Software, Symantec.

В газете "Компьютерра" №12 за этот год была опубликована статья "Вирусы не так страшны, как их малюют", из которой следовало, что из десятков тысяч вирусов, которые распознают современные антивирусы, пользователям компьютера угрожают только 800. Получается, что нужен только антивирус ровно на 800 вирусов, не больше. Зачем же тогда включать описания лишних вирусов?

Среди 44542 вирусов, которые известны Антивирусу Касперского на 02.04.01 г., больше половины никогда не выпускались в реальный мир, а отправлялись в лабораторию вирусмейкерами (авторами вирусов). Из оставшихся большое количество не может широко распространится из-за содержащихся в них ошибках и недоработках. И только около двух тысяч вирусов могут атаковать Вашу компьютерную систему. Однако, 80% из них обнаруживается всеми антивирусными программами, и вероятность заражения ими мала. И только 2-3 сотни вирусов могут реально угрожать вашему компьютеру. (Тут никакой тайны нет. И данный факт известен давно). Но даже 1 (ОДНОГО!) может хватить, чтобы напрочь стереть всю информацию с Вашего родного винчестера, удалив плоды многомесячной или многолетней работы. И Вам тогда будет все равно, кто виноват: дикий (wild) вирус или лабораторный (zoo)!
Теперь становится понятно, почему разработчики антивирусных программ не ленятся добавлять в свои базы те вирусы, которые не существуют в "природе". Всегда есть вероятность, что кто-нибудь сможет придумать их заново. И если это случится, то антивирус без проблем его распознает.

Вирусный ТОП-10. Март 2001
1. W32/Apology-B
(он же I-Worm.MTX) — 17.2%
2. VBS/Kakworm — 14.4%
3. W32/Hybris-B — 10.3%
4, 5 VBS/Lovelet-AS
и W32/Magistr-A — по 3.8%
6, 7. Troj/Jethome и W32/Naked — по 3.4%
8, 9 W32/Navidad-B и WM97/Marker-C — по 3.1%
10. W32/Bymer-A (он же Worm.RC5.b или W32/MSINIT.WORM) — 2.4%
Другие — 35.1%
Источник: www.sophos.com . (В марте 2001 г. антивирусная компания Sophos обнаружила и исследовала 867 новых вирусов.)

Опрос
Насколько Вас устраивает Ваш антивирус?
— На все 100! — 49%
— Вполне, только тормозит немного — 29%
— На безрыбье и рак рыба — 8%
— Совсем не устраивает — 8%
— А мне он и не нужен! — 5%
Всего ответов: 321
Источник: www.viruslist.com

Новости

Microsoft закрывает новую лазейку в Internet Explorer
Компания Microsoft выпустила очередной бюллетень по безопасности, в котором предупреждает пользователей об обнаружении нового недостатка в защите Internet Explorer (версий 5.01 и 5.5) и рекомендует установить со своего сайта специальную "заплатку", устраняющую эту ошибку.
"Дыра" в безопасности, позволяющая злоумышленникам выполнять свои программы на пользовательских машинах, связана со способом обработки Internet Explorer-ом закодированного текста — использованием MIME-стандарта (Multipurpose Internet Mail Extensions). MIME-стандарт обычно используется для отправки данных, которые не могут быть сохранены как обычный текст, например, электронные письма в HTML-формате и присоединенные файлы.
Если злоумышленник посылает электронное письмо в HTML-формате, содержащее вложенный выполняемый файл, и при этом изменяет тип MIME-заголовка на некорректный, то Explorer на машине жертвы не сможет определить тип вложения и запустит этот файл автоматически при получении электронной почты. Используя эту уязвимомость, злоумышленник может выполнить на атакуемом компьютере любые действия, включая добавление, изменение или удаление каких-либо данных, соединение с каким-либо Web-сайтом, запуск на выполнение вирусного файла, форматирование жесткого диска и т.д.
"Заплатка", устраняющая вышеупомянутую ошибку в Internet Explorer, расположена по адресу: http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp .
Источник: www.Newsbytes.com, 2 апреля 2001 г.

Антивирус Stop! для Windows
Выпущена новая версия антивируса "Stop!" для Windows 95/98/ME/NT4/2000. Версия 3.00 build 472. В эту версию была включена новая технология аналитического поиска неизвестных "Антивирусу Stop!" троянских программ, предназначенных для воровства конфиденциальной информации пользователей. Кроме того, новая технология позволяет обнаруживать обновленные версии и модификации ранее известных "троянцев". Источник: www.dizet.com.ua/, 01.04.01.

Сбои в модуле обновления Антивируса Касперского
На некоторых операционных системах Windows98 при проведении обновления "Антивируса Касперского" из "Локальной папки" выходит из строя модуль автоматического обновления. Для тех, у кого появляется данная ошибка, мы рекомендуем скачать файл AVPUPD.DLL и заменить его на своих компьютерах. Директория:
"C:\Program Files\Common Files\ AVP Shared Files\AVPBasses"
Скачать файл AVPUPD.DLL: http://www.antiviruspro.ru/avp/update/AVPUpd.dll . Источник: http://www.antiviruspro.ru/ 30.03.01

Новый информационный сервис от Doctor Web
В конце марта на web-сайте http://www.dials.ru появился новый сервис. Он позволяет выполнить запрос в вирусную базу данных программ семейства Doctor Web по имени интересующего Вас вируса, по дате его появления в основной вирусной базе или же по номеру версии программы. Для выполнения запроса Вам необходимо заполнить поля приведенной выше формы и нажать на кнопку "Отправить запрос". В ответ на запрос Вам будет выдана таблица, где будет указано название вируса, номер версии программ Doctor Web, начиная с которой вирус был включен в основную вирусную базу, и дату выхода этой версии. Для вирусов, которые пока еще не были включены в основную вирусную базу, указывается также номер дополнений к вирусной базе. Источник: http://www.dials.ru/ 28.03.01

McAfee выпустила ePolicy Orchestrator 2.0 Beta
Network Associates, Inc. объявила о выходе бета-версии ePolicy Orchestrator 2.0 — системы централизованного управления антивирусной защитой нового поколения.
Новые возможности ePolicy Orchestrator (ePO) 2.0:
— Упрощенная процедура установки и внедрения ePO: инсталляционный пакет теперь занимает 150 вместо 250 Мб, время установки — 30 минут вместо 90 минут у ePO 1.1.
— ePO 2.0 более не требует под себя выделенного сервера и может быть установлен на любой имеющийся в организации сервер, в том числе с MS BackOffice Server.
— Поддержка Windows 2000 Server / Advanced Server в качестве платформы для сервера ePO 2.0 и Windows 2000 Professional / Server / Advanced Server — для консоли ePO 2.0.
— Поддержка Windows Millennium Edition в качестве платформы для агента ePO 2.0.
— Архитектура базы данных ePO теперь 100% основана на MSDE/MS-SQL.
— Внедренные в установочный пакет агента ePO 2.0 права администратора домена позволяют устанавливать агента с помощью средств 3-х фирм, а также посредством Login Scripts или вручную пользователями.
— Упрощенный процесс сохранения и восстановления данных позволяет администратору осуществлять резервное копирование базы за один шаг.
— Взаимодействие между сервером и агентами ePO 2.0 создает гораздо меньший трафик за счет передачи только произошедших за период изменений в политике.
— В процессе инсталляции ePO 2.0 устанавливается MS-MSDE/SQL Service Pack 3.
— Возможность задать каталог для установки агентов ePO и антивирусного ПО на рабочие места и сервера.
— Усовершенствованный AV Informant.
— Дополнительные готовые отчеты.
— И многое другое.
Бета-версия ePolicy Orchestrator 2.0 доступна для всех желающих: www.mcaffe.com.
Выход финальной версии ePO 2.0 запланирован на май 2001 года.
Источник: www.mcafee.ru, 29.03.2001

По материалам
www.viruslist.com
Дежурный по карантину
Доктор МакроФаг macrofag@hotbox.ru


(c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 14 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2021 Компьютерная газета