Чем современнее защита от вируса, тем больше для нее создадут программ, пропускающих вирус.

Антивирусное обозрение "Чем современнее защита от вируса, тем больше для нее создадут программ, пропускающих вирус".
Парадокс Сильвермана (Мерфо-вирусология)

Стало известно об очередной серьезной уязвимости в браузере Micrоsoft Internet Explorer. Теперь любой желающий (злоумышленник) очень даже легко может получить доступ к любому файлу (например, файл с паролями для коммутируемого доступа) жертвы, посетившей роковую страницу. Для этого нужно просто знать имя файла и где он расположен на диске. Кто читает по-английски, может удостовериться: http://www.securityfocus.com/bid/2836.
А кто-то еще говорит, что антивирусы ему не нужны! А кому нужны, пусть читает раздел "ПВО — противовирусная оборона".
Появилась бета-версия PDG 2.11, популярной антитроянской утилиты PC DOOR GUARD. Брать отсюда: ftp://astonsoft.com/dis-trib/pdg.2.11.beta.exe. Добавлена проверка архивов UPX, улучшен эвристический анализатор, меньше стало ложных тревог, теперь показывается полный маршрут трояна и прочее. Лучшие 5 бета-тестеров, как всегда, получат лицензии на PC DOOR GUARD бесплатно.
Снова обновился Trojan Remover. Версия 4.2.8 обнаруживает 2027 троянов/червей, включая варианты (http://www.simplysup.com/private/trj/trjsetup.exe).
05 июня "Лаборатория Касперского" объявила о начале публичного открытого конкурса на разработку лучшей 256-й цветной заставки (screen saver-а) компании. Конкурс продлится до 20 июня 2001 г., и в нем может принять участие любой желающий. По итогам конкурса будет проведено награждение победителей. Но денежных призов не ждите!
За 1 место — комплект оригинальной корпоративной одежды "Лаборатории Касперского": бейсболка, футболка, толстовка. Три дополнительных "утешительных" приза состоят из футболок с логотипом "Антивирус Касперского". Таким образом, если Вам не хватает чего-либо из одежды или просто носить нечего, то смело записывайтесь на конкурс!
Из последних вирусов, которые нас поразили, хочется особо отметить злобно настроенного червяка I-Worm.MsWorld, который, в отличие от вирусов "Курникова" и "Дженнифер Лопез", не только обещает, но и действительно что-то показывает! И не просто какой-нибудь JPG, а анимацию в формате Macromedia Flash, который становится очень популярным в Интернете и на телевидении.
На втором месте стоит
I-Worm.Hydra. Этот червь поразил нас своей верой в зеленых человечков, желанием поскорее найти их следы в далеком космосе и… тщеславием своего создателя. Не дожидаясь, пока пользователи добровольно установят программу SETI для обработки радиосигналов, принятых из космоса радиотелескопом в Беркли, I-Worm.Hydra делает это самостоятельно, без участия самих пользователей. При этом регистрацию программа выполняет на некоего GL_STORM из Чешской Республики. Видимо, он рассчитывает стать первооткрывателем внеземной цивилизации. Правда, если она есть, эта самая цивилизация…

Вирусы, которые нас поразили
Здесь — лишь малая часть "появившихся" зловредных саморазмножающихся программ. Мы хотим убедить пользователей компьютерных систем применять антивирусные средства и обновлять их вовремя.

1. W32/MsWorld.
Разрушительный интернет-червь "Мисс Мира". Для распространения использует почтовую систему Microsoft Outlook, рассылая себя по первым 50 адресам, найденным в адресной книге. Маскируется под мультик, сделанный на Macromedia Flash. Модифицирует файл автозапуска C:\AUTOEXEC.BAT. Форматирует диск C: на инфицированном компьютере и пытается удалить системные файлы SYSTEM.DAT, SYSTEM.DA0, USER.DAT, USER.DA0. Но, благодаря блокировке файлов с расширением .DAT, червю удается успешно стереть только файлы .DA0 (копии данных системного реестра). Правда, когда винчестер отформатирован, то и удалять-то особо нечего: все, что можно, уже удалено…
Червь попадает на компьютер в электронном письме с темой "Miss World" и текстом на английском языке "Наслаждайтесь последними фотографиями "Мисс Мира" из разных стран". Вложение одно из MWrld.exe, MissWorld.exe или MWld.exe. Размер файла составляет 130 Кб. Написан на Visual Basic. При активизации (открытии пользователем вложенного файла) появляется "Flash"-окно с текстом: "I fall more in love with you each day!"

2. I-Worm.Hydra.
Интернет-червь, распространяющийся в электронных письмах с помощью MS Outlook. Размер упакованного присоединенного червя — 12 Кб. Написан на Visual Basic.
При запуске червь копирует себя в каталог Windows с именем MSSERV.EXE и регистрирует его в ключах автозапуска системного реестра.
Червь работает в Windows как невидимое приложение-сервис, подсоединяется к MS Outlook и регистрирует себя как обработчик событий MS Outlook. Червь обрабатывает два события: получение нового письма ("NewMail") и отправку писем ("ItemSend").
При получении нового письма червь проверяет, а не является ли это письмо его собственным письмом с другого компьютера. Для проверки червь берет первый, вложенный в письмо, файл и проверяет его размер. Если размер вложения совпадает с длиной файла-червя, то он считает, что это его собственное письмо, и удаляет его.
При отсылке писем с зараженного компьютера червь либо вкладывает в письмо свою копию со случайным 8-символьным EXE-именем (если в письме нет вложенных файлов), либо замещает первый вложенный файл своей копией.
Для того чтобы скрыть свое присутствие и усложнить удаление файла-червя и измененных ключей реестра, червь удаляет файл MSCONFIG.EXE в системном каталоге Windows, ищет активные приложения по ключевым словам и выгружает их из памяти Windows. Антивирусные базы "Антивируса Касперского" удаляются полностью.
После этого червь инсталлирует на компьютер программу SETI для поиска следов внеземных цивилизаций (http://setiathome.berkeley.edu). Программа SETI скачивается червем с одного из пяти FTP-серверов и инсталлируется в каталоге Windows под именем MSSETI.EXE.
Червь также создает в каталоге Windows файлы USER_INFO.SAH и VERSION.SAH — регистрационная информация SETI MSSETI.PIF, RUN_MSSETI.VBS, MSSETI.BAT — запуск SETI и регистрирует файл RUN_MSSETI.VBS в ключах автозапуска системного реестра.
Файл USER_INFO.SAH содержит информацию о пользователе SETI:
id=2199938
key=1603033966
email_addr=gl_storm@seznam.cz
name=GL_STORM
country=Czech Republic

3. W32/Choke.worm.
Второй червь после W32/Hello.worm, распространяющийся исключительно посредством Microsoft's MSN Messenger. Написан на Visual Basic. Если на компьютере MSN Messenger не установлен, то червь инсталлирует себя, но распространяться не может.
Червь попадает на машину в виде присоединенного к сообщению файла под различными именами, но всегда с расширением .EXE.
Червь копирует себя в корневую директорию текущего жесткого диска инфицированного компьютера в виде трех файлов: "CHOKE.EXE", [имя домена аккаунта MSN Messenger].EXE (например, HOTMAIL.EXE), [имя пользователя MSN Messenger].EXE (например, JOHN.EXE).
Червь также создает текстовый файл с именем ABOUT.TXT, содержащий текст на английском языке.

4. DoS.Storm.Worm.
Новый вирус-червь ищет и инфицирует web-серверы с установленным Microsoft Internet Information Services (IIS) версий 4 и 5, на которых не были установлены необходимые "заплатки", устраняющие дыры в безопасности.
DoS.Storm.Worm действует подобно червю Sadmind, сканируя случайные IP-адреса в поиске уязвимых систем. При обнаружении подходящего объекта червь копирует себя на машину, после чего автоматически запускается на выполнение. Инфицированные машины начинают DoS-атаки (de-nial-of-service) на сервер www. microsoft.com. Затем червь отсылает на электронный адрес Билла Гейтса (gates@microsoft.com) сообщения непристойного содержания.
Для защиты от этого червя пользователи Microsoft IIS 4.0 и IIS 5.0 должны установить специальную "заплату", ликвидирующую уязвимость защиты под названием "Web Server Folder Traversal"(http://www.microsoft.com/WINDOWS2000/downloads/critical/q269862/default.asp).

5. PE_HLLC.DANY.A.
Вирус, не заражающий исполняемых файлов. Написан на Microsoft Visual C++. При запуске вирус ищет выполняемые файлы Windows в текущем каталоге и заражает их, перезаписывая их своим кодом. Вирус также создает копии заражаемых файлов и дает им расширение .ISO. Затем вирус выводит окно сообщения, содержащие цитаты из "Гамлета" Шекспира.

6. W97M_INSPECTOR.A.
Макро-вирус, заражающий документы Word при их открытии и закрытии. Содержит 5 макросов: AutoClose, AutoOpen, AutoExec, AutoExit, FileOpen.
Блокирует макровирусную защиту в Word. Затем, для заражения файлов вирус копирует себя в шаблон NORMAL (NORMAL.DOT), добавляя в него свой модуль "VirusInspect", содержащий вирусный код, после чего заражает все открываемые и закрываемые документы.
После выполнения любого из вирусных макросов удаляет зараженный документ, если не находит в нем комментария "Wu's Sub".

По материалам www.viruslist.com


Вирусный ТОП-10.
5-12 июня 2001г.
1. W32/Magistr@MM
2. W32/Hybris.gen@MM
3. VBS/LoveLetter@MM
4. BackDoor-NK.svr
5. W32/Ska.dll@M
6. W32/Magistr.dam
7. W32/Hybris.dll@MM
8. JS/Kak@M
9. W32/Hybris.plugin@MM
10. W32/FunLove.gen
Источник: www.mcafee.com.
Вирусы упорядочены по количеству зараженных ими компьютеров во всем мире.

ПВО — противовирусная оборона
1. AntiVirus eXpert (AVX) Professional 5.9.3.
Разработчик: Softwin SRL, Румыния (www.avx.ro). Официальный сайт программы — Central Command Inc, США, Огайо (www.centralcommand.com). Размер дистрибутива: 8 453 Кб. На 12.06.01г. программа от 08.01.01г. обнаруживает 51,130 вирусов.
"Без нас нет никакой защиты". Таков девиз компании-разработчика AVX. Слишком самоуверенно и не очень-то верится. Но не будем спешить и попробуем узнать, что такое AVX Professional на самом деле.
Это очень сильно закрученный антивирусный комплекс. Здесь есть все, что необходимо для серьезной антивирусной защиты. Многофункциональные настройки AVX понравятся компьютерным экспертам, любящим все настраивать самостоятельно, вручную. AVX Professional защищает от проникновения вирусов через известные системы обмена мгновенными сообщениями типа ICQ. AntiVirus eXpert — это не просто еще один антивирус, это новый класс антивирусной защиты.
После установки сразу предлагает просканировать весь диск на вирусы. А потом предлагает освежить обновляемые ежедневно антивирусные базы. Затем пользователь может сконфигурировать AVX под свои требования. У меня, например, программа начала искать, какие установлены браузеры для включения функции AVX Download Control. Нашла Internet Explorer и Opera 5.02. Все правильно. И хотя браузер Opera она приняла за Netscape Navigator, это не страшно.
Какое-то неуловимое сходство наблюдается с антивирусом Касперского Pro. Много похожих деталей, но есть и различия. И вместе великолепно уживаются на одном компьютере, дружно проверяя работающие программы.
Проверяет файлы на всех доступных дисках, включая сетевые. Вот полный список основных свойств антивируса: AVX Shield — монитор файлов (защищает компьютер в фоновом режиме); Virus Scanner — AVX Mail Monitor — сканер данных, получаемых через POP3 сервер для любого почтового клиента, включает встроенную защиту для MS Exchange и MS Outlook; AVX Download Control — проверяет скачиваемые через браузер из Интернета файлы на вирусы; AVX Scheduler — настройка сканирования по расписанию; AVX Quarantine — карантинная зона для инфицированных и подозрительных файлов; AVX Shell Extension — интегрирует AVX в оболочку Windows; AVX Live! — автоматическое обновление баз вирусных сигнатур или модулей AVX через Интернет или локальную сеть (скачивание выполняется тремя нитями!); AVX Script Wall — блокирует любой подозрительный или опасный Visual Basic script; AVX for MS Office 2000 — защищает MS Office от вирусов, включая макровирусы; AVX for Net Meeting — защита от вирусов, которые используют для размножения Net Meeting; AVX for MSN Messenger — защита от вирусов, которые распространяются через MSN Messenger; AVX for Yahoo! Messenger — защита от вирусов, использующих для распространения Yahoo! Messenger и AVX for ICQ — для вирусов, паразитирующих на аське.
Поддерживаемый язык — английский. Скачивать отсюда: ftp://ftp.netis.com/pub/mirrors1/tucows/files2/setupavxpro.exe .
Работает под Windows 95/98/ME/NT/2000.
Требует около 20 Мб свободного дискового пространства.
Условие распространения — Trial (30 дней), полностью функциональна.
Цена версии для домашнего использования — 38.95$. До 24 июня ее можно приобрести со скидкой 10$, для этого запомните специальный код: homecc10. С декабря 2000 года по июнь 2001 года этот антивирусный комплекс скачали более 1,6 млн человек.

2. Agnitum Outpost Firewall ver. 3.0.0601.2031.
Разработчик: Aгнитум Лимитeд (Agnitum Limited), Кипр (www.agnitum.com). Домашняя страница программы — www.agnitum.com/products/outpost . Размер дистрибутива: 1 654 Кб. Версия от 04.06.01г.
Скачивать отсюда: http://www.agnitum.com/download/outpost.exe .
Outpost Firewall — это бесплатный персональный брандмауэр (firewall). Работает под всеми версиями Windows. Поддерживает русский язык. Обеспечивает полную защиту пользователя в сети Интернет от проникновения посторонних программ, работающих троянских коней и других вредных кодов. Для этого фильтруется весь входящий и исходящий сетевой трафик, контролируются текущие соединения и выявляются подозрительные действия. На порядок лучше и надежнее, чем устаревший, но все еще кое-где используемый AtGuard.
После установки программа сразу готова защищать Вашу компьютерную систему, как самый верный друг человека. Outpost Firewall может блокировать активное содержимое Web-страниц: элементы ActiveX, Cookies, ссылки, сценарии Java и VB, вcплывaющиe oкнa, апплeты Java. Программа также контролирует приходящие по почте файлы.
Детектор атак брандмауэра позволяет обнаруживать попытки сканирования портов компьютера и не отвечать на пинги, не выдает сообщения, что port unreachable — невидимый режим. Три режима блокировка атак: блокирует всё: атакующего, подсеть атакующего. В случае обнаружения DOS-атаки может заблокировать локальный порт.
Поддерживает несколько(их) конфигураций/пользователей, блокирует рекламу, может автоматически обновляться через Интернет, поддерживает локальную сеть и доверенные узлы.

НОВОСТИ
Изменения в продуктовой линейке Symantec
В продуктовой линейке компании происходят очередные изменения. В прайс-листе появились новые позиции: Symantec Enterprise Firewall 6.5, Symantec Enterprise Firewall 6.5 + VPN и Symantec Enterprise 6.5 VPN. Они придут на смену следующим продуктам: Raptor Firewall for WinNT, Raptor Firewall with Integrated PowerVPN for WinNT и PowerVPN for WinNT соответственно. Линейка межсетевых экранов Raptor Firewall производилась компаний Axent Technologies, приобретенной Symantec год назад, так что текущие изменения являются плановыми в рамках слияния продуктовых линеек обеих компаний.
Ценовая политика линейки продуктов Symantec Enterprise Firewall заимствована от его предшественника Raptor Firewall, она не предоставляет возможности приобретения продукта на точное количество защищаемых рабочих станций в сети, приобрести Symantec Enterprise Firewall можно только на 25, 100, 250 и неограниченное количество хостов. Пользователи имеют возможность наращивания функциональных возможностей системы — например, Symantec Enterprise Firewall можно "дорастить" до Symantec Enterprise Firewall 6.5 + VPN.
Также было объявлено о появлении нового приложения к Symantec Enterprise Firewall 6.5 for Win2000/NT под названием WebNOT/NewsNOT. Данный продукт призван оптимизировать пропускающую способность канала и предотвратить доступ к ресурсам Интернет (web или news-серверам), не имеющим непосредственного отношения к работе компании. 08.06.01 Антивирусный центр www.antiviruspro.ru

Дебют DrWeb в компьютерном футболе
"RoboCup German Open" — это открытый чемпионат Германии по компьютерному футболу. В этом очень представительном турнире участвуют сильнейшие команды из разных стран мира. В лиге программ-симуляторов впервые принимает участие команда DrWeb. 09 июня стало известно, что команда DrWeb заняла четвертое место. Блестящий результат для дебютанта!
В этом соревновании участвуют программы, которые управляют игроками виртуальной футбольной команды в матчах против игроков другой программы. Команда DrWeb — это программа, написанная разработчиками антивируса Doctor Web под руководством Сергея Ахапкина (teamleader). Поздравляем ребят с замечательным достижением! И пожелаем нашей команде дальнейших успехов.
Опыт, накопленный при создании антивирусных программ, помог команде DrWeb достойно выступить на этом чемпионате. Разработка элементов искусственного интеллекта для определения новых, неизвестных вирусов по сложности даже превосходит задачу управления футбольной командой. И с такими сложными задачами разработчики Doctor Web успешно справляются. Даже если это просто хобби! Подробную информацию о ходе чемпионата можно найти на сайте "RoboCup German Open": http://ais.gmd.de/GermanOpen . Записи игр команды DrWeb находятся в разделе LogFiles этого же сайта http://www.inb.muluebeck.de/robocup/Logfiles/ . Распаковать архивы можно при помощи архиваторов GZIP или WinZIP. Для просмотра записей необходима программа, загрузить которую можно с сайта разработчиков Doctor Web: http://www.drweb.ru/ftp/go/player3.exe . 09.06.01г. Информационная служба ЗАО "ДиалогHаука"

"Троян" в RTF-файлах
"Лаборатория Касперского", специализирующаяся на разработке систем информационной безопасности, обнаружила троянскую программу Goga, которая незаметно для пользователя отсылает на удаленный компьютер информацию о логинах, паролях и других параметрах выхода в Сеть. По сообщению "Лаборатории Касперского", эта троянская программа имеет две отличительные черты. Во-первых, она использует в качестве носителей файлы формата RTF. Это дезориентирует пользователей, поскольку до сих пор многие из них считают эти файлы абсолютно безопасными и нередко запускают их без проверки антивирусной программой. Во-вторых, Goga использует известную брешь в системе безопасности Microsoft Word, которая позволяет злоумышленнику незаметно для владельца компьютера выполнять вредоносные коды сразу же после открытия зараженного документа.
Если на компьютере не установлен патч, устраняющий данную брешь, то при чтении файла-носителя (RTF-файла) MS Word автоматически и без каких-либо предупреждений загрузит с удаленного сайта шаблон (template), содержащий вредоносную макро-программу. Эта макро-программа извлекает из бинарной секции RTF-файла дополнительную утилиту, которая собирает данные о параметрах входа в Интернет (логины, пароли и др.) и записывает их в специальный текстовый файл. Затем Goga запускает скрипт-программу, которая публикует полученный текстовый файл на веб-сайте общедоступных гостевых книг, откуда автор троянской программы периодически получает похищенную информацию. Для защиты от этого "трояна" достаточно установить патч для MS Word. 15.06.01

Дежурный по карантину
Доктор М macrofag@hotbox.ru


(c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 23 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2021 Компьютерная газета