Первое поколение виртуального оружия уничтожает твои программы. Второе... может убить и машину. Перегрев процессора, стирание или перешив БИОСа, прожигание монитора.

Антивирусное обозрение "Первое поколение виртуального оружия уничтожает твои программы. Второе... может убить и машину. Перегрев процессора, стирание или перешив БИОСа, прожигание монитора."
"-- Понял! — радостно вопит Маг. — Ты вирус встроил в тело!..
— Не вирус, — слегка шепеляво отвечает Маньяк. — Фрагменты вируса..." Сергей Лукьяненко, "Фальшивые зеркала".

В этом году мир может отметить своеобразный юбилей. Четыре года назад он столкнулся с тем, что Сергей Лукьяненко назвал "виртуальным оружием второго поколения". Через 13 лет после настоящего Чернобыля примерно каждый десятый пользователь в мире столкнулся с Чернобылем электронным.

Оружие второго поколения
С середины 80-х годов и до конца 90-х годов был известен только один программный алгоритм, приводящий к выжиганию" люминофора на монохромных дисплеях выпуска начала 80-х. Потом — затишье.
Сменяется несколько поколений компьютерной техники. И в конце 20-го столетия компьютеры становятся более умными (способными обновлять свои BIOSы) и... восприимчивыми к новым деструктивным действиям со стороны вредных программ.
Появляются алгоритмы, способные вывести из строя материнские платы.
1997 год. Cтудент пятого курса тайваньского технологического института Tatung Чен Инг Хау пишет вирус, называя его CIH ("Чих"), по своим инициалам (Chen Ing-Hau). Этот год можно считать неофициальным годом начала создания "виртуального оружия второго поколения".
CIH поражает Windows 95/98 и по 26-м числам каждого месяца, через механизм VxDCall записывает на винчестер случайную информацию, уничтожая содержимое Master Boot Record, Boot-сектора, обеих таблиц FAT и отдельные фрагменты данных, а также портит содержимое FLASH BIOS современных материнских плат. Именно FLASH BIOS отвечает за загрузку компьютера и его взаимодействие со всякой периферией. В случае ее повреждения компьютер просто перестает загружаться с винчестера, с дискеты или с CD-RROMa. Все, что видит пользователь, — это черный экран.
Попортив 26 апреля несколько институтских компьютерных систем, вирус успокаивается и переходит в спокойную стадию естественного размножения. Автора вируса вычисляют (угадайте, как?), но... он отделывается только выговором. Чен успешно заканчивает свое обучение и отправляется на срочную службу в армию.
1998 год. 26-е апреля приходится на воскресенье, большинство зараженных компьютеров в этот день просто не включают, но все равно вирусу удается нанести ощутимый ущерб. Но он не носит такого глобального характера, как в следующем году. Летом 1998 года все антивирусные службы сообщают о новом вирусе и вносят его в базы данных своих антивирусных программ.
1999 год. 26 апреля — понедельник. Более миллиона (кое-кто говорит о 5 миллионах!) включенных компьютеров по всему миру отказались работать. Одни сообщали о том, что загружать операционную систему ему неоткуда, а другие не подавали признаков электронной жизни, что очень походило на поломку блока питания. Американские фирмы, наученные горьким опытом вируса Melissa, чья эпидемия случилась немного раньше (пострадало 100 тысяч компьютеров, ущерб составил 80 млн долларов), обновляют антивирусы. Это их и "спасает". Они отделываются "малой кровью": повреждения получают около 10 тысяч компьютеров. И это по всей Америке, обладающей самым крупным в мире парком компьютерной техники! А вот небольшой Турции, пользующейся пиратским софтом, явно не везет — 300 тысяч компьютеров смог отметить своим смертельным дыханием килобайтный вирус.
В апреле этого же года WIN95.CIH получает свое второе, неофициальное имя — "Чернобыль", которое подчеркивает его разрушительную силу.
Всему миру становится известно настоящее имя автора вируса. Наш "герой" Чен Инг Хау, проходящий, как Вы помните, службу в армии, получает несколько суток содержания под стражей. Однако, ни одна из тайваньских компаний так и не подает на него иск, и поэтому создателя "Чиха" отпускают. После демобилизации он находит работу в Wahoo International Enterprise, которая делает Linux-операционки в качестве высокооплачиваемого тестера компьютерного оборудования.
2000 год. Появляется вакцина против "Чиха" — NOCIH.EXE, рассылаемая по электронной почте, на поверку оказывающаяся безвредным вирусом Win32.Santana. 26 апреля — среда. Компьютерный народ предупрежден (спасибо прессе) и защищен (спасибо антивирусным компаниям). Но все равно вирус находит свои жертвы! Одна из которых — сам автор вируса.
Осенью, 18 сентября Чен Инг Хау снова задерживают. На этот раз иск есть! Но не от компьютерных компаний, а от некоего студента, чей компьютер пострадал от "Чернобыля". Чену грозит 3 года заточения.
2001 год. История пишется на наших глазах. Пока здесь белое пятно, но ненадолго. Скоро 26 число, и мы узнаем, кто пользуется антивирусными программами, а кто предпочитает терять информацию по собственной глупости. Кто предупрежден, тот спасен!
Но сегодня "Чих" уже не одинок. Сейчас довольно много компьютерных вирусов используют в качестве цели FLASH-память компьютера-жертвы. Таков, например, I-Worm.Magistr — один из самых опасных и вредных вирусов, появившихся в этом году.
Не нужно много усилий, чтобы защитить свою компьютерную систему от виртуального оружия второго поколения. И всего-то нужно: войти в Интернет и скачать антивирус. Так сделайте это.

Информация к размышлению
Win95.CIH. Очень опасный резидентный вирус. Заражает файлы в формате .EXE PE под управлением операционной системы Windows 95/98. При заражении файлов вирус не увеличивает их длины, а использует кодовые секции EXE PE файла, которые выровнены на определенное количество байт и, обычно, не используются программой. В такие области вирус и записывает части своего кода, "разбрасывая" их иногда по всему файлу или по кодовым секциям.
Вирус также может записать свою стартовую процедуру или даже весь свой код в область заголовка EXE PE файла и установить точку входа программы на эту стартовую процедуру. Таким образом, точка входа файла может не принадлежать ни одной кодовой секции файла.
При получении управления вирус выделяет себе блок памяти посредством вызова функции PageAllocate и "собирает себя по частям" в единое целое в этом выделенном участке памяти. Далее Win95.CIH перехватывает IFS API и отдает управление программе-вирусоносителю. При открытии файлов с расширением .EXE и форматом PE вирус инфицирует их.
В настоящее время существует три модификации СIHа. Активизируется 26 апреля (версия 1.2 и 1.3) и 26 числа каждого месяца (версия 1.4). Размер составляет 1003, 1010 или 1019 байт:
Win95.CIH.1003 — CIH v1.2 TTIT
Win95.CIH.1010 — CIH v1.3 TTIT
Win95.CIH.1019 — CIH v1.4 TATUNG
После активизации CIH уничтожает содержимое Flash BIOS, записывая в него случайные данные ("мусор").
Как правило, даже в промышленных условиях восстановить содержимое Flash BIOS и вернуть работоспособность компьютеру достаточно сложно.

Новые вирусы
Здесь — лишь малая часть "появившихся" вирусов в диком виде. Мы хотим убедить пользователей компьютерных систем применять антивирусные средства и обновлять их вовремя.
1. I-Worm.Badtrans. Вирус-червь, заражающий системы под управлением Win32. Рассылает себя в электронных письмах и устанавливает троянскую программу, ворующую пароли с зараженной машины. Червь был обнаружен в апреле 2001.
Червь является 13-килобайтной Win32-программой. Упакован при помощи UPX и имеет размер около 13K (распакованный файл имеет размер около 40K).
Имеет двухкомпонентную структуру: состоит из двух независимых частей, которые выполняются независимо друг от друга. Этими компонентами являются: червь, рассылающий электронные письма, и троян, ворующий пароли.
Компонента-червь работает по принципу, напоминающему другой почтовый вирус-червь "I-Worm.ZippedFiles"(aka ExploreZip) — червь ищет все не отвеченные письма в ящике "Входящие" и отвечает на них. Эта процедура содержит небольшую неточность, что может вызвать неограниченное количество отправляемых писем и, таким образом, переполнить почтовые серверы и "забить" трафик зараженными письмами.
Троянская компонента является вариантом уже известного трояна "Trojan.PSW.Hooker". Она отсылает информацию с зараженного компьютера на адрес: ld8dl1@mailandnews.com .
Червь доставляется на компьютер жертвы в виде сообщения электронной почты, имеющего строку "Take a look to the attachment" в теле письма и вложенный файл, имя которого случайным образом выбирается из встроенного в тело червя списка.
Помимо организации утечки конфиденциальной информации, червь, при определенных условиях, может вызвать другой побочный эффект, результатом которого является существенное увеличение почтового трафика между зараженными машинами и, в некоторых случаях, даже "падение" почтовых серверов. В принципе, червь применяет специальные действия, чтобы не отвечать на одно и то же письмо дважды и чтобы не отвечать на собственные письма. Для этого он записывает в конец поля "Тема" два пробела (маркер, по которому червь опознает свои письма).
Однако, это не всегда срабатывает. Большинство почтовых серверов удаляют пробелы в конце поля "Тема", и, таким образом, червь не в состоянии опознать собственные письма и, естественно, отвечает на них. В результате пара зараженных компьютеров начинают постоянно обмениваться зараженными письмами, что может парализовать почтовые серверы и "забить" Интернет-каналы.
Более того, в некоторых случаях, в зависимости от установленного почтового клиента, два пробела (маркер) не записываются в конец поля "Тема". В результате червь в бесконечном цикле начинает отвечать на все письма, и число отосланных и принятых писем на одном компьютере достигает нескольких тысяч всего за одну минуту.

2. WM97/Buendia-B.
Макровирус для Word97, проявляет себя на зараженном компьютере по 28 числам каждого месяца, показывая сообщение: "HOY ES UN BUEN DIA". Затем ждет одну минуту и выводит следующее сообщение: "LUCY POR SIEMPRE TE RECORDARE atte: JAIRO".

3. WM97/Marker-GZ.
Макровирус для Word97 — ничем не примечательный вирус из семейства Macro.Word97.Marker. Marker-GZ ведет log-файл своих инфекций и сохраняет его в C:\pagefile.log.

Антивирусы
Сегодня в списке программ — антитроянские утилиты.
1. Trojans First Aid Kit 4.5 (TFAK 4.5). Разработчик: KryptoCrew, Германия ( www.kryptocrew.de/snakebyte ). Дистрибутив: 1994 Кб (ZIP — архив). Версия от 12.10.00г. обнаруживает и удаляет 481 трояна.
Trojans First Aid Kit — это программа, которая позволяет компьютерному пользователю находить и удалять трояны, которые могут быть на Вашей машине. В отличие от других антитроянских программ, TFAK 4.5 дает пользователю полный контроль над трояном. Создатель утилиты — SnakeByte, один из членов хакерской группы KryptoCrew. Скачивать отсюда: http://www.kryptocrew.de/download/Tfak4_5.zip .
— Условия распространения — Freeware (для персонального использования).
— Работает под операционными системами W9Х/NT/2000/ME.
— Язык интерфейса: английский.
— Отсутствие поддержки со стороны разработчика.
— Реализован эвристический анализ (нахождение неизвестных троянов). Может сообщать о файлах, которые не являются троянами: Frewalls, ICQ Netdetect и другие.
— Действия при обнаружении трояна: автоматическое удаление, запрос на удаление, отчет.
— Показывает список запущенных процессов с возможностью удаления любого из них и сохранения списка в отдельном файле.
— Показывает все подозрительные места в системе, откуда возможен автозапуск троянов.
— Проверяет работающие программы (не для NT).
— Сканирует порты локальной машины.
— Сканирует порты удаленной машины (по IP-адресe) на наличие известных троянов.
— Сканирует определенный порт в указанном диапазоне IP-адресов на наличие известных троянов.
— Управление трояном, найденным на локальной (или удаленной) машине.

2. Tauscan v. 1.5 build 0920.
Разработчик: Agnitum Ltd, Кипр ( www.agnitum.com ). Дистрибутив: 1550 Кб. База данных от 08 апреля 2001 года включает 2098 различных модификаций и вариантов троянов. Предназначен только для борьбы с троянами. Рекомендуется как домашним, так и корпоративным пользователям компьютерных систем. Состоит из двух основных частей — сканера Tauscan и монитора Tau Monitor. Для удобства утилита обновления вынесена в отдельную программу. Скачивать отсюда: http://www.agnitum.com/download/tauscan.exe .
— Условия распространения — Trial, 30 дней.
— Стоимость 29.95$ (включает бесплатное получение новых версий в течение года).
— Техническая поддержка: ответ на запрос пользователя программы в течение 24 часов.
— Работает под операционными системами W9Х/NT/2000/ME.
— Язык интерфейса: английский.
— Сканер Tauscan включает что-то вроде библиотеки по обнаруживаемым троянам, где они сгруппированы по классам (почтовые, удаленный доступ, FTP, telnet и другие) с указанием кратких характеристик.
— Tau Monitor показывает список работающих процессов, позволяя удалить запущенный троян или снять (kill) любую задачу.
— Улучшенный анализатор троянов позволяет находит троянов даже тогда, когда они замаскированы (например, присоединены к инсталлятору).
— Действия при обнаружении трояна: удаление, запрос на удаление, отчет или копировавание в особую папку.
— Сканирует память, файлы, архивы (ZIP, ARJ, RAR, ACE, CAB).
— Задание для сканирования типа файлов по маске или по расширению.
— Создание файла с детальным отчетом о сканировании в формате HTML или TXT.

Вирусный ТОП-10
10-17 апреля 2001г.
1. VBS/LoveLetter@MM
2. APStrojan.qa@MM
3. W32/FunLove.gen
4. W95/CIH.1003a
5. W95/MTX.gen@M
6. W32/Hybris.plugin@MM
7. W95/Spaces.1445
8. W32/Kriz.4050
9. W97M/Marker.gen
10. VBS/LoveLetter.worm
Источник: www.mcafee.com

Опрос
Всех вирусописателей надо...
Оставить в покое — без вирусов скучно — 36%
Отключить от Интернета навечно — 28%
Заразить их же вирусами — 23%
Отправить на необитаемый остров -—12%
Всего ответов: 419
Источник: www.viruslist.com .

По материалам
www.viruslist.com, www.dials.ru

Дежурный по карантину
Доктор МакроФаг macrofag@hotbox.ru

Несколько практических советов
1. Возьмите свежую версию антивирусной программы, которой Вы доверяете, и проверьте диск Вашего компьютера на наличие вирусов. Поверьте, Вам будет интересно взглянуть на результаты проверки. (На официальном сайте "ВирусБлокАда" по адресу http://www.vba.com.by находится бесплатно распространяемая программа, которая позволит обнаружить и обезвредить вирус Win95.CIH)
2. Накануне "роковой даты", за пару дней до нее, сделайте резервные копии той информации, которую Вы считаете ценной, — документы, электронные таблицы, семейные фотографии в оцифрованном виде, любимую музыку в MP3 и т.п. Постарайтесь прямо сейчас вспомнить, когда Вы последний раз занимались резервированием своей информации? Вот-вот, грустно все это...

Памятка для тех, кто не сможет 26 апреля загрузить свой компьютер:
1. Если при включении компьютера система не грузится, но на экране монитора высветилась таблица с основными параметрами аппаратной конфигурации, — Вам в каком-то смысле слова повезло. Вирус "лишь" разрушил информацию на жестком диске. Либо у Вас не Flash BIOS, либо в нее была запрещена запись. Для восстановления информации настоятельно советую обратиться к специалистам. Ни в коем случае не проводите неквалифицированные работы на пострадавшем компьютере, иначе можно окончательно утерять те крохи служебной информации, которая понадобится при восстановлении.
2. Если же экран монитора не отображает вообще никакой информации, то у Вас случай "по полной программе". Дополнительно к случаю 1 Вам необходимо найти специалистов, которые смогут "перешить" микросхему Flash BIOS.
Вячеслав Коледа, технический директор ОДО "ВирусБлокАда"

• Как сообщает IТworld, японская компания Pioneer Corp. разослала интернет-червя "Hybris" более чем 10 тысячам своих клиентов. Инцидент произошел 2 марта в 16:00, когда компания Pioneer запустила рассылку новостных писем своим подписчикам. В результате 10758 пользователей получили инфицированное сообщение. Как сказал Akira Munetoh, представитель Pioneer, только через час после проведения рассылки компания поняла, что произошло, — несколько возмущенных пользователей вернули полученный "подарок". На следующее утро и 12 марта, повторно, Pioneer принес официальные извинения своим клиентам и предупредил тех, кто еще не понял, что их компьютеры, возможно, заражены вирусом. По сообщениям самой компании, несмотря на массовый характер рассылки вируса, пострадало только 19 подписчиков. 16.04.01 ITworld.com

• Исследование, проведенное британской антивирусной компанией MessageLabs, показало, что к концу года число вирусных атак может утроиться. В отчете утверждается, что государственные учреждения и компании прогнутся под тяжестью электронной почты со злонамеренными вложениями. За ближайший год число случаев заражения вирусами существенно возрастет — в госучреждениях на 222% при том, что степень использования e-mail вырастет только на 62%. Не менее тревожная ситуация складывается и в коммерческом секторе. В машиностроении число вспышек вируса увеличится на 234% при увеличении степени использования e-mail на 124%, а в секторе СМИ в этом году вирусов станет на 219% больше при увеличении степени использования e-mail на 137%.
Эти цифры представляют собой экстраполяцию увеличения числа случаев заражения вирусами, зафиксированных среди клиентов MessageLabs в период с января 2000 г. по февраль 2001 года. За это время MessageLabs просканировала на наличие вирусов свыше 50 млн сообщений e-mail. "Эти цифры обескураживают, — говорит главный инженер MessageLabs Марк Саннер (Mark Sunner). — Хотя популярность e-mail продолжает расти, а вместе с ней и осведомленность о вирусах, пропорционального роста эффективности антивирусной защиты не наблюдается". Источник: www.antiviruspro.ru

• Британский бизнесмен был приговорен судом к 175 часам общественных работ и конфискации компьютерного оборудования за преднамеренную отправку вируса своему конкуренту.
Пол Брогден, 27-летний владелец компьютерной фирмы "Sure Computers", после продолжительной войны цен со своим основным конкурентом Колином Бэглоу, которому принадлежит фирма "Complete Computers", не нашел ничего лучшего, как послать своему злейшему врагу по электронной почте вирус. В апреле 1999 года Брогден отправил ему письмо с приаттаченным файлом, заголовок этого сообщения гласил: "Наши последние цены — во вложении, взгляните, пожалуйста".
Но персонал "Complete Computers" оказался бдительным, при проверке вирус в письме был обнаружен, и фирма обратилась с заявлением в полицию. С этих пор настали для Брогдена черные времена, вследствие полицейских рейдов его бизнес пришел в совершенный упадок. На суде, состоявшемся в конце марта текущего года, Брогден в свое оправдание заявил, что конкурент обеспечивал себе выгодные цены, используя нелицензионное ПО. Судья, однако, посчитал поступок Брогдена "единичной ребяческой выходкой" и назначил соответствующее наказание: 175 часов общественных работ плюс конфискация всего компьютерного оборудования. "Если бы я думал, что имелись более серьезные намерения, то наложил бы существенное наказание — в виде лишения свободы", — добавил судья при объявлении приговора. Источник: Информационный сайт — The Register

(c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 16 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2024 Компьютерная газета