Зри в корень!

Антивирусное обозрение "Зри в корень!"
Козьма Прутков.

Что такое компьютерный вирус?
Это, казалось бы, простой вопрос. Каждый мало-мальски знакомый с компьютером человек знает, что такое вирус. Однако, не каждый может дать ему хорошее определение.
Одно из самых известных толкований принадлежит В.Э.Фигурнову, чья книга "IBM PC для пользователя" известна многим читателям еще с середины 80-х годов.
"…Это специально написанная небольшая по размерам программа, которая может приписывать себя к другим программам (т.е. заражать их), а также выполнять различные нежелательные действия на компьютере."
Слово предоставляется вирусологам — борцам с электронной заразой.
Е. Касперский, автор антивируса Касперского (бывший AVP). "... программа (т.е. некоторая совокупность выполняемого кода), которая может создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, вычислительные сети и т.д. При этом копии сохраняют способность дальнейшего распространения. "
Безруков Н.Н. один из первых отечественных вирусологов. В конце 1980-х и начале 1990-х годов, проживая и работая в Киеве, опубликовал ряд книг на вирусологическую тему, среди которых "Компьютерная вирусология". Компьютерный вирус — это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере.
Весселин Бончев, известный вирусолог."...это последовательность символов, которая, будучи интерпретирована компьютером, добавляет себя к другим символьным последовательностям, чтобы компьютеры, интерпретируя их, в дальнейшем рекурсивно распространяли (возможно, модифицированную) исходную последовательность."
Фред Коэн, теоретик вирусологии, автор термина "компьютерный вирус". "...программа, которая может инфицировать другие программы, модифицируя их с целью внедрения в них возможно измененной копии себя". А вот еще несколько определений:
Универсальная энциклопедия ( http://mega.km.ru/bes_98 ). КОМПЬЮТЕРНЫЙ ВИРУС, программа ЭВМ, способная без ведома пользователя и вопреки его желанию самопроизвольно размножаться и распространяться, нарушая работоспособность программного обеспечения ЭВМ (отсюда его название по аналогии с болезнетворным вирусом). Впервые появился в нач. 1980-х гг. в США. К 1995 насчитывалось несколько десятков разновидностей компьютерных вирусов. Для борьбы с ними разрабатываются антивирусные программы.
Толковый словарь русского языка ( http://mega.km.ru/ojigov ). Компьютерный вирус (спец.) — специально созданная небольшая программа (в 6 знач.), способная присоединяться к другим программам ЭВМ, засорять оперативную память и выполнять другие нежелательные действия. (Чем-то похоже на определение Безруков Н.Н.).
Энциклопедия компьютеров ( http://mega.km.ru/pc ). Компьютерные вирусы — это программы, способные распространяться самостоятельно, дописывая свой код для этого к файлам или в служебные области диска.
Вот теперь Вы наверняка знаете, что такое компьютерный вирус! Но если у Вас есть лучшее определение, отличное от других, то Вы можете поделиться им с читателями, сообщив по адресу, указанному внизу статьи.

Новые вирусы
Здесь лишь малая часть "появившихся" вирусов в диком виде. Мы хотим убедить пользователей компьютерных систем применять антивирусные средства и вовремя их обновлять.
1. TROJ_SCOUT.A. Троянский конь, ворует на инфицированной машине сетевые и Windows пароли, после чего отсылает их по электронной почте своему автору. При запуске инсталлируется в систему и затем остается в памяти Windows как скрытый процесс. Троянец копирует свой основной файл в каталог Windows под именем OELZ.EXE, а также DLL-компоненту — OELZ.DLL в системный каталог Windows. Компонента троянца предназначена для сбора паролей на компьютере жертвы и записи этой информации в файл OELZ.LOG в системном каталоге Windows. Троянец также регистрирует свой основной файл в системном реестре:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]"OELZ = OELZ.EXE"
Поскольку троянец выполняется как процесс, он будет видимым в панели задач в Windows NT, но не буден виден в Win9x.

2. WM97/Bablas-BQ.
Новая модификация макро-вируса для Word, обнаружен в диком виде. Вирус безобиден и не совершает никаких деструктивных действий. Проявляет себя на зараженном компьютере по пятницам, выдавая сообщение.

3. Troj/Futs.
Троян, предназначенный для внедрения на компьютеры, работающие под Novell NetWare. Обнаружен в диком виде. Удаленный пользователь, используя клиентскую часть трояна, имеет возможность с помощью специальной консоли выполнять различные действия на зараженном сервере NetWare.
После выполнения троянской программы на дисплей удаленного "клиента" выводится окно, содержащее различные опции, которые дают ему возможность производить различные действия на инфицированном сервере NetWare, включая следующие: заполнение локального жесткого диска, уничтожение CMOS, уничтожение всех файлов на локальном жестком диске, непрерывная подача сервером звукового сигнала, создание различных запросов, активация многопользовательской чат-системы.
Троян также содержит опцию "boss screen", которая позволяет вывести на дисплей зараженной машины ложное окно как бы редактора Borland Pascal 7.0.
Помимо этого троян записывает на инфицированный компьютер файловый вирус "BW-770-b", представляющий собой выполняемый DOS-файл.
Дроппер троянца поражает файлы DOS (COM и EXE) в текущем каталоге, увеличивая их длину на 770 байт.
Вирус проявляет себя на зараженной машине, время от времени выполняя следующие действия:
— показывая сообщение: "Don't be a fool, fuck the school".
— предпринимая попытки отформатировать жесткий диск.
— заставляя компьютер беспрерывно подавать звуковой синал, избавиться от которого можно лишь перезагрузкой системы.
BW-770-b был создан при помощи конструктора вирусов под названием "Biological Warfare".

АНТИВИРУСЫ
1. F-PROT аnti-virus program Version 3.09. Разработчик: Frisk Software Int., Исландия (http://www. europe.datafellows.com). Дистрибутив: 1272 Кб (ZIP — архив). Версия от 02.04.01 г. определяет свыше 53600 вирусов и троянов.
F-PROT — это всего лишь одна-единственная программа — сканер, который работает исключительно под DOS. Возможно, вы будете этим разочарованы, но, как показали февральские тесты, проводимые журналом Virus Bulletin, F-PROT (это была версия 3.08) оказался одним из шести антивирусов, способных обнаружить и обезвредить 100% предложенных вирусов и троянов. Как говорится, мал да удал (в архиве умещается на одну дискету)! В разработке антивирусной программы принимает участие около 20 человек. Распространяется с сайта фирмы DATA FELLOWS. Скачивать отсюда: ftp://ftp.europe.f-secure.com/anti-virus/free .
Вот некоторые характеристики F-PROT:
— Условия распространения — Shareware.
— Цена лицензии на 1 компьютер — 1$.
— Эвристический анализ: обнаружение новых почтовых "червяков", использующих массовую рассылку писем (...@MM), среди которых LoveLetter и Anna Kournikova, без необходимости обновления антивирусной базы.
— Сканирование зашифрованных скриптовых вирусов.
— Обнаружение вирусов в файлах ZIP, ARJ, CAB, LZH и UU-encode.
— Сканирование на вирусы PHP- и Visio-файлы.
— Действия при обнаружении вируса: отчет, лечение, удаление, переименование, запрос.
— Обновление — вручную, путем скачивания антивирусных баз с FTP и WWW-серверов.
— Требования к системе — 2 Мб свободного места на диске.

2. The Cleaner 3.2 for WIN95/98/ME/NT4/2000.
Разработчик MooSoft Development, Нью-Мексико, США ( http://www.moosoft.com ). Дистрибутив: 1825 Кб. База данных от 10.04.01г. включает 3171 вирусное определение (684 троянов с 2487 вариациями).
Этот антивирусный комплекс предназначен только для борьбы с троянами и аналогичными им программами.
Комплекс состоит из трех программ: The Cleaner — собственно сканер, TCMonitor — утилита для отслеживания важных файлов и ключей реестра, и TCActive! — программа, которая отлавливает троянов перед тем, как они успеют загрузиться в вашу систему. Загружать отсюда: http://dynamsol.ulink.net/files/cleaner3.exe .
По сравнительным тестам, приведенным на сайте, The Cleaner, Version: 3.1 сканирует файлы в 4,5 раза быстрее, чем антивирус Касперского (AntiViral Toolkit Pro, Version: 3.0 build 131) . Обнаружила 472 трояна, в то время как AVP — только 306, а Norton Antivirus 2000 — 118. The Cleaner может похвастаться высокой оценкой — 5 коров, полученной им на сайте TUCOWS ( www.tucows.com ).
— Условия распространения — Trial, 30 дней.
— Цена лицензии на 1 компьютер — 29.95$.
— Сканирование внутри компрессированных файлов.
— Автоматическое удаление троянов после сканирования.
— Игнорирование определенных пользователем файлов и директориев.
— Выполняет резервирование (backup) удаленных файлов.
— Обновление автоматическое, через Интернет.
— Требования к системе — 2 Мб свободного места на диске.

Вирусный ТОП-10.
04-11 апреля 2001г.
VBS/LoveLetter@MM
APStrojan.qa@MM
W32/FunLove.gen
W95/MTX.gen@M
W95/CIH.1003a
W95/MTX.dll@M
W32/Hybris.plugin@MM
W95/Spaces.1445
W97M/Marker.gen
VBS/Happy.b
Источник: www.mcafee.com

Опрос
Вирусы заражают компьютеры, потому что пользователи...
Во всем виноваты антивирусные компании — 38%
Слишком легкомысленные — 21%
Не имеют надежного антивируса — 16%
Слишком самоуверенные — 11%
Не знают, что это такое — 9%
На самом деле от пользователя это не зависит — 5%
Всего ответов: 1158
Источник: www.viruslist.com .

Дежурный по карантину Доктор МакроФаг macrofag@hotbox.ru
По материалам www.viruslist.com


Новости

Magistr идет по следам известного вируса "Чернобыль"
Ввиду многократно возросшего количества сообщений о случаях заражения вирусом Magistr "Лаборатория Касперского" считает необходимым еще раз предупредить о реальной опасности, которую представляет данная вредоносная программа, и рекомендует провести полную проверку всех дисков Антивирусом Касперского с установленными самыми свежими обновлениями и максимальной глубиной сканирования.
Как известно, ровно через месяц с момента проникновения на компьютер Magistr уничтожает все данные на локальных и сетевых дисках, сбрасывает данные в памяти CMOS и стирает содержимое микросхемы FLASH BIOS. Учитывая, что первые случаи заражения вирусом были зарегистрированы в период с 13 по 15 марта, "Лаборатория Касперского" предполагает, что в середине — второй половине апреля может пройти настоящая лавина серьезных инцидентов, вызванная вирусом Magistr. Результатом этого может стать потеря важных данных и порча аппаратной части компьютеров.
"Мы относим Magistr к разряду так называемых "спящих" вредоносных программ, которые незаметно "живут" на компьютерах пользователей до тех пор, пока не приходит время активизации деструктивной функции вируса", — комментирует Денис Зенкин, руководитель информационной службы компании. Действительно, почти два года назад то же самое произошло с вирусом "Чернобыль": никто не верил в факт его существования и некоторые даже попытались обвинить "Лабораторию Касперского" в раздувании вирусной истерии. Однако вскоре наши предсказания сбылись, и 26 апреля 1999 г. на сотнях тысяч компьютеров по всему миру была уничтожена информация и испорчены микросхемы.
Основание полагать, что подобное произойдет и с вирусом Magistr, дает значительно возросшее количество сообщений от конечных пользователей о случаях проникновения вируса на их компьютеры. "Особенность Magistr заключается в том, что он сохраняет в своем теле адреса электронной почты десяти компьютеров, которые ранее подверглись заражению и, возможно, до сих пор содержат вирус, — рассказывает Евгений Касперский, руководитель антивирусных исследований, — анализ этих списков рисует весьма пеструю географию распространения этого вируса: Польша, Бразилия, Словакия, Испания, Россия, Украина, Франция, Чехия, Швейцария, США, Великобритания и многие другие страны".
На основании имеющихся данных о масштабах распространения вируса "Лаборатория Касперского" считает, что он до сих пор остается незамеченным на более чем 5 тысячах компьютеров по всему миру. "Необходимо отметить, что это число является лишь верхушкой айсберга, в то время как реальный размах эпидемии оценить практически невозможно", — добавил Евгений Касперский.
Далеко не все антивирусные программы способны обнаружить и эффективно удалить столь технологически совершенный полиморфный вирус, как Magistr. Учитывая это, Лаборатория Касперского предлагает пользователям других антивирусов загрузить ознакомительную версию Антивируса Касперского, установить последние обновления антивирусной базы и проверить программой свои компьютеры.
06.04.01г. www.viruslist.ru

Trend Micro представляет альтернативную систему антивирусной защиты для Microsoft Exchange 5.5
Trend Micro объявила о начале поставки ПО ScanMail v3.6 for Microsoft Exchange 5.5 Server. Этот продукт был разработан в качестве альтернативного — основанного на применении интерфейса прикладного программирования Microsoft Extensible Storage Engine Application Program Interface (ESE API) — антивирусного решения. Exchange Server использует ESE для записи в БД и выборки различной информации, включая тело сообщения, присоединенные файлы и атрибуты почтового отправления.
Настоящий анонс означает, что Trend Micro предлагает теперь сразу две версии антивирусного ПО ScanMail для сервера Exchange 5.5: ScanMail v3.6, использующую ESE API и выпущенную еще в марте прошлого года версию ScanMail v3.51, основанную на новом интерфейсе прикладного программирования Microsoft Anti Virus Application Program Interface (AVAPI).
Теперь клиенты Trend Micro могут выбирать любой из двух API-интерфейсов в зависимости от своих индивидуальных потребностей в области обмена сообщениями. Каждая из двух систем рассчитана на работу с Microsoft Exchange 5.5 и предназначается для защиты корпоративных сетей от распространяемых по электронной почте вирусов на рубеже сервера Exchange, еще до того, как они получат шанс достичь пользовательского настольного ПК, внедриться в него и начать дальнейшее распространение или вмешаться в работу почтового сервера.
Вплоть до момента перевода почтовой системы на Microsoft Exchange 2000 можно будет пользоваться как ScanMail v3.51, так и ScanMail v3.6. Применение ESE API позволяет ScanMail v3.6 for Exchange 5.5 осуществлять сканирование всей входящей и исходящей корреспонденции и присоединенных файлов прямо в хранилище Information Store — еще до их распределения по почтовым ящикам пользователей.
Благодаря ESE API удается обходиться сканированием только одного экземпляра каждого письма (а следовательно, выполнять эту работу быстрее) и гарантировать прохождение контроля каждым присоединенным файлом независимо от степени загруженности сервера. В числе предусмотренных разработчиками ScanMail v3.6 способов реагирования на обнаружение вируса — уведомление отправителя, получателя и администратора, внесение подробной записи в регистрационный журнал и генерация отчетов. Копии всех продуктов Trend Micro для оценочного тестирования можно получить на сайте http://www.apl.ru .
Источник 30.03.01 http:// www.apl.ru

Ответ компании Microsoft на Internet-вирусы
Не получится ли так, что лекарство опаснее самой болезни?
Отвечая на вспышку эпидемии e-mail-вирусов, которая началась с появления червей Melissa и I Love You, Microsoft ограничивает типы вложений в электронную корреспонденцию, с которыми сможет работать новая версия программы Outlook.
Приложение Outlook 2002, включенное в будущий комплекс бизнес-приложений Office XP, который планируется выпустить этой весной, по умолчанию будет отвергать файлы более чем 30 типов, включая такие распространенные, как файлы исполняемых программ, командные файлы, файлы помощи Windows и скрипты Java и Visual Basic. Блокируются также изображения photo CD, скринсейверы и файлы HTML-приложений.
Противники данного плана Microsoft утверждают, что компания значительно затрудняет распространение традиционной — и безвредной — информации по e-mail.
Outlook 2002 не блокирует сообщения с вложенными запретными файлами, но отказывается открывать или загружать их. Например, в тестах, проведенных CNET News.com, Outlook 2002 отказался выполнять exe-файл Palm.exe, вложенный в сообщение e-mail.
Сообщение, выведенное на ПК получателя, гласило: "Outlook блокирует доступ к следующим потенциально небезопасным вложениям: palm.exe". Отправлять запретные файлы можно, но программа выдает сообщение: "Получатель, использующий Microsoft Outlook, может не открыть эти вложения".
Решительные шаги в отношении вложений e-mail со стороны Microsoft не новость. После вспышки эпидемии вируса I Love You компания предложила поправки для Outlook 97 и Outlook 2000, ограничивающие доступ к некоторым e-mail-вложениям. Кроме того, в конце прошлого года Microsoft ввела такое ограничение во второй сервисный пакет Office 2000. Но в обоих случаях отдельные пользователи и компании могли выбирать, воспользоваться ли им данными поправками.
Пользователи же Outlook 2002 будут вынуждены применять новое средство защиты.
Отдельным пользователям почти невозможно, а корпорациям очень трудно запретить его. "Чтобы обеспечить уровень защиты, требуемый многими нашими заказчиками, а также гарантировать, что людям будет известно о качественных протоколах e-mail, нам пришлось принять более суровые меры", — поясняет менеджер продукта Office XP Лайза Гарри (Lisa Gurry).
Для двух групп компаний, которые часто отправляют файлы по e-mail — служб технической поддержки и разработчиков ПО, — Outlook 2002 становится неприемлемым. Зато всем остальным, по утверждению Microsoft, работать станет безопаснее. Однако есть возражения, что метод блокировки доступа к файлам, принятый Microsoft на вооружение, не решает реальной проблемы, которая заключается в способе взаимодействия файлов определенного типа с Outlook и Windows.
10.04.01 http://www.antiviruspro.ru

(c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 15 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2024 Компьютерная газета