Закон Штольца.

Антивирусное обозрение Закон Штольца.
"Все вирусы пишутся в подарок".

Следствие: "Вирус начнет работу в самый любимый для вас день".
(Мерфо-вирусология)

Меня радует, что в эту летнюю, отпускную пору (сезон солнца, воды и воздуха, когда хочется только отдыхать) работают не только вирусописатели — параноики, но и программисты-антивирусники. Вот, например, с завидным постоянством выходят обновления антитроянской утилиты Trojan Remover. Уже выпущена версия 4.2.7 от 03.06.01 г. Обнаруживает 2003 трояна/червя, включая варианты. Забирайте: http://www.simplysup.com/private/trj/trjsetup.exe (1 444 Кб).
Регулярно обновляется и белорусский антивирусник "Вирусблокада". 31 мая вышло очередное дополнение антивирусной базы для VBA 32 3.006. Ежемесячно разработчики помещают у себя список вирусов, обнаруженных в Республике Беларусь в "дикой природе". В мае их было 14 штук. Смотрите: http://www.vba.com.by/virus-info/wildlist.htm .
А вот в кумулятивном обновлении за июнь Антивируса Касперского выявлено ложное срабатывание, вызванное программой Zirlock.exe. Эта ошибка будет исправлена в июльском куммулятиве.
Однако эта программа является устаревшей, почти никому не известной, она работает корректно в старых системах (DOS или Win16 на FAT-системе). В современных системах (Win32 на FAT32/NTFS) использование данной программы может привести к краху файловой системы.
Из последних новых вирусов особо отличились VBS/Lovelet-CM, бесплатно рекламирующий Дженнифер Лопез, и Noped, яростный борец с детской порнографией.

Новые вирусы
Здесь — лишь малая часть "появившихся" вирусов. Мы хотим убедить пользователей компьютерных систем применять антивирусные средства и обновлять их вовремя.

1. WM97/Wrench-N.
Новый вариант макровируса WM97/ Wrench-G, работающего в Microsoft Word 97, обнаружен в диком виде. Он содержит несколько испорченных макросов, из-за которых офисный помощник (Office Assistant) не работает. Вирус помещает файл ASCII.VXD со своим кодом в корневую директорию.

2. VBS/Lovelet-CM.
Новый вариант интернет-червя I-Worm.LoveLetter. На этот раз "раскручивается" имя латиноамериканской красотки Дженнифер Лопез. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. При активизации червь копирует себя в каталог Windows в виде файла с именем "JENNIFERLOPEZ_NAKED.JPG.vbs". Письма червя имеют следующий вид:
Червь ищет на всех доступных локальных и сетевых дисках файлы с расширениями .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, .JPG, .JPEG, .MP2, .MP3 и перезаписывает их своим кодом.
Ищет все музыкальные файлы с расширениями .MP2 или .MP3 и также перезаписывает их своим кодом, создает новый файл с именем MP-файла и расширением .VBS и записывает в него свою копию.
Червь также создает в системном реестре 2 ключа. Один используется для автозапуска, а второй содержит строку "Worm made in algeria" ("Червь сделан в Алжире").
VBS/Lovelet-CM записывает на компьютер файл-дроппер, содержащий один из вариантов очень опасного вируса W95/CIH ("Чернобыль").

3. VBS_NFLIGHT.A.
Новый Интернет-червь, написанный на скрипт-языке Visual Basic Script (VBS). Распространяется в электронных письмах, используя MS Outlook. Кроме этого, посылает свои копии в IRC-каналы при помощи клиента mIRC. Содержит ошибки в своем коде, из-за которых заражение посредством сообщений электронной почты не работает. Вместо того, чтобы присоединить VBS-скрипт к сообщению, червь вставляет его в тело письма — скрипт никогда не будет запущен.
После выполнения VBS-скрипт копирует себя в каталог Windows в виде файла "HELP.TXT.VBS". Затем изменяет системный реестр.
Червь модифицирует на зараженной системе различные функции безопасности:
— устанавливает уровень безопасности Internet Explorer и Windows Scripting Host (WSH) в самый низкий;
— делает возможным удаленный запуск скриптов в WSH;
— отключает в MS Outlook предупреждение об открытии VBS-файла.
VBS_NFLIGHT.A может проявить себя:
— когда текущий системный день месяца равен 5-ти, блокирует Рабочий стол (desktop);
— меняет имя зарегистрированного пользователя на "NightFlight" ("Ночной полет"), а имя организации — на "Carpe Noctem";
— случайным образом изменяет обои Рабочего стола, используя стандартный набор из каталога Windows;
— добавляет пункт "Start with NightFlight" в контекстное меню, когда пользователь зараженной машины щелкает правой кнопкой мыши на какой-либо файл или папку. Если затем пользователь выбирает этот пункт из меню (по правой кнопке), происходит запуск вирусного скрипта.
Червь ищет все подключенные сетевые диски, на которые разрешена запись, и сохраняет на них свою копию — файл "HELP.TXT.VBS".
Для заражения IRC-каналов червь создает управляющий скрипт SCRIPT.INI в каталоге C:\MIRC. Этот скрипт отсылает файл "HELP.TXT.VBS" всем пользователям, подключающимся к зараженному каналу.
Если в зараженной системе установлен "Помощник" Microsoft, то червь запускает этого агента в образе "Волшебника" и показывает через него сообщение: "The Nightflight is still out there!" ("Ночной полет все еще здесь").

4. NOPED.
Интернет-червь, написанный на скрипт-языке Visual Basic Script (VBS). Распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров, используя почтовую систему Microsoft Outlook.
Приходит с заголовком "Help us ALL to END ILLEGAL child porn NOW" (Помогите нам всем покончить с незаконной детской порнографией сейчас) и присоединенном файлом с именем "END ILLEGAL child porn NOW.TXT............vbe". Не содержит деструктивных проявлений.
Червь модифицирует системный реестр с целью изменить стартовую страницу в Internet Explorer на http://www.geocities. com/antipedo2001, чтобы отправить пользователя на страницу, с помощью которой автор "борется" с распространением детской порнографии.
Затем червь ищет на компьютере файлы .jpg и .jpeg-файлы, в которых может содержаться детская порнография. Анализ выполняется по имени файла сравнением текстовых строк с базой данных вируса.
В случае обнаружения искомых файлов червь отправляет в соответствующие органы правительства США уведомление, что такой-то пользователь является педофилом. К письму прилагаются данные операционной системы о пользователе: имя, указанное при регистрации, и адрес электронной почты.

АНТИВИРУСЫ
Эти антивирусы ориентированы на обнаружение и удаление всего одного-единственного, но очень вредного вируса — LoveLetter. Хотя программ только три, но они отличаются друг от друга и к поставленной задаче подходят по-разному. Может быть, сказывается географическая разобщенность разработчиков? Или их мировоззрения? Неизвестно. Но написаны они примерно в одно и то же время — май 2000 года. Май, ласковый май, пора любви! Именно год назад "электронные любовные послания" вызвали массовые поражения компьютеров и сетей по всему миру.
Проверьте свою систему, чтобы потом смело заявить: "Любовь здесь больше не живет!"

1. NoLoveBug 1.06.
Разработчик: Брайан Г. Харрел (Brian G. Harrell), NoLoveBug Software Co, Миннесота, США (www.accsi.com/ nobug). Размер дистрибутива: 2 036 Кб. Программа от 13.05.00 г.
После установки в папку автозапуска записывается ссылка на программу с ключом metest.
После запуска NoLoveBug предлагает для пользователя две основные функции: протестировать компьютер на защищенность от выполнения различных скриптов (Visual Basic scripts) и установить ANTI-BUG software, которое запрещает запуск любых скриптов (а не только скриптовых вирусов типа LoveLetter) программой Windows Scripting Host (WSH).
WSH обычно вызывается для запуска из другой программы быстрого командного скрипта для изменения установок Windows, создания ярлыков и выполнения других функций. Большую часть времени он не используется.
Пока Microsoft не закроет все свои дырки, любой скрипт может делать почти все, что ему захочется, без предупреждения пользователя. Таким образом, для безопасности можно спокойно отключить WSH, что и делает NoLoveBug.
Конечно, пользователь может и сам, вручную изменить настройки WSH, но, чтобы убедиться в правильности выполненных изменений, ему придется также самостоятельно запускать какой-нибудь скрипт. А с помощью этой программы одним щелчком мыши он отключает Windows Scripting Host, а вторым — удостоверяется в этом. Очень быстро и удобно. Однако, еще раз заметим, что NoLoveBug не ищет вирус и не лечит систему! Он просто отключает возможность запуска вредного кода вируса, даже если тот присутствует на диске.
NoLoveBug работает на компьютерах с установленной ОС Windows 95/98/NT/2000. Бесплатная. Скачивать отсюда: ftp://ftp.ip. pt/pub/tukids/files5/nobug1.exe. После установки рекомендую выполнить обновление программы (http://www.accsi.com/nobug/upda-tenb.exe) до версии 1.09а от 12.06.00 г., в которой исправлены небольшие ошибки.

2. LoveBug Squasher 1.0.
Разработчик: Gecko Software Inc., Палестина (www.gecko-softwa-re.com). Размер дистрибутива .ZIP: 1 714 Кб. Программа от 06.05.00 г.
LoveBug Squasher сканирует систему (локальные диски) в поисках различных версий "любовного" вируса. Результат выдается в виде списка инфицированных файлов, которые можно удалить. Программа также "лечит" реестр Windows, если он заражен. В LoveBug Squasher всего две кнопки: сканирование дисков и удаление зараженных файлов. А больше и не надо! Программа бесплатная и отмечена высокой наградой известного сайта Tucows — пять коров. Скачивать отсюда: http:// www.gecko-software.com/lovebugfix.zip.

3. TrueLove v.1.1.
Разработчик: Бэн Хайнс (Ben Hynes), Swift Programming Co, Западная Австралия (www.swiftp.com). Размер дистрибутива: 171 Кб. Первая версия программы появилась 21.05.00 г., а версия 1.1 — 09.05.01 г. (информация с сайта, а сами файлы датируются 2000 годом!). Один из тех редких случаев, когда последующая версия датируется более ранней датой. Неужели путешествия во времени возможны?!
TrueLove предлагает защиту от вируса ILOVEYOU (еще одно название одного и того же!) и его вариантов, не допуская автозапуск скриптов. Когда он начинает выполняться, пользователь получает сообщение об этом и ему предоставляется возможность разрешить или запретить дальнейшую работу скрипта. Таким образом, вирус ILOVEYOU не сможет инфицировать систему без Вашего согласия.
В этой программе, как и в предыдущей, тоже две кнопки: применить изменения (оставить все как есть или требовать подтверждения запуска скриптов) и выход.
Поддерживает работу файлами, имеющими следующие расширения: JS, JSE, VBE, VBS, WSF и WSH.
Сайт разработчика по старому адресу http://www.iinet.net.au/~harsh находится в заброшенном состоянии и не работает. "Настоящая любовь" полностью бесплатная (а Вы как думали?) Скачивать отсюда: http://www.swiftp. com/cgi-bin/download.pl?pro-duct=truelove.

Вирусный ТОП-10. Май 2001г.
В вирусную десятку, которую регулярно публикует антивирусная корпорация Sophos, входят самые активные вирусы месяца. Они ранжированы по своей поражающей способности в процентах пораженных ими компьютеров. В скобках указаны вторые имена вирусов.
1. VBS/VBSWG-X (I-Worm.Homepage) — 37.5%
2. W32/Magistr-A (I-Worm.Magistr) — 24.5%
3. W32/Hybris-B (I-Worm.Hybris) — 7.1%
4. W32/Badtrans-A (I-Worm.Badtrans) — 6.9%
5. W32/Apology-B (I-Worm.MTX) — 4.4%
6. VBS/Kakworm (WScript.KakWorm) — 3.9%
7. VBS/VBSWG-Z (I-Worm.Mawanella) — 2.1%
8. WM97/Marker — 1.5%
9. W32/Bymer-A (Worm.RC5.b, W32/MSINIT. WORM) — 1.0%
10.W32/Flcss (Win32.FunLove) — 5.1%–1.0%

На все остальные вирусы пришлось 10.1%.

"Червь Homepage, который направляет "зараженных" пользователей на порнографические сайты, доминирует в этом списке, а рядом с ним следует очень разрушительный вирус Magistr," — сказал Грехам Клюли (Graham Cluley), старший консультант по технологии компании "Софос".
"Системные администраторы должны не только быть уверены в том, что антивирусное программное обеспечение их компании современное и постоянно обновляется, но и блокировать содержимое почтовых сообщений для недопущения попадания выполняемых неавторизованно скриптов Visual Basic в их сеть".

В мае Sophos обнаружила и подготовила защиту против 920 новых вирусов. Общее количество распознаваемых и удаляемых вирусов антивирусом Sophos составила 64100.

Дежурный по карантину
Доктор М
macrofag@hotbox.ru


(c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 22 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2024 Компьютерная газета