Написав вирус, вы делаете себе вред

Антивирусное обозрение "Написав вирус, вы делаете себе вред"
Второй закон Смита (Мерфо-вирусология)
А некоторые не могут написать вирус! Потому что не умеют или не знают как. Но жажда навредить ближнему своему настолько велика, что до краев наполняет все их существо. И они садятся за клавиатуру и начинают сочинять, но не сам вирус, а его мистификацию!
Мистификация — это электронное письмо о новом, якобы существующем, весьма опасном и быстро распространяющемся компьютерном вирусе. Розыгрыш. Но для того чтобы он состоялся, это фальшивое письмо надо отправить друзьям и знакомым. И мистификация, как спам, загружает не только каналы Интернета, но и умы пользователей, годами путешествуя по Сети. Недавно появившиеся сообщения о "вирусах" Virtual Card for you, CALIFORNIA IBM и GIRL THING — не что иное, как глупые мистификации.
Если Вам в почтовый ящик попало такое письмо, то просто выбросите его в корзину!

КАЛЕНДАРЬ ВИРУСОВ
Наверняка все знают, что компьютерные вирусы могут попасть в Ваш компьютер несколькими путями: через Интернет, по локальной сети, через пиратские лазерные компакт-диски, гибкие и другие мобильные носители. Но не все знают, что есть большое количество вирусов, которые от момента проникновения в компьютерную систему до своей выдерживают определенный срок или ждут конкретной даты и часа Х.
Можно ли узнать о таких вирусах и увидеть, когда ждать очередной атаки электронных паразитов?
Да, конечно! Специально для таких целей существует "Календарь вирусов" (http://www.sarc.com/avcenter/calendar/). Эта страница находится на сайте всемирно известной антивирусной корпорации Symantec.
Красный квадрат — это обычный вирус, синий — макровирус, черный — Интернет-червь. Цветными кружками в календаре отмечены вирусы, опасные в любой день.
Заметим, что существуют вирусы, срабатывающие в любой день, например, Burglar.1150.A (на 14-й минуте каждого часа любого дня) или Yankee Doodle (в любой день в 5 часов вечера). А есть такие вирусы, которые активизируются через определенное время после первоначального инфицирования, например, Tequilla (через 4 месяца после попадания в компьютер).

Новые вирусы
Здесь — лишь малая часть "появившихся" вирусов. Мы хотим убедить пользователей компьютерных систем применять антивирусные средства и обновлять их вовремя.

1. WM97/Marker-HJ.
Новый макро-вирус для Word 97 из семейства Marker. При закрытии инфицированного докумета вирус берет информацию из свойств документа (File|Properties|Summary) и пытается отослать ее на хакерский ftp-сервер. Вирус также записывает эту информацию в конец макроса в виде комментария.

2. W32/Fever.
Новый вирус-червь, заражающий системы под управлением Win32. Червь работоспособен под Windows 95/98/Me, Windows NT и Windows 2000.
По сообщению Sophos, червь копирует себя в системный каталог Windows в виде файла с именем "gp32.exe" и создает в системном реестре ключ:
HKLM\Software\Microsoft\Windows\ CurrentVersion\RunServices = "gp32.exe".
Таким образом, программа червя будет выполняться в фоновом режиме каждый раз при старте системы.
McAfee же утверждает, что червь копирует себя в системный каталог Windows в виде файла с именем "ed32.exe" и создает в системном реестре ключ:
HKLM\Software\Microsoft\Windows\CurrentVersion\ RunServices\ed32=C:\WINDOWS\SYSTEM\ed32.EXE
Sophos не конкретизирует информацию о том, как червь попадает на компьютер и каким образом распространяет себя.
По сообщению McAfee червь прибывает в письме, имеющем следующие характеристики:
Тема: pic.gif [много пробелов].scr
Вложение: pic.gif.scr
Сообщение червя (тело и заголовок) представляет собой текст в MIME-формате и аттачмент в кодировке base64. Присоединенный файл не способен в этом состоянии активизироваться автоматически (т.е. при клике на него пользователем) и, следовательно, не сможет инфицировать систему до тех пор, пока пользователь не сохранит аттачмент на локальном диске своего компьютера и затем запустит его вручную. В связи с тем, что для запуска этого червя необходимо произвести такие манипуляции, риск заражения им компьютера невелик, все зависит от настырности пользователя и его желания поэкспериментировать.
При активизации червь инфицирует систему, сохраняя свою копию в системном каталоге Windows и модифицируя системный реестр, чтобы обеспечить свое выполнение при каждом последующем старте системы.
Всякий раз при отправке пользователем инфицированного компьютера сообщения по электронной почте червь следом по тому же адресу отправляет свое письмо (с теми же характеристиками, что описано выше). Червь предпринимает попытки использовать уязвимость под названием "Incorrect MIME Header vulnerability", изменяя MIME-заголовок на некорректный.

АНТИВИРУСЫ
1. Anti-Trojan 5.5 Build 335. Разработчик: Anti-Trojan Network Crew, Австрия (www.anti-trojan.net). Размер дистрибутива: 5 154 Кб. Программа от 16.05.01 г. обнаруживает 6 894 трояна.
Вы когда-нибудь удивлялись, почему Ваш CD-ROM открывается, когда Вы находитесь в Интернете? Или Ваши программы закрываются без всякой причины? Если да, то компьютер заражен трояном! Трояны — это очень опасные программы, которые хакеры используют для управления удаленным компьютером. Трояна можно получить от "друзей" или скачать с Сети.
Они существуют давно и великолепно работают под Windows 95/98/NT/2000, и любой злоумышленник, знающий Ваш IP (Интернет-адрес), может с помощью трояна легко получить доступ к Вашим файлам и паролям. Вам это нужно?
Если нет, то обратите внимание на данную утилиту.
Anti-Trojan выпускается с октября 1998 года. Авторы — Christian Mairoll (Австрия) и Bernd Michler (Германия). Для создания постоянной, надежной защиты против троянов достаточно запускать антитроян раз в неделю для обнаружения новых троянских атак и их отражения. Новая версия Anti-Trojan выпускается раз в несколько месяцев.
В антитроянский комплект входит также утилита ATWatch, осуществляющая постоянный контроль (мониторинг) за запущенными процессами.
Скачивать отсюда: http://www.pizzamen.de/download/english/ATro55en.exe .
— Условие распространения — Trial (14 дней).
— Цена приобретения — 22$.
— Встроенный сканер открытых портов.
— Кроме портов, проверяет локальные диски, отдельные директории и реестр.
— Поиск троянов в архивных файлах: .ZIP, .CAB, .ARJ, .RAR, .SFX и др.
— Доступны плагины: Process Viewer (позволяющий завершить выполнение любого процесса) и Close a port (просмотр и закрытие портов).
— Многоязыковая поддержка: английский, испанский, французский и другие.
— Отчет о выполненной работе формируется в виде файла HTML, который тут же загружается в браузер.
— Автоматическое обновление через Интернет сигнатурных баз данных троянов.

2. UNA v1.03 for Win32.
Разработчик: Компания КПК, Украина, Киев (http://www.unasoft. com.ua). Размер дистрибутива: 3 065 Кб. Программа от 30.05.01 г. обнаруживает 30 901 вирусов.
UNA (УНА) — Украинский Национальный Антивирус. Оригинальное, свежее название программы не даст ей затеряться среди остальных антивирусов.
Наверное, скоро должен появиться КНА — Китайский Национальный Антивирус, ЯНА — Японский и т.д. Даешь больше хороших антивирусов!
UNA — антивирус-полифаг — обеспечивает защиту компьютера как от обычных вирусов, так и от многих троянов. Он обнаруживает и неизвестные вредоносные программы.
Вот что пишут об этом сами разработчики: "B антивирусе реализован довольно гибкий интерфейс настройки эвристического анализатора. Так, например, можно включать эвристический анализ отдельного типа файлов уровень сканирования.
Эвристические анализаторы могут давать ложные срабатывания на файлах, которые своими действиями напоминают вирусы или троянские программы. Как правило, это взломщики, программы для шифрования файлов и пр.
Если ложные сообщения появляются довольно часто, значит на Вашем диске установлено специфическое программное обеспечение, и можно в настройках эвристического анализатора отключить данную секцию анализа".
Демо-версию скачивать отсюда: http://www.unasoft.com.ua/download/una100.exe.
— Работает под Windows 9X/ME/NT/2000.
— Условие распространения — Demo (1 год), не лечит.
— Цена приобретения — 25$.
— Поддерживает английский, русский и украинский языки.
— Тестируемые объекты: память, локальные диски, отдельные папки, файлы, архивы, сектора дисков.
— Настраиваемый эвристический анализатор: избыточное сканирование в файлах .COM, .EXE, макросах, скриптах .VBS и/или .BAT.
— "Менеджер задач" — список запущенных процессов в памяти компьютера с возможностью удаления любой задачи.
— Действие над инфицированным объектом: только отчет, диалог лечения, автоматическое лечение, автоматическое удаление и (чего нет в Антивирусе Касперского, и потому он выдает сообщения об ошибках) — автоматическое лечение и удаление неизлечимых.
— "Ревизор диска": анализ изменений на дисках компьютера.
— Подробный отчет о результатах тестирования.
— При минимизации программа сворачивается в Tray.
— Можно видеть, сколько процентов файлов протестировано.
— Автоматическое обновление сигнатурных баз вирусов через Интернет, поддерживает работу через прокси-сервер.

ОбновлениЯ антитроЯнов

1. AVTrojan 2.1 — на 1516 троянов от 13.04.01 г. Скачивать: http://www.trojan.ru/download/AVTrojan21.exe.

2. Trojan Remover 4.2.6 — на 1975 троянов/червей от 25.05.01. Скачивать: http://www.simplysup. com/private/trj/trjsetup.exe.

3. PC DoorGuard 2.10.0.2 от 20.05.01 г.
Добавлена многоязыковая поддержка. Реализована технология анализа кода исполняемых файлов.
Ищет полиморфные, зашифрованные вирусы, а также их клоны. Автоматически восстанавливает поврежденные файлы winsock.dll и wsock32.dll в зависимости от OС. Мастер регистрации не принимает коды длиннее 10 символов. Скачивать: http://www. hot.ee/maxxim/pdg2.zip.

4. Tauscan v. 1.5 build 0920.
На 18.05.01 г. в базе данных — 2235 троянов. Скачивать: http:// jammer.comset.net/files/tauscan.exe.

5. Trojans First Aid Kit 5 от 27.04.01г.
Обнаруживает 736 троянов (раньше — 481). Размер дистрибутива стал в 10 раз меньше (190 Кб).
Скорость сканирования увеличена почти в 3 раза. Возможность сканирования всех локальных дисков за один раз. Проверка работающих файлов под Windows NT/2000.
Поддержка немецкого, французского и испанского языков. Скачивать: http://www.kryptocrew.de/snakebyte/TFAK5.zip.
По материалам
www.viruslist.com

Вирусный топ за май 2001 года.
1. W32/MTX-m (Matrix, Apology)
2. VBS/LoveLetter.A-mm
3. W32/Hybris.B-mm (Hybris.23040-mm)
4. VBS/VBSWG.J-mm (Anna K, SST, Kalamar.A, I-Worm.Lee.o)
5. JS/Kak.A-m
6. VBS/Stages.A-mm (VBS/Shell Scrap-mm)
7. W32/Navidad.A-m (Navidad-m)
8. W32/Ska.A-m (HAPPY99)
9. W95/CIH.1003 (Spacefiller)
10. W97M/Ethan.A
Источник: www.wildlist.org . Названия упорядочены по частоте сообщений о каждом вирусе.

НОВОСТИ

Продукты фирмы Trend Micro удостоились награды журнала PC Magazine "Выбор редакции" за самую лучшую защиту электронной почты
По результатам тщательной сравнительной оценки решение Trend Micro в области антивирусной защиты и фильтрации информационного наполнения победило десять конкурентов, включая продукты Network Associates и Symantec.
21 мая 2001 г. компания Trend Micro Inc. объявила о том, что ее программы антивирусной защиты и фильтрации информационного наполнения для Microsoft Exchange — ScanMailR for Microsoft Exchange и ScanMail eManagerTM — удостоились награды "Выбор редакции" журнала PC Magazine. По итогам сравнительного обзора это решение затмило предложения конкурентов, включая продукты компаний Network Associates, Symantec и Sybari. Прекрасная производительность, легкость внедрения и широта охвата позволили решению Trend Micro завоевать высшие оценки и награду "Выбор редакции" в категории систем корпоративного уровня.
Редакция PC Magazine отметила и такие достоинства решения Trend Micro, как "превосходные инструменты управления, обновления и установления политики" и способность "органично сочетаться с исключительно полной и тщательно проработанной серией продуктов Trend Micro для защиты серверов и настольных компьютеров". Администрирование многоплатформных продуктов Trend Micro на настольных компьютерах и серверах может осуществляться централизованно через Web-консоль Trend Virus Control SystemT (TVCS), предназначенной для управления антивирусными средствами.
Оценивая результаты тестирования, журнал PC Magazine отметил: "ScanMail и eManager со всей очевидностью продемонстрировали присущие продуктам Trend Micro тщательную проработанность и высокую производительность, которые послужили основой для присуждения им награды "Выбор редакции" в категории систем корпоративного уровня".
Помимо завоевания награды "Выбор редакции", фирма Trend Micro стала единственным поставщиком средств антивирусной защиты и фильтрации информационного наполнения, получившим пять из пяти возможных баллов. Этот журнал оценивает рассматриваемые продукты по пятибалльной шкале. Один балл соответствует оценке "плохо", а пять баллов означают "отлично".
Источник: Антивирусная лаборатория www.dizet.com.ua.

Антивирус Софос: скажите "нет" обнаженной Дженнифер Лопез!
Антивирусная компания "Софос" сообщает о новом, потенциально очень опасном новом вирусе. Этот вирус преподносит себя как картинку с изображением известной латиноамериканской актрисы и певицы Дженнифер Лопез в нагом виде. Вирус получил название VBS/Lovelet-CM (он же Jennifer Lopez, VBS.Loveletter.CM@mm, VBS.Lopez.A@mm).
Написанный в Алжире, Интернет-червь приходит по электронной почте с темой "Where are you?" (Где Вы?). В самом сообщении читаем: "This is my pic in the beach" (Это мое фото на пляже) и обнаруживаем присоединенный файл с именем JENNIFERLOPEZ_NAKED.JPG.VBS.
Если пользователь открывает этот файл, то вирус запускает скрипт, который пересылает себя по всем электронным адресам, содержащимся в адресной книге Microsoft Outlook, создавая такое же большое количество бесполезный почты, как и черви TheLove Letter или Anna Kournikova.
Затем червь переписывает все музыкальные и графические файлы на жестком диске. И в заключение, вместо обещанной фотографии Лопез, вирус запускает очень опасную деструктивную компоненту "Чернобыль" (CIH), которая может полностью вывести компьютер из строя на аппаратном уровне. Заметим, что 31-летняя Дженнифер Лопез недавно была избрана читателями журнала FHM как самая сексуальная женщина в мире. "И поэтому", как сказал Грэм Клюли (Graham Cluley), старший консультант по технологии компании "Софос", "нетрудно понять, почему вирусописатели использовали именно ее образ как приманку для наивных пользователей".
31.05.01

"Desktop Protection Systems — новая система защиты"
Компания Internet Security Systems выпустила новую систему защиты, названную Desktop Protection Systems, которая впервые объединила в себе возможности системы обнаружения атак и системы анализа защищенности, функционирующих на уровне узла (RealSecure Server Sensor и System Scanner соответственно). Данная система построена по технологии клиент-сервер, согласно которой DPS Server, устанавливаемый на Windows 2000 Server, осуществляет управление до 4000 клиентов DPS, устанавливаемых на ОС Windows 95 / 98 / ME / NT / 2000.
Данная система обладает всеми достоинствами, присущими системам RealSecure и System Scanner:
— обнаружение троянских коней, атак типа "отказ в обслуживании", подозрительной сетевой и системной активности, несанкционированных модемов;
— неправильная настройка программного обеспечения защищаемого узла (разделяемые файлы, неустановленное антивирусное ПО, уязвимости парольной системы, неправильные настройки браузеров и т.д.);
— централизованное управление;
— механизм уведомления в реальном режиме времени ActiveAlert;
— автоматическое обновление антивирусных баз для установленного антивирусного ПО;
— автоматическое обновление баз сигнатур атак и проверок X-Press Update;
— интеграция с SAFEsuite Decisions.
Источник: Антивирусный центр www.antiviruspro.ru .

Вирус на службе правительства???
Британские хакеры запустили нового червя под названием Noped, который отслеживает в Сети порнографию и сообщает о находках в ФБР, Интерпол и другие правительственные агентства.
Компьютерный вирус, по принципу действия не отличающийся от таких вирусов, как "Курникова", HomePage и др., распространяется по e-mail и ищет jpeg-файлы, которые могут содержать детскую порнографию. В теме послания с червем стоит "FWD: Help us ALL to END ILLEGAL child porn NOW" (Помогите нам всем покончить с незаконной детской порнографией), а текстовое вложение называется "END ILLEGAL child porn NOW.TXT...vbe" (Покончите с незаконной детской порнографией сейчас).
После открытия вложенного файла червь показывает в блокноте ряд законов по детской порнографии.
Разослав письма с вирусом по всем адресам из адресной книги, червь затем отсылает конфиденциальную информацию (список директорий, где червь нашел файлы JPG, соответствующие определенной маске) в какое-либо из правительственных агентств.
По мнению Джули Пози, директора агентства по мониторингу детской порнографии, хакеры не в состоянии помочь, даже будучи движимы лучшими намерениями, поскольку материал, полученный нелегальным способом, не может служить доказательством в суде. Следовательно, распространители и просто любители детского порно окажутся снова безнаказанными.
Кроме того, не принося ощутимой пользы, червь может принести некоторый вред в виде системных сбоев и тому подобного.
Денис Зенкин, руководитель информационной службы "Лаборатории Касперского", так прокомментировал появление нового "полезного" вируса: "Несмотря на то, что Noped почти безвреден, — это вредоносный код, и он попадает под определение "компьютерное преступление". Вместе с тем его способ распространения, когда он без разрешения рассылает с зараженных компьютеров свои копии, никак нельзя назвать правильным, даже если автор червя действительно преследовал благие цели".
29.05.01

Дежурный по карантину
Доктор М macrofag@hotbox.ru


(c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 21 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2024 Компьютерная газета