Если каждый программист напишет по одному вирусу, то вирусов все равно будет больше, чем программистов.

Антивирусное обозрение "Если каждый программист напишет по одному вирусу, то вирусов все равно будет больше, чем программистов".
Парадокс Трумена Мерфо-вирусология)

12 июня 2001 года обновился Agnitum Outpost Firewall — бесплатный, но весьма надежный и удобный в использовании брандмауэр. С его помощью вы перестанете думать о почтовых вирусах, троянах и программах-шпионах, собирающих информацию о Вашей системе.
В новой версии теперь блокируются referers и исправлена загрузка под Windows NT. Добавлены: перехват SendPackets для Windows 95/98/ME; блокировка всплывающих окон во внешних скриптовых файлах; "закрытие" тэга <A> при обнаружении </TD> (фикс блокировки "рекламных" <IMG> вне <A> ) и прочее. Срочно скачивать отсюда: www.agnitum.com/download/outpost.exe .
Корпорация Symantec (www. symantec.com) впервые выпустила антивирусные продукты для Mac OS X. Это Norton Personal Firewall for Macintosh и Norton AntiVirus 7.0 for Macintosh. Не только вирусы пишут под Маки, но и антивирусы тоже!
Вот и дождались! Закончилось бета-тестирование и вышел финальный выпуск известной антитроянской утилиты PC DOOR GUARD. Скачивать отсюда: http://kodu.neti.ee/%7Emaxim/downloads/pdg2.zip . В основном улучшен эвристический анализатор, в нем стало меньше ложных тревог и повысилась вероятность обнаружения реального вируса.
Австралийские "ветеринары" в июне отличились: выпустили новую версию 10.3.2 своей эффективной антивирусной программы CA Vet Anti-virus. К сожалению, она платная и "на халяву" ее не получить.
Впрочем, если Вы готовы раскошелиться, то Вам сюда: http://www.vet.com.au .
Украинский Национальный Антивирус тоже "немного обновился". Скачивайте UNA for Win32 версии 1.04 от 16 июня 20001 года: http://www.unasoft.com.ua/download/una100.exe . Теперь он обнаруживает 31743 вируса.
Из последних вирусов особо отличился некий Goga. Родом откуда-то из России, он может быть отнесен к двум категориям одновременно: троянским коням и макровирусам. Он поразил нас тем, что использует оригинальный путь для своего распространения и передачи информации хозяину.
Goga распространяется через файл RTF (с недавних пор этому формату уже не стоит доверять!), который содержит ссылку на шаблон pwd.dot, находящйся в Сети. Сам шаблон хранит автозапускаемый макрос, который и ворует пароли для доступа в Интернет. И, наконец, Goga публикует в Сети эти пароли в общедоступной гостевой книге.

Вирусы, которые нас поразили
Здесь — лишь малая часть "появившихся" зловредных саморазмножающихся программ. Мы хотим убедить пользователей компьютерных систем применять антивирусные средства и обновлять их вовремя.

1. VBS/Lovelet-CE.
Eще одна модификация известного интернет-червя LoveLetter, замеченная в "диком виде". Червь попадает на компьютер в виде присоединенного файла к сообщению электронной почты. Тема письма: News Email Beta Run1.01. Тело: News Matrix from http://go.to/ ashop Test Run 1.01. Вложение: NEWSEMAIL.VBS. Червь предпринимает попытки заменить стартовую страницу Internet Explorer, а также, если Outlook инсталлирован на зараженной машине, разослать свои копии по всем адресам из адресной книги Outlook.
2. Goga (W97M.Gogaru.A). Троянская программа, обнаружена в диком виде 14 июня 2001 года.
Отсылает на удаленный компьютер информацию о логинах пользователя, паролях и других параметрах выхода в сеть Интернет.
По сообщению Лаборатории Касперского (www.kav.ru), программа использует в качестве носителей файлы формата RTF, ранее считавшегося абсолютно безопасным. Goga использует известную брешь в системе безопасности текстового процессора Microsoft Word, которая позволяет злоумышленнику незаметно для владельца компьютера выполнять вредоносные коды сразу после открытия зараженного документа.
В данном случае MS Word автоматически и без предупреждений загрузит с удаленного Web-сайта шаблон (template), содержащий вредоносную макропрограмму.
Эта макропрограмма извлекает из бинарной секции RTF-файла дополнительную утилиту, которая собирает данные о параметрах входа в Интернет (логины, пароли и др.) и записывает их в специальный текстовый файл. Затем Goga запускает скрипт, который публикует полученный текстовый файл на Web-сайте общедоступных гостевых книг, откуда автор троянской программы периодически получает похищенную информацию.

3. TROJ_LATINUS.SVR
Серверная часть троянской программы, которая инсталлирует себя на компьютере жертвы в каталог Windows как MSLAT.EXE. Троян модифицирует системный реестр таким образом, что троянская программа выполняется каждый раз при старте системы.
Троян открывает на зараженной машине два TCP-порта: 11831 и 29559, "слушает" их, ожидая команд удаленного "клиента".
Когда связь между "клиентом" и "сервером" установлена, удаленный хакер получает доступ к компьютеру-жертве и затем может выполнять на нем следующие действия: блокировать любую клавишу или клавиатуру полностью, выводить на экран текст, открывать/закрывать чат-окно, перехватывать нажатия клавиш, искать и воровать системные пароли и многое другое.

4. TROJ_MADBOX.
Троянский конь, ворующий пароли. Состоит из серверной и клиентской части. После выполнения на инфицированном компьютере "серверная" часть трояна проверяет, имеет ли компьютер-жертва соединение с Интернетом. Если да, то предпринимает попытки открыть какой-нибудь порт, выбирая его наугад, и ожидает соединения с удаленным "клиентом". При неудачной попытке соединения "серверная" компонента немедленно завершает свою работу. Если же соединение "клиента" и "сервера" прошло успешно, троян ищет имя пользователя и dial-up пароль, затем отправляет их по Интернету своему хозяину, после чего также завершает свое выполнение.

5. Backdoor-QN.
Троянский конь, представляет собой утилиту скрытого администрирования (backdoor) и позволяет хакерам использовать инфицированные машины для распределенных DDOS-атак на другие компьютеры. После выполнения троянец копирует себя в каталог WINDOWS SYSTEM под случайным именем из 8-ми символов и расширением .EXE. После чего подключается к некому IRC-серверу.

ПВО — противовирусная оборона

1. AntiVir/9x Personal Edition for Windows 95, 98 and Me Version 6. Разработчик: H+BEDV Datentechnik GmbH, Германия (http://www.free-av.com). Дистрибутив: 4 612 Кб. Программа версии 6.07.01.54 от 01.06.01г. и база данных 6.07.00.58 обнаруживают и удаляют более 56 059 вирусов.
Эта антивирусная программа сканирует файлы, не только находящиеся в памяти, на локальных дисках, но и загружаемые из Сети. Состоит из нескольких модулей-программ: AntiVir 9x — сканер; AntiVir Guard for Windows 9x/Me — монитор; Personal EditionAntiVir Report — полный отчет об антивирусной программе, с указанием версии, настроек конфигурации, размеров файлов и прочее; AntiVir Scheduler — планировщик задач для AntiVir; AntiVir Support Collector — сбор сведений о системе пользователя с возможностью автоматической отсылки на электронный адрес разработчика для получения технической поддержки.
Внешне обычный антивирусник, на самом деле скрывает богатые возможности по тонкой настройке его работы под выполнение необходимых задач компьютерного пользователя. Есть информация о характеристиках некоторых вирусов (Virus Information).
AntiVir — бесплатная программа исключительно для индивидуального использования на одном компьютере. Не предназначена для коммерческого распространения.
Скачивать отсюда: http://www.free-av.com/personal/en/win9x/avwin9xp.exe . На сайте разработчика имеется также версия и для Windows NT: AntiVir/NT Personal Edition for Windows NT Workstation and Windows 2000.
— Проверяет загрузочные записи гибких и жестких дисков.
— Поддерживает поиск вирусов в архивах (.ZIP, .RAR, .ARJ, .CAB и прочих).
— Ищет вирусы во всех файлах, только в программных модулях и макросах или по маске.
— Выполняемые действия: лечение или удаление зараженного файла с выдачей сообщения о подтверждении или без него.
— Удаленные файлы, находящиеся в корзине, может удалять (с запросом или без) или игнорировать.
— Возможность настройки корректирования времени зараженного файла: не менять, устанавливать текущее системное время или текущую дату.
— Настройка лечения вирусов в макросах: удаление всех подозрительных макросов; удаление всех макросов, если один из них подозрительный; конвертирование шаблонов (всегда, никогда, подтверждать, только файлов .DOC), удаление ссылок на удаленные ранее макросы и их имена из таблиц шаблонов.
— Требования к системе: 3 MB ОЗУ и 6 MB места на диске.
— Автоматическое обновление программы и вирусных сигнатур через Интернет.

2. Leak Test v1.02. Разработчик: Gibson Research Corporation (GRC), Калифорния, США (http://grc.com/lt/leaktest.htm). Дистрибутив: 27 Кб. Версия 1.02 от 14.12.00г.
А эта маленькая программка не является антивирусом. Однако, она и не вирус! Это — тестовая программа для проверки надежности функционирования и настройки того брандмауэра (firewall), которым Вы пользуетесь.
Если у Вас нет брандмауэра, то Вас могут постоянно сканировать все, кому не лень, из Интернета, находить лазейки для проникновения в Ваш компьютер и атаковать его. И это не говоря уже о троянах, которые могут десятками пастись в Вашей компьютерной системе, и Вы об этом никогда не узнаете.
Итак, Вы запускаете Leak Test, нажимаете кнопку "Test for Leaks" и узнаете, дырявый Ваш брандмауэр или нет. Если Вы раньше думали, что любой из них достаточно, хороший, то, оказывается, это не так. Leak Test запрашивает соединение с удаленным сервером NanoProbe по протоколу FTP.
Если брандмауэр функционирует, то на экране появится сообщение с просьбой запретить это соединение или создать для него правило. Если нет, то Leak Test выдаст сообщение: "Firewall Penetrated!" И тут Вам стоит серьезно задуматься над компьютерной защитой.
Скачивать отсюда: http://grc.com/files/LeakTest.exe . Кстати, уже более 1 221 000 человек воспользовались этой утилитой и проверили свою безопасность. Что касается Agnitum Outpost Firewall, о котором я писал раньше, для правильной настройки должен быть выбран режим обучения. В этом случае Вы будете контролировать все подозрительные соединения и не бояться, что что-то останется незамеченным.
Кстати, вот небольшой список надежных брандмауэров, выдержавших тест LeakTest: McAfee Firewall, Sygate Personal FW (FREE), Symantec / Norton, Tiny Personal FW (FREE), ZoneAlarm.
Дырявые, небезопасные брандмауэры: AtGuard, BlackICE Defender, Conseal Desktop, Conseal PC FW, eSafe Desktop, PrivateFirewall 2.0, Lockdown 2000 (более подробно см. http://grc.com/lt/scoreboard.htm ).
Что, не ожидали?
Думали, что лучше AtGuard 3.22 ничего нет? Я тоже так думал, пока не узнал всю правду. AtGuard не развивается с 1999 года, имеет недоработки, приводит к зависанию машины, а многие трояны, попав на компьютер, первым делом выгружают из памяти AVP (антивирус Касперского) и AtGuard!

Новости

Panda анонсирует Panda Antivirus for Exchange 2000 Beta с новым VSAPI
20 июня Panda Software, всемирно известный разработчик антивирусного программного обеспечения, сообщил о доступности улучшенной бета-версии Panda Antivirus for Exchange 2000, который использует новую технологию API-интерфейса от "Майкрософт" для вирусного сканирования (VSAPI). Эта технология будет добавлена в Service Pack 1 для Exchange 2000. Данный сервисный пакет, запланированный на выпуск в этом месяце, включает новую версию API, устраняющую много недостатков предыдущей.
Желающие скачать Panda Antivirus for Exchange 2000 могут сделать это с официальной страницы бета-версии по адресу http://www.pandasoftware.com/beta .
Использование новых технологий — VSAPI от Microsoft и VirtualFile от Panda, которая сканирует сообщения в памяти, а не на жестком диске, и взаимодействует на низком уровне с интерфейсом ISTREAM, — делает Panda Antivirus for Exchange 2000 самым производительным и оптимальным антивирусным решением для Exchange. Panda Antivirus for Exchange 2000 также дает преимущество для одиночных сканирующих систем, показывая наилучшие результаты при средней и максимальной их загрузке.
Это особенно полезно в больших корпоративных средах Exchange и серверах Gateway или Bridgehead, так как Panda Antivirus защищает не только частные ящики пользователей и общие папки, но также и Message Transfer Agent (IMC, X.400), Outlook Web Access (OWA) и другие компоненты платформы.
Panda Antivirus for Exchange 2000 с новым сканирующим движком (Scan Engine) включает следующие основные свойства:
— Новый эвристический механизм для обнаружения неизвестных скриптовых (VBS, JS, VBE, JSE и др.), Win32, макро и MS-DOS вирусов.
— Лечение файлов, сжатых в архивы ZIP, gZIP, LHA и ARJ.
— Сканирование тел сообщений, вложений и сжатых файлов во всех вложенных уровнях.
— Сканирование и лечение форматов MIME, uuencod, base64 и пр.
20.06.01

Вирус угрожает 24 млн мобильных телефонов
Мобильным телефонам с поддержкой I-mode (японский аналог WAP) угрожает новый вирус. Японский оператор сотовой связи NTT DoCoMo предупредил 24 млн своих абонентов о том, что их трубки могут стать жертвами вируса, впервые обнаруженного на этой неделе.
Вирус приходит на мобильник прикрепленным к e-mail. Если открыть зараженное сообщение, телефон сам набирает номер службы спасения, звонит множеству абонентов или попросту перестает работать. Для того чтобы защитить свои трубки от вируса, пользователям мобильников рекомендуется просто не открывать e-mail от незнакомых отправителей. Если по неосторожности зараженное сообщение было открыто и телефон начал звонить всем подряд без ведома владельца, DoCoMo советует нажать кнопку "Stop" или "Clear", а затем заменить аккумулятор. Эти действия, по данным оператора, должны спасти трубку от поломки.
19.06.01 Антивирусный центр www.antiviruspro.ru

Автору вируса "Анна Курникова" грозит только 6 месяцев тюрьмы
12 сентября создатель компьютерного вируса "Анна Курникова" предстанет перед судом.
Имя 20-летнего обвиняемого так и не было раскрыто средствам массовой информации, известно лишь, что молодой человек проживает в голландском городке Сник.
Несмотря на тот факт, что по голландским законам тому, кто причинил подобный ущерб компьютерным системам во всем мире, грозит лишение свободы на срок до 4 лет и штраф в размере около $39 тыс., официальные лица утверждают, что в данном случае молодому человеку грозит максимум 6 месяцев неволи, штраф и до 480 часов общественных работ.
Напомним, что создатель вируса сам сдался властям через несколько дней, после того как фотография известной теннисистки облетела весь мир, выведя из строя множество компьютерных систем.
22.06.01

По материалам www.viruslist.com

Дежурный по карантину
Доктор М macrofag@hotbox.ru


(c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 24 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2021 Компьютерная газета