...поставил себе Windows 2000 — и тормознул крутейший Пентиум III-700! Анекдот.

Антивирусное обозрение "...поставил себе Windows 2000 — и тормознул крутейший Пентиум III-700!" Анекдот.

Месяц апрель пролетел быстро. Так быстро, что на фоне появления новых вирусов и антивирусов почти незаметным осталось событие, проводимое каждые два месяца авторитетным английским журналом Virus Bulletin. В апреле "Вирусный бюллетень" протестировал известные антивирусные программы на эффективность обнаружения 100% вирусов, найденных в диком виде (in the wild).

Результаты тестирования
Апрельские "состязания" антивирусов проходили под операционной системой Windows 2000 (http://www.virusbtn.com/100). Отечественные продукты, народные "любимчики" DrWeb32 и Антивирус Касперского, приняли участие в этом тестировании, но... Они не смогли определить все вирусы и поэтому не получили престижной награды VB100%. Где-то тормознули под Окнами...
Количество наград ничем не ограничено. Оно определяется только стопроцентной эффективностью антивируса. Только так, а не иначе. Потому что в противном случае один-единственный пропущенный вирус способен будет начисто уничтожить результаты многолетней научной работы, годовой бухгалтерский баланс, авторскую публикацию и прочее. Итак, вот девятка самых современных антивирусов (см. табл. 1). Они все молодцы, трудно выделить самого лучшего, поэтому список составлен в алфавитном порядке.

Таблица 1. Апрельское тестирование антивирусов под Windows 2000
Наименование Сайт разработчика
1. Computer Associates InoculateIT v4.53 http://www.cai.com/
2. Computer Associates Vet Anti-Virus v10.2.10.0 http://www.vet.com.au/
3. ESET NOD32 v1.70 NT http://www.eset.sk/
4. Frisk F-Prot v3.09 http://www.complex.is/
5. NAI VirusScan v4.5.0.534 http://www.nai.com/
6. Norman Virus Control v5.0 http://www.norman.no/
7. Panda AntiVirus Platinum v6.23.00 http://www.pandasoftware.com/
8. Sophos Anti-Virus v3.43 http://www.sophos.com/
9. Symantec Norton AntiVirus v7.50.846 http://www.symantec.com/

Некоторые антивирусы уже знакомы постоянным читателям "Компьютерной газеты". Так, например, InoculateIT (КГ №11) и F-Prot (КГ №15) — бесплатные программы. Они просты в установке и использовании. В отличие от коммерческих собратьев, эти антивирусы никогда не потребуют платы с бедного компьютерного пользователя. Но если пользователя не устраивают ограниченные возможности бесплатных программ и за безопасность данных он готов заплатить, то он может воспользоваться более совершенными антивирусами. Из них я могу порекомендовать Sophos Anti-Virus и Norton AntiVirus (КГ №10).

Новые вирусы
Здесь — лишь малая часть "появившихся" вирусов. Мы хотим убедить пользователей компьютерных систем применять антивирусные средства и обновлять их вовремя.

1. W32/Hello.worm.
Первый интернет-червь, который распространяется через программу Microsoft MSN Messenger и, соответственно, работоспособен лишь на машинах с установленным MSN Messenger.

2. VBS_HAPTIME.A.
Интернет-червь, написанный на Visual Basic Script (VBS). При определенных условиях удаляет все .EXE и .DLL файлы. При запуске червь создает в корневом каталоге Windows файл HELP.HTM и регистрирует его как "обои" Windows (wallpaper). Затем проверяет системную дату и смотрит, равна ли сумма текущего месяца и дня 13. Если да, то удаляет все файлы с расширениями .EXE и .DLL во всех каталогах на всех дисках зараженного компьютера. Червь отслеживает число своих активаций: если он был запущен на выполнение 366 раз, то отсылает свои сообщения на все адреса, хранящиеся в адресной книге MS Outlook. К сообщению червь прикрепляет свою копию — файл с именем "UNTITLED.HTM".

3. LASTWORD.A.
Интернет-червь, распространяющийся при помощи MS Outlook по электронной почте во вложенных в сообщения файлах. Червь рассылает себя по всем адресам пользовательской адресной книги. Сообщение червя имеет тему "Vazna informacija!". Червь также отсылает на адрес "gargamelaf@yahoo.com" отчет о проделанной работе:
Тема: Raport!
Тело: "...inficirao sam jos jedrog GAZDA!"
Кроме этого, после перезагрузки системы червь каждый раз выдает различные message box-ы, среди которых:
Заголовок: WinUpdate's Last Word!
Тело сообщения: U shOulD Do tHaT uSer, U shOuLd dO
thAt UpDatE! ...this is My LastWord
Если пользователь кликнет на кнопку "OK", червь выводит на дисплей следующее сообщение:
Заголовок: Viva La BiHNet — Bosnia Rulez!
Тело сообщения: "Predmeti su od drveta I kamen naci ces MENE"

4. Troj/Unite-C.
Троянский конь с возможностью настройки, ворующий пароли. Имя троянского файла — одна из настраиваемых опций и, соответственно, оно может быть изменено.
5. W97M_LISTI.A — безобидный макро-вирус, заражающий активные документы Word при открытии инфицированного документа. Не содержит злонамеренных процедур.
6. TROJ_INCOMM16A.S. Троянский конь, представляющий собой утилиту скрытого администрирования (backdoor) компьютеров в сети с удаленного терминала. Троянец состоит из серверной и клиентской компонент. Серверная часть инфицирует компьютеры, а клиентская позволяет злоумышленнику удаленно подключаться к зараженным машинам и получать оттуда различную информацию, а также выполнять на них всевозможные действия.
7. Yama. Интернет-червь, представляющий из себя программу на языке JavaScript и распространяющийся в электронных письмах с помощью MS Outlook и Outlook Express. Для своего распространения червь использует "дыру" в системе защиты Internet Explorer 5 под названием "Scriptlet.Typelib vulnerability", а также требует некоторого вмешательства (скорее невнимательности) пользователя. В дополнение к JavaScript червь использует также VBS-скрипт, поэтому работоспособен только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). При активизации на инфицированном компьютере червь скрытно изменяет стартовую страницу Internet Explorer на страницу web-сайта Geocities, которая в свою очередь содержит внедренный вирусный JavaScript.

Антивирусы
26 апреля — день активизации вируса CIH — остался позади. И можно подвести неутешительные итоги: вирус смог добраться до FLASH-памяти беззаботных компьютерных пользователей и в этом году. История чужих ошибок ничему не учит. А ведь одна из разновидностей вируса "Чернобыль" любит срабатывать каждый месяц по 26-м числам! Что делать? Предлагаю очень маленький, но очень полезный антивирус исключительно против Чиха.
1. CleanCIH Ver 1.6. Разработчик: Proland Software, 1999, Индия (www.pspl.com). Размер програмы: 20 Кб. Версия 1999 г. обнаруживает и успешно удаляет Win95.CIH. Эта маленькая утилита, запускаемая в DOS-сессии или в чистом DOSе, проверяет компьютер на присутствие всех трех разновидностей вируса Win95.CIH и, в случае обнаружения, очищает инфицированные файлы. Скачивать отсюда: http://www.pspl.com/download/cleancih.exe.
Параметры запуска: CleanCIH <Маршрут> <Ключи> . Ключи: /AUTOCLEAN — автоматическое лечение; /PROMPT — запрос подтверждение перед лечением.
Пример: CleanCIH C:\ /AUTOCLEAN — проверить и вылечить весь диск С.
— Условия распространения — Freeware (бесплатно).
— Язык интерфейса: английский.

2. Protector Plus 2000 Antivirus Software for Windows 95/98. Ver 7.1.A01. Разработчик: Proland Software Co, Индия (www.pspl.com). Дистрибутив: 2206 Кб. Версия от 27.04.01 г. с базой данных от 27.04.01 г. обнаруживает и устраняет около 40 000 вариантов различных вирусов. Еще одна разработка тех же индийских программистов, что создали CleanCIH Ver 1.6 — коммерческий антивирус Protector Plus 2000 (PP2000). Сразу сообщу, что существуют версии этого антивируса для операционных систем: Windows 2000/NT, Windows 3.x, DOS и Netware. Сканирует на вирусы все логические диски, выбранные папки и файлы. Отсутствует возможность проверки памяти. Скачивать отсюда: http:// www.pspl.com/download/w9x.exe.
— Условия распространения — полнофункциональный Trial (30 дней).
— Стоимость — 29.95$.
— Язык интерфейса: английский.
— Вирусная база данных обновляется и выпускается каждые 15 дней.
— InstaUpdate — автоматическое обновление через Интернет вирусных баз данных и самого антивируса.
— Quarantine — карантинная папка.
— Real-time scan — сканирование в реальном времени (антивирусный монитор).
— Rescue Disk — создание аварийного диска для диагностики компьютера при невозможности загрузки с винчестера или для восстановления данных.

3. Selector 3.0. Разработчик: Корень Д. Л., Украина (http:// LoverK-PG.narod.ru).
Дистрибутив: 1003 Кб. Версия 3.0.016 от 12 ноября 2000 года. Антивирусная программа-ревизор, разработанная молодым программистом-любителем. Selector производит сканирование диска и запись результатов в... файл вирусной базы данных (так этот файл назвал сам автор, хотя там может и не быть вирусов!). Потом выполняется проверка — сравнение первоначальной базы с текущим состоянием файлов на диске. В случае нахождения расхождений, ревизор тут же об этом сообщит. Скачивать отсюда: http://loverk-pg.narod.ru/programs/Sel30.exe.
— Условие распространения — Shareware (7 дней).
— Регистрационная плата — 5$.
— Поддерживает два режима — нормальной (быстрой) и полной проверки диска.

Вирусный ТОП-10. 3-9.05.2001
1. VBS/LoveLetter@MM
2. W32/Magistr@MM
3. W32/FunLove.gen
4. W95/MTX.gen@M
5. W32/Hybris.plugin@MM
6. APStrojan.qa@MM
7. W97M/Marker.gen
8. W32/Kriz.4050
9. VBS/Haptime@MM
10. W97M/Class
Источник: www.mcafee.com

Вирус-червь Magistr распространяется на Западе
В начале мая вирус-червь Magistr получил широкое распространение в США и многих странах Европы. Вирусом были поражены компьютерные сети различных компаний, включая крупные транснациональные корпорации, как Unilever и Diageo в Нидерландах, Франции, Новой Зеландии, Великобритании и США. Впервые Magistr был обнаружен в "диком виде" в середине марта этого года. Для проникновения на компьютер он использует три способа: через письма электронной почты, в случае, если пользователь запустил зараженный вложенный файл, через локальную сеть, заражая файлы на доступных ресурсах серверов и других компьютеров, и в процессе обмена файлами с использованием мобильных накопителей.
Этот червь также опасен, как и известный вирус CIH: через месяц после заражения компьютера управлением Windows NT/2000 он стирает информацию на диске, данные в CMOS-памяти и содержимое Flash-памяти.
Источник: Информационное агентство — Newsbytes

Антивирус Касперского по достоинству оценивают в Испании
В апрельском номере одного из наиболее популярных испанских компьютерных журналов PC Actual опубликованы результаты очередного ежегодного тестирования антивирусных продуктов. В соответствии с ними, известный российский программный комплекс Антивирус Касперского второй год подряд не дал ни единого шанса своим соперникам и уверенно занял 1 место по общему количеству набранных баллов. Тестирование продуктов производилось экспертами пан-европейского исследовательского центра Hispasec Sistemas, специализирующегося на изучении проблем компьютерной безопасности. В отличие от большинства существующих процедур испытания антивирусов, PC Actual не ограничился проверкой технических характеристик представленных программ, также учитывалось и качество технической поддержки, оперативность реакции на появление новых вирусов, объем потребляемых ресурсов, доступность цены. По мнению журнала, только совокупный показатель по всем перечисленным параметрам может дать общую картину преимуществ и недостатков различных антивирусов и выявить наиболее подходящий продукт для конечного пользователя. В итоге, Антивирус Касперского показал самый высокий результат среди всех представленных программ и получил 9 баллов из 10 возможных.
Антивирус Касперского 9
Panda Antivirus Platinum 8.5
McAfee VirusScan 7.9
Norton AntiVirus 7.2
F-Secure Anti-Virus 6.8
Norman Virus Control 6.5
Trend Micro PC-Cillin 6.5
CA InoculateIT 6.4
Sophos Anti-Virus 4.5
В резюме, завершающем сравнительное тестирование, авторы особо отметили выдающиеся характеристики Антивируса Касперского в области защиты от различных типов вредоносных программ, высокий уровень технической поддержки, лучшую реакцию на появление новых вирусов и исключительный эвристический алгоритм поиска неизвестных вирусов.
"Важно отметить, что Антивирус Касперского уже второй год подряд получает высшую награду в тестировании антивирусных программ журнала PC Actual. Это наглядно демонстрирует постоянство высоких результатов продуктов компании и подтверждает, что наши пользователи сделали правильный выбор, доверив нам защиту своих компьютеров", — комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского". Источник: www.antiviruspro.ru

По материалам
www.viruslist.com
Дежурный по карантину
Доктор М macrofag@hotbox.ru


(c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 18 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2021 Компьютерная газета