Любой компьютер может быть заражен.

Антивирусное обозрение "Любой компьютер может быть заражен".
Первый закон Смита (Мерфо-вирусология)

Это точно — ЛЮБОЙ компьютер (см. эпиграф)! Даже если Вы все делаете правильно: используете самые последние антивирусные средства защиты, вовремя обновляете вирусные базы данных, не открываете подозрительные файлы, полученные от неизвестных лиц, и, кроме всего прочего, пересылаете и получаете файлы только в формате .RTF, а не .DOC, потому что в rich text format макровирусы проникнуть не могут никак.
Все верно. Правда, есть маленький нюанс. 21 мая сего года Microsoft призналась о наличии солидной дырки в безопасности MS Word. Оказывается, при открытии RTF файла происходит автоматический запуск макроса, причем сам Word ничего об этом пользователю не сообщает! Никакого предупреждения!
Но не стоит сильно пугаться: это случается только тогда, когда к этому файлу прикреплен шаблон (template) c содержащимся макросом. А это бывает нечасто, потому что большинство людей просто сохраняют файл .DOC в формат .RTF и цепляют его к письму, не думая ни о каких шаблонах. И все-таки стоит лишний раз обезопасить себя. Нужный патч Вы можете найти на странице Microsoft: http://www.microsoft.com/technet/ security/bulletin/MS01-028.asp.

"Миролюбивый "вирус Mawanella
Подразделение McAfee AVERT присвоило вирусу VBS/VBSWG.gen @MM, также известному как "Mawanella", или VBS/VBSWG. z@MM средний уровень риска, основываясь на постоянно растущем числе сообщений от пользователей. Данный вирус является новым вариантом в классе mass mailer (подробности смотри ниже).
Заметим, что при своем распространении вирус играет на политических чувствах компьютерных пользователей. Вот что он выдает на экран (перевод):
"Mawanella — это одна из мусульманских деревень Шри-Ланки. Здесь произошел зверский инцидент, в котором были сожжены 2 мусульманских мечети и 100 магазинов. Я ненавижу этот инцидент, а Вы? Я могу уничтожить ваш компьютер, но я не сделаю этого, потому что я — миролюбивый гражданин".
Вот так! Страшно? Ничуть — это он только пугает. На самом деле вирус не несет в себе деструктивных компонентов.

Лаборатория Касперского разоблачает крупную Интернет-аферу
"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, предупреждает пользователей об обнаружении новой, исключительно опасной "троянской" программы "Eurosol", совершающей кражу информации о личных счетах в международной финансовой системе WebMoney.
"На данный момент мы не получили сообщений о случаях проникновения "Eurosol" на компьютеры пользователей. Однако, анализ FTP-сервера, куда пересылается похищенная информация, позволяет говорить, что уже более 300 пользователей имеют реальные шансы в ближайшее время обнаружить свои счета в WebMoney пустыми, — комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского", — это говорит о том, что на многих компьютерах "троянец" до сих пор остается незамеченным".
"Лаборатория Касперского" уже предприняла все необходимые меры, чтобы предотвратить эту финансовую аферу и закрыла все используемые "Eurosol" серверы.
"Eurosol" мастерски замаскирован под программу CC-Bank, позволяющей, якобы, получить деньги за просмотр рекламных модулей. Для этого пользователь просматривает 15 баннеров, после чего CC-Bank, как будто, выдает номер реальной кредитной карточки с определенной суммой на счету, при помощи которой можно свободно совершать покупки.
Разумеется, что эта легенда является всего лишь ширмой, прикрывающей настоящую сущность "троянской" программы. После запуска CC-Bank "Eurosol" внедряется на компьютер и сканирует содержимое установленных жестких дисков в поиске ключевых файлов от клиентской программы системы WebMoney Transfer (www.webmoney.ru).
WebMoney является универсальной внебанковской системой, позволяющей проводить мгновенные расчеты в сети Интернет. С ее помощью можно совершать покупки в электронных магазинах, создавать собственные магазины, реализующие online-продажи в Интернет, а также производить расчеты с другими участниками системы. Кроме того, виртуальные деньги можно свободно конвертировать в наличную валюту и обратно.
Для получения сведений о личном счете жертвы в системе WebMoney "Eurosol" находит файлы Keys.kwm (секретный ключ) и Purses.kwm (виртуальный "кошелек"). В случае успешного поиска файлы шифруются и отсылаются на удаленный FTP-сервер. Для обеспечения успешной передачи информации "троянская" программа нейтрализует установленный на компьютере персональный межсетевой экран ATGuard. Для этого "Eurosol" модифицирует его настройки так, чтобы ATGuard не реагировал на установление TCP/IP соединения с внешними серверами.
В дальнейшем злоумышленник может получить украденные "кошельки" и ключи к ним с этого FTP-сервера и подключить их к своей копии программы WebMoney. После этого он может перевести имеющиеся в "кошельках" деньги на свой банковский счет или получить наличные почтовым переводом на свое имя.
Процедуры защиты от "Eurosol" уже добавлены в ежедневное обновление антивирусной базы Антивируса Касперского. Для обнаружения "троянской" программы рекомендуется пользователям провести полное сканирование содержимого жестких дисков.

Новые вирусы
Здесь — лишь малая часть "появившихся" вирусов. Мы хотим убедить пользователей компьютерных систем применять антивирусные средства и обновлять их вовремя.
1. Mawanella. Зашифрованный VBScript вирус-червь, распространяющийся в виде почтового вложения файла с VBS-расширением. Создан при помощи генератора вирусов VBS Worm Generator, ставшем известным из-за эпидемии вируса "Курникова" в начале этого года. При запуске вложенного файла появляется диалоговое окно с заголовком "VBScript: Mawanella", содержащее сообщение на английском языке. Червь копирует свой код в системный каталог Windows в файл Mawanella.vbs и отсылает свои копии всем адресатам из адресной книги Microsoft Outlook.
Заголовок письма: Mawanella
Тело: Mawanella is one of the Sri Lanka's Muslim Village
Вложение: Mawanella.vbs
Процесс рассылки активируется при каждом запуске зараженного VBS-файла. Так как вирус не производит настройку Windows для автоматического запуска при загрузке, то данная процедура в большинстве случаев будет выполнена только однократно.
Симптомы заражения:
— Наличие в системном каталоге Windows файла Mawanella.vbs.
— Получение от Вас писем с вирусом.
— Вывод сообщения на экран.

2. VBS/LoveLet-CL.
Это очередная версия интернет-червя I-Worm.LoveLetter, вызвавшего массовые поражения компьютеров и сетей в начале мая 2000. При своем распространении червь, как и его оригинальный вариант, использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook.
Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, собственно, и является телом червя. Письмо имеет следующие характеристики:
Тема:!!!
Тело::-) MuCuX...
Присоединенный файл: echelon.vbs
Червь ищет также все музыкальные файлы MP2 или MP3 и перезаписывает их своим кодом, кроме этого создает новый файл с именем MP-файла и расширением .VBS и записывает в него свою копию. У первоначальных MP-файлов устанавливает атрибут "скрытый".
Если червь находит, что на машине установлен mIRC (Internet Relay Chat), то он создает в том же каталоге управляющий скрипт-файл mIRC — SCRIPT.INI. Этот файл содержит mIRC-команды, которые посылают "дроппер" червя всем пользователям, подключающимся к зараженному каналу.
В своем коде червь содержит огромное число комментариев, с помощью которых автор, возможно, хотел "подвесить" систему глобальной слежки за электронной почтой "Echelon":

3. Trojan.Win32.Eurosol.
Троянский конь, замаскированный под программу выдачи номеров реальных кредитных карт в обмен на просмотр пятнадцати рекламных баннеров. На самом деле этот троян инсталлируется в систему и ворует ключевые файлы от программы WebMoney, если она установлена на компьютере жертвы. Эта программа позволяет пользователям производить в системе WebMoney Transfer расчеты виртуальными деньгами за покупки в интернет-магазинах, а также между клиентами системы. Кроме того, виртуальные деньги можно конвертировать в наличную валюту и обратно. Дополнительная информация доступна на сайте www.webmoney.ru.
При запуске "троянского коня" он отображает диалоговое окно с предложением дождаться просмотра рекламных баннеров. В это время он копирует себя в каталог %WinDir% (каталог установки системы Windows) под именем Netbios32.exe и регистрирует себя в файле System.ini:
[boot]
shell=Explorer.exe NetBios32.exe /run
Таким образом, троян гарантирует свой скрытый запуск при загрузке операционной системы. Кроме того, он проверяет наличие установленного персонального файервола ATGuard и при его обнаружении изменяет ему настройки таким образом, чтобы ATGuard не реагировал на установление TCP/IP соединений файлом Netbios32.exe с внешними серверами. Также создаются несколько служебных файлов в каталоге %WinDir%.
Затем троян производит поиск установленной программы WebMoney и пути хранения файлов Keys.kwm (секретный ключ) и Purses.kwm (виртуальный "кошелек"). Файлы шифруются и отсылаются на публичный ftp-сервер. В дальнейшем злоумышленник может получить украденные "кошельки" и ключи к ним с этого сервера и подключить их к своей копии программы WebMoney. После этого он может произвести перевод имеющихся в "кошельках" денег на реальный банковский счет или получить наличные почтовым переводом на свое имя.

4. Cheese.
"Дружелюбный" червь, основное занятие которого — помогать нерадивым сисадминам, выискивая в Интернете уязвимые Unix-ситемы и залатывая "дыры" в их безопасности.
"Cheese" проникает на машины тем же способом, что и другой червь, появившийся пару месяцев назад и известный под именем "Lion". Червь сканирует Интернет, действуя аналогично утилитам типа "сниффер", в поиске машин с открытым 10008 TCP-портом (что позволяет хакерам при использовании набора определенных программ взламывать уязвимые системы).
Червь ищет и удаляет из системы все inetd-сервисы, обращающиеся к '/bin/sh'. Сделав "доброе дело", червь опять "собирается в дорогу" выполнять чужую работу. Для размножения ему совершенно не требуется вмешательство человека: червь копирует себя на компьютер-жертву и затем начинает новый цикл сканирования Интернета, выискивая следующий объект для приложения своих усилий.

5. HTML_BOMB.A.
Злонамеренный HTML-файл. После выполнения начинает открывать на зараженной машине бесчисленное множество окон браузера до тех пор, пока ресурсы памяти не будут исчерпаны, в конечном счете вызывает зависание системы. Остановить этот процесс можно, прервав или закрыв эту программу.

АНТИВИРУСЫ
1. ANTIDOTE for PC Viruses — Personal Edition 2000.
Разработчик: Vintage Solutions, Inc., Калифорния, США (www.vintage-solutions.com). Размер дистрибутива: 5 728 Кб. Программа от 29.11.00 г. База данных от 21.05.01 года удаляет 28 262 вируса и содержит 45 688 записей.
Вполне нормальная антивирусная программа. Функционирует без сбоев и зависаний. Устанавливается в систему "как родная". В основе антивируса лежит технология, разработанная Лабораторией Касперского. Antidote можно применять вместе с другими антивирусными продуктами. Это редкий случай: обычно антивирусы конфликтуют друг с другом. Поддерживает многопользовательский режим Windows, создавая для каждого свой профиль. Можно назначить на запуск до 10 приложений с автоматической проверкой определенных папок на вирусы. Так, например, Antidote будет проверять директорию "Мои документы" пред запуском Microsoft Word. Показывает вирусы, находящиеся в базе данных и... больше ничего: никаких технических деталей по вирусам. Скачивать отсюда: ftp.antidote4pc.com/Product/Antidote/010518/Pe/Adpe409.exe. Кстати, кроме коммерческой, доступна и "сверхоблегченная", бесплатная (повторяю, халява!) версия ANTIDOTE — Super Lite. Ее даже и инсталлировать не требуется! Забирайте 3 Мб: ftp.antidote4pc.com/Product/Antidote/010518/Super/English/Antidote.exe.
— Работает под Windows 9Х/NT4.0/2000.
— Требуемое место на диске — 30 Мб.
— Условие распространения — Trial (30 дней), найденные вирусы не лечит, предлагая зарегистрироваться.
— Стоимость регистрации — 49.99$.
— Встроенная поддержка двух языков: английского и японского.
— Проверка при запуске системной памяти.
— Тестирование локальных и сетевых дисков.
— Антивирусный монитор, загружаемый при старте Windows.
— Проверяет на вирусы почтовые ящики Outlook 4.0 и 5.0 Express, Eudora, Microsoft Exchange, Netscape.
— Поддерживает работу с Microsoft Office 2000, проверяя открываемые документы и таблицы на наличие вредных макросов.
— Эвристический анализатор кода для поиска неизвестных вирусов.
— Проверка архивных файлов: .ZIP, .ARJ, .LHA, .RAR и .CAB.
— Режим детального сканирования всего файла.
— Ежедневное автоматическое обновление баз данных через Интернет.

2. Trojan Defence Suite v. 3 Professional (TDS-3) BETA 4B. Разработчик: Diamond Computer Systems Pty. Ltd., Западная Австралия (www.diamondcs. com.au). Размер дистрибутива: 6286 КБ. Программа от 16.01.01 г. и база данных от 15.01.01 г. удаляют более 1400 троянов и Интернет-червей.
Почему не все антивирусы способны обнаружить троянские утилиты удаленного администрирования (Remote Access Trojans — RATs)? Наверное, потому что "нельзя объять необъятное" и создать абсолютную защиту от любых электронных тварей просто невозможно! И если Вы, недовольные своим антивирусом, зададитесь целью найти хорошую программу, способную обнаруживать все (или почти все) известные трояны, то Вам предстоят весьма долгие и трудные поиски.
Вероятно, программа TDS-3, сама состоящая из 50 небольших программ, сможет Вас заинтересовать и оказаться именно той жемчужиной (в море пустышек!), которая даст Вам необходимую защиту. Она обладает максимально широким набором возможностей (некоторые из них просто уникальны!) по тонкой настройке для обнаружения троянов. Именно эта утилита имеет шансы с высокой точностью обнаружить любую "крысу" (rat — крыса, англ.), затаившуюся в Вашей компьютерной системе.
Это могут быть Netbus, SubSeven, BO, Undetected и многие другие, даже неизвестные вирусологам и самой TDS-3. Сканер этой программы, как утверждают разработчики, обладает самым сильным в мире антитроянским механизмом и не имеет себе равных с 1997 года. Trojan Defence Suite — это абсолютная и самая полная защита против троянов! Аналогов этой вещи в мире пока просто не существует. Хочется верить. И небезосновательно, потому что TDS-3 использует 16 методик (многие из них существуют только в этой программе) обнаружения троянов, а это немало!
Кроме всего прочего, TDS-3 защищает все порты компьютера, выдавая сообщения, когда кто-то Вас сканирует или посылает троянские пакеты. Trojan Defence Suite выслеживает атакующего. TDS-3 рассчитан на поиск только троянов и червей, а не вирусов, поэтому его необходимо использовать совместно с антивирусной программой.
Скачивать отсюда: http://tds.diamondcs.com.au/tds-3.exe.
Основные характеристики:
— Работает под Windows 9Х/NT4.0/2000.
— Требуемое место на диске — 10 Мб.
— Условие распространения — Trial (30 дней).
— Стоимость регистрации — 39.99$ (персональная лицензия).
— Обнаружение неизвестных троянов.
— Высокая скорость и точность нахождения существующих троянов и Интернет-червей.
— Быстрое сканирование памяти и запущенных процессов.
— Сканирование файла перед его выполнением.
— Инструменты для работы с объектами в памяти.
— Сетевые инструменты, среди которых сканирование локальных UDP/TCP-портов.
— Whois — утилита просмотра регистрационной принадлежности IP-адресов.
— Выдача сообщений об атаке с помощью голосового синтеза (текст-в-речь), трех разных звуков PC-динамика или Windows.
— Process Viewer — отображение полного имени файла, месторасположения запущенного процесса и его модулей.
— Проверка контрольной суммы любого важного файла системы (.EXE или .DLL) для обнаружения изменений в нем.
— Утилита выделения строк ASCII из файлов для более полного его анализа.
— Временной срез событий с поддержкой Интернет-времени (www.swatch.com).
— Инструменты для удаленного обнаружения троянов.
— Ежедневное автоматическое обновление через Интернет сигнатурных баз данных, а версий программы — по мере выпуска.

Вирусная мистификация провоцирует пользователей удалять системные файлы
В течение последнего времени "Лаборатория Касперского" получила множество писем от пользователей, встревоженных появлением нового, чрезвычайно опасного вируса, скрывающегося в файле SULFNBK.EXE. Компания уведомляет пользователей, что в действительности такого вируса не существует и классифицирует сообщения о нем как вирусную мистификацию.
Предупреждения об этом псевдовирусе, написанные на английском языке, начали массово распространяться в конце прошлой недели и вызвали настоящую панику среди пользователей. Как указывается в тексте сообщения о вирусе, он содержится в файле SULFNBK.EXE и запрограммирован на активизацию 1 июня. Как обычно бывает в случаях с вирусными мистификациями, сообщается, что никакие антивирусные программы не в состоянии обнаруживать его и потому наилучшим способом избавления от этой угрозы является немедленное удаление файла-носителя вируса.
Однако, файл SULFNBK.EXE абсолютно безопасен и, более того, является частью операционной системы и входит в стандартную поставку Windows. Программа является Windows-приложением и используется для резервного копирования файлов с длинными именами.
Ее удаление влечет за собой изменение функциональности системы в целом, что может сделать невозможным проведение некоторых операций на данном компьютере.
Вместе с тем, как сообщил популярный информационный центр по проблемам информационной безопасности SecurityPortal.com, его специалистам удалось получить оригинальный SULFNBK.EXE и установить причину возникновения этой мистификации.
Оказалось, что эта программа на компьютере инициатора псевдо-предупреждения действительно была заражена вирусом-червем Magistr, который в полном соответствии с прогнозом "Лаборатории Касперского" сейчас входит в десятку наиболее распространенных вирусов.
21.05.01 Источник: Лаборатория Касперского

По материалам www.viruslist.com, www.mcafee.ru .
Дежурный по карантину
Доктор М macrofag@hotbox.ru


(c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 20 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2021 Компьютерная газета