В период, когда уровень сетевой активности высок и множество пользователей загружают компьютеры и заходят в Интернет впервые, бдительность в вопросах компьютерной безопасности обязательна.
Антивирусное обозрение "В период, когда уровень сетевой активности высок и множество пользователей загружают компьютеры и заходят в Интернет впервые, бдительность в вопросах компьютерной безопасности обязательна".
Ян Хамерофф, бизнес-менеджер отдела антивирусных решений Computer Associates
17 июня "Команда по безопасности" (Securiteam.com) сообщила о том, что в Norton Antivirus резидентный антивирусный мониторинг файлов может быть легко отключен независимо от участия в этом пользователя ( http://www.securiteam.com/windowsntfocus/5LP0I204KU.html ). Для этого существует специальный ключ в реестре, хранящий значение активности данной защиты: HKEY_LOCAL_MA-CHINE\SOFTWARE\INTEL\LANDesk\ VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan. Теоретически любое запущенное приложение, например, инсталлятор, может отключить Norton Antivirus, установить вирус, а затем снова активизировать защиту. Теперь осталось подождать практической реализации этой возможности в очередном вирусе. Пользователи Windows NT и 2000 могут запретить доступ к вышеупомянутому ключу, используя ACL реестра (ACL — это список контроля доступа, Access Control List). 20 июня в "Фокусе защиты" (SecurityFocus.com) Питер Круз (Peter Kruse) из компании Telia Security Group решил тоже высказаться по поводу отключения Norton Antivirus 2001 ( http://www.securityfocus.com/archive/100/192255 ). Оказывается, изменение значения другого ключа HKEY_LOCAL_ MACHINE\System\CurrentControlSet\Services\Norton Program Scheduler\ Start на 0x00000003 заблокирует запуск антивируса. Таким образом, после перезагрузки компьютер, на котором установлен NAV 2001, не сможет больше запустить антивирусный сканер. Два сообщения уже есть, что нас ждет дальше? Какие другие модули антивируса NAV2001 можно отключить с помощью ключей реестра?
Периодически в известных бесплатных почтовых сервисах, таких как Hotmail или Yahoo!, обнаруживаются серьезные дыры в безопасности. Например, в 1998 году из-за недостаточно безопасного выполнения кодов JavaScript в теле письма, Hotmail имела проблемы с кражей паролей. В 1999 году около 40 миллионов частных почтовых ящиков этой почтовой службы неожиданно для всех вдруг стали общедоступными. В июле 2000 год ошибка, названная "сброс данных из кэша", приводила к тому, что служба Hotmail автоматически посылала адрес электронной почты пользователя рекламодателям, чьи баннеры присутствовали в рассылаемых информационных бюллетенях.
На этот раз, однако, стало известно о проблеме, которая может привести к большой вирусной эпидемии.
30 мая прошла информация о том, что скрипты почтовых web-серверов, аналогичных Hotmail и Yahoo Mail, позволяют распространение вирусов типа Melissa. Как это может произойти? Злоумышленник посылает жертве письмо, в теле которого содержится ссылка, указывающая на родной почтовый сервер пользователя. Ссылка содержит ESCAPE-последовательность — код, написанный на JavaScript (опять JavaScript — вечная проблема Microsoft с самого первого дня появления "Свежей почты"!). Как только Web-страница будет загружена, этот код будет сразу же выполнен. Для своего распространения вирус открывает окно, из которого выполняется рассылка сообщений с опасной ссылкой по списку адресной книги жертвы.
Более подробное описание сего безобразия можно почерпнуть отсюда: http://www.sidesport.com/webworm/cl_advisory.html . Но волноваться особо не стоит: Hotmail и Yahoo Mail были извещены об этой дыре и уже устранили ее.
Не секрет, что корпорация Microsoft страшно не любит программное обеспечение с открытым кодом и всячески выступает против него. Последнее "достижение" в этой неприязни принадлежит юристам компании, которые назвали такое ПО "вирусным". Об этом сообщило агентство CNET.COM: http://news.cnet.com/news/0-1003-200-6352301.html .
Юристы корпорации разработали лицензию на вторую бета-версию пакета Mobile Internet Toolkit, используемую программистами для создания серверного ПО для связи ноутбуков через Интернет. Казалось бы, что здесь такого? Вроде, обычная лицензия. Обычная, да не совсем. Данная лицензия запрещает использовать ПО от Microsoft совместно с "потенциально вирусным программным обеспечением" (читай — ПО с открытым кодом). В категорию "вирусного ПО" были отнесены наиболее распространенные лицензии, применяющиеся для публикации отрытых кодов, например, для ОС Linux. Особо отмечены лицензии: General Public License, Lesser General Public License, Mozilla Public License и Sun Industry Standards License.
Как отметила адвокат Дана Хайтер (Dana Hayter) из компании Fenwick & West, занимающейся защитой интеллектуальных прав, "выбор термина ясно показывает отношение компании к таким программам. Я думаю, что это — бранное слово и термин, вводящий в заблуждение пользователей. Они могут решить, что ПО с открытым кодом — это просто вирус, который может повредить их компьютеры. Но, на самом деле, единственный ущерб, который может нанести это ПО, — это снизить доходы гигантской корпорации".
Унизительный для поклонников программ с открытым кодом майкрософтовский термин вызвал возмущение и протест с их стороны. "GPL — это не вирус, а вакцина. Это прививка против использования плодов вашего труда кем-нибудь другим, вроде Microsoft, который использует результаты вашей напряженной работы, включая их в свое изделие, тем самым превращая в свою собственность", — это прозвучало в одном из сообщений в дискуссии, развернувшейся на сайте Slashdot.
Если Microsoft опустилась до таких грязных методов ведения конкурентной борьбы, то, очевидно, ПО с открытыми кодами серьезно ее донимает. Как кость в горле стоит. Словно заноза в пальце. Как вирус, от которого нет лечения. Это для Стива Балмера и Билла Гейтса GPL, отнимающая львиную долю рынка программного обеспечения, является "вирусным ПО". Из-за этого "вирусного ПО" корпорация ежегодно недосчитывается миллиардов долларов прибыли. Только для больших корпораций вроде Microsoft GPL является "вирусным ПО". Но не для обычных компьютерных пользователей, которые это ПО используют, и программистов, которые это ПО создают.
Больше месяца назад Microsoft призналась о наличии системной ошибки в офисном редакторе Word. Эта ошибка приводила к тому, что при открытии RTF-файла был возможен несанкционированный запуск макросов, записанных в шаблоне документа.
Но теперь найдена еще одна аналогичная предыдущей дыра в системе защиты нескольких версий Word. Эта дыра также позволяет незаметно запускать на компьютере ничего не подозревающей жертвы потенциально опасные макросы. Если у Вас установлен редактор Word 97 (или 2000, 2002, японская версия Word 98, Word for Macintosh 98 и 2001), то бегом за новой заплаткой: http://www.microsoft.com/technet/security/bulletin/MS01-034.asp .
Вирусы, которые нас поразили
Здесь — лишь малая часть "появившихся" зловредных саморазмножающихся программ-паразитов. Наверное, чтобы с ними никогда не встречаться, стоит применять антивирусные средства и вовремя их обновлять.
1. Troj/NewsFlood. Новый троянский конь, работающий под Windows и засоряющий форумы Usenet сообщениями о детской порнографии. Программа является формой DoS-атаки (Denial-of-Service — отказ в обслуживании), нацеленной на форумы сети Usenet. NewsFlood соединяется с китайским новостным сервером news.hispeed.ch и постоянно опубликовывает сообщения о детской порнографии в 11 форумах (они же — группы новостей), включая alt.2600, alt.hackers.malicious, alt.comp.virus, alt.region.scientology и alt.binaries.pictures.asparagus.
Кроме того, программа размещает свои сообщения в группе новостей news.admin.net-abuse.usenet, где обычно проходят обсуждения подобных нарушений правил пользования сетью.
Во время публикации сообщений программа постоянно меняет содержимое заголовков From: и Subject:.
Антивирусные фирмы считают, что данный троян не является особо опасным, так как не причиняет ощутимого вреда. А у участников конференций есть способы фильтрации приходящих сообщений.
2. ANTICRISTO. Это не вирус, а мистификация в чистом виде. Распространяется в виде сообщения на английском языке. Как обычно, якобы самый "страшный вирус в истории", уничтожает всю информацию в компьютере, а данное сообщение нужно передать как можно большему количеству людей. Особенность фальшивки в том, что якобы компании Microsoft и McAfee подтвердили большую разрушительную силу описываемого "вируса".
3. WM97/Myna-AS. Новый вариант макро-вируса, заражающего документы Microsoft Word, найден в "диком виде". Вирус периодически проверяет системное время и дату на компьютере, и если минуты оказываются равны значению текущего дня месяца (например, время — 15.10, день — 10 июля), то добавляет в активный документ 10 пятиугольников случайного размера и цвета.
4. TROJ_VAMP.A. Троянская программа, распространяющаяся через ICQ. Написана на Visual Basic. Каждые 20 минут троян незаметно для пользователя зараженной машины отправляет другим пользователям, подключившимся к ней по ICQ, свою копию — файл "THIS ROX.ZIP.EXE". При своем распространении программа пользуется уязвимостью под названием "ICQ file extension": получатель будет видеть название файла как "THIS ROX.ZIP".
Вирусный ТОП-10. Июнь 2001г.
1. W32/Magistr-A
2. W32/Badtrans-A
3. VBS/VBSWG-X (он же I-Worm.Homepage)
4. W32/Apology-B
5. W32/Hybris-B
6. Troj/Keylog-C
7. W32/Flcss
8. W32/Navidad-B
9, 10. VBS/Kakworm и VBS/VBSWG-Z (он же I-Worm.Mawanella).
Источник: www.sophos.com .
"Десятку июня возглавляет очень опасный вирус-червь Магистр. Этот червь доминирует в вирусной десятке последние три месяца. Кажется, что полученное почтовое сообщение — обычное. Не открывайте вложенные файлы от незнакомых людей". Так говорит Питер Купер (Peter Cooper), менеджер по поддержке антивируса Sophos в Великобритании.
"Еще один сильно разрекламированный вирус Homepage продолжает заражать многих людей (people). Складывается впечатление, что компьютерные пользователи все еще игнорируют предупреждения и забывают обновлять свою антивирусную защиту".
Июнь месяц также показал возрождение вируса Apology-B, который не дает инфицированным пользователям получать доступ к сайтам многих антивирусных продавцов, запрещая таким образом загрузку защиты. Sophos напоминает, что пользователи, которые регулярно обновляют свои антивирусные программы, будут защищены от всех известных вирусов.
В июне 2001 года Sophos обнаружила и нашла защиту против 794 новых вирусов. Общее количество вирусов в базе данных составило 64894.
ПВО — противовирусная оборона
1. F-PROT for Windows v3.09a. Разработчик: Frisk Software International, Рейкьявик, Исландия ( www.complex.is ). Дистрибутив: 5 457 КБ (ZIP). Версия от 23.04.01 с базами данных SIGN.DEF от 05.06.01г., SIGN2.DEF от 05.06.01г. и MACRO.DEF от 19.06.01г. защищают от 54 849 вирусов, троянов и других подозрительных программ.
Комплекс антивирусной защиты для Windows 95/98/ME. Количество обнаруживаемых вирусов F-PROT на 20% превышает аналогичный показатель для KAV (там 46434 известных вирусов на 20.06.01г). Центральный модуль комплекса — резидентный монитор F-Stopw. Он проверяет открываемые, копируемые, запускаемые, создаваемые и загружаемые из Сети файлы на вирусы, что называется, "на лету". Работает только под Windows 95/98. Одновременная работа с другими антивирусными программами не рекомендуется — возможны конфликты. Другие компоненты антивирусного комплекса: F-Prot for Windows — сканер для Windows, F-Check — проверка целостности файлов, F-Prot for DOS — версия сканера для DOS (о ней я писал в КГ №15 от 17.04.01), F-Scheduler — для запуска антивируса по расписанию. Сканеры для DOS и Windows, а также резидентный сторож F-Stopw могут использоваться самостоятельно, независимо от других программ комплекса. Заметим, что резидентный монитор F-Stopw в оперативной памяти занимает 250 Кб, а в виртуальной — 4020 Кб.
Разработчики сообщают, что в состав антивируса скоро будет входить F-Stopw для всех версий Windows (в том числе и для NT).
Кстати, при тестировании антивирусов под операционной системой Windows 2000, которое проводил в апреле английский журнал "Вирусный бюллетень" (Virus Bulletin, ww.virusbtn.com), Frisk F-Prot v3.09 получил престижную награду VB100%. Это означает, что он нашел все предложенные ему вирусы. Но не стоит думать, что он был единственным победителем. Такие награды получили еще 8 продуктов от других известных антивирусных компаний.
Скачивать пробную версию отсюда: ftp.iroe.fi.cnr.it/pub/mirrors/ftp.complex.is/pub/fp-win_trial.zip .
— Есть все необходимые функции для тонкой настройки антивируса.
— Условия распространения — Trial (30 дней).
— Цена регистрации — 25$ (для личного использования).
— Выбор для сканирования: всех файлов, по настраиваемой маске или только макросов.
— Установка включения антивируса на любом документе, содержащем макросы.
— Поддерживает проверку архивных файлов, сжатых исполняемых файлов.
— Проверка загрузочных секторов гибких дисков.
— Эвристический анализ: обнаружение неизвестных ранее вирусов. Возможны ложные тревоги.
— Действия при нахождении вируса: блокировка доступа, переименование, перемещение в специальную папку, удаление, лечение или выдача только соответствующего сообщения.
— Ведение лог-файла — отчета по выполненным действиям.
— Добавление "исключений": указание директориев (с поддиректориями или нет) на диске, проверку которых не выполнять.
— Файл win386.swp также исключен из проверки.
— Режим автоматического обновления сигнатурных вирусных баз через Сеть отсутствует.
2. AntiVBS. Разработчик: Суменковым И.И., Россия, г. Москва ( www.trojan.ru ). Дистрибутив: 365 КБ. Обнаруживает и удаляет вирус LoveLetter.
Это еще одна программа для лечения компьютера от "вируса Любви". Сколько прошло времени (больше года!), а этот червь и его модификации до сих пор находят своих жертв. Как сказал Грэм Клули, старший консультант по технологиям Sophos, "людям надо начать уже думать головой, а не тем, что в брюках" ( http://www.theregister.co.uk/content/6/15134.html ).
После короткой инсталляции программы на экране появляется сообщение "Пpoгpaммa AntiVBS найдет и уничтожит вирус VBSLoveLetter ("I Love You"), а также BCE его модификации и клоны. Последние версии AntiVBS, а также популярного aнтитpoяня AVTrojan всегда можно найти на сервере TROJAN.RU".
Антивирусный сканер проверяет жесткие диски компьютера и "лечит" найденные вирусы. Кроме "любовного письма", он обнаруживает также все Visual Basic Script-вирусы. В оперативной памяти забирает 423 КБ, а в виртуальной — 5912 КБ.
Кстати, если судить по последним рейтингам популярности вирусов, то "I Love You" и его модификации стабильно занимают первые места. О чем это говорит? О том, что наибольшая опасность исходит именно от него! Поэтому не стоит надеяться на то, что мол, "меня это не касается, пронесет!" Может быть, пронесет, а может быть, и нет. Но если вам дорога информация на машине, за которой работаете, то о компьютерной безопасности нужно думать совсем не в последнюю очередь.
Новости
• 23 июня 2001 года Национальный центр по защите инфраструктуры (National Infrastructure Protection Center — NIPC) и Федеральный центр по борьбе с компьютерными преступлениями (Federal Computer Incident Response Center — FedCIRC) получили информацию о новом злонамеренном коде, известном как W32-Leaves.worm (W32/Leave-A). Этот червь стремится разместиться на тех компьютерах, которые предварительно были инфицированы троянским конем, утилитой удаленного администрирования SubSeven. Для этого он сканирует системы на присутствие трояна Subseven/BackDoor-G и, в случае его обнаружения, заражает их. В настоящее время выясняется, какой вред может нанести этот червь и, соответственно, разрабатываются меры защиты против него. Предполагается, что W32-Leaves.worm может быть использован для выполнения массовых распределенных DOS-атак.
SubSeven — это троянский конь, который дает удаленному компьютеру полное управление зараженной машиной. Обычно троян для связи использует каналы Internet Relay Chat (IRC). По умолчанию для прослушивания сетевого трафика SubSeven использует порты 16959 и 27374, но они могут изменяться в зависимости от версии и модификации трояна. Компьютерным пользователям рекомендуется принять все меры для поиска и удаления SubSeven.
Интернет-червь "Листья" использует порты SubSeven для размещения на зараженных машинах своего дополнительного кода. Хотя опасность, исходящая от червя, до конца еще не изучена, сигнатурные базы данных для обнаружения вируса можно получить на сайтах антивирусных компаний Symantec, McAfee и Trend Micro.
Антивирусная лаборатория AVERT компании Network Associates оценила опасность "Листьев" на уровне среднего уровня. Что это значит? Средний уровень характеризуется тем, что некоторые файлы могут быть удалены, а компьютер может быть временно неработоспособен. Один из симптомов заражения Интернет-червем — на диске находится зашифрованный файл ACI3.DLL или regsv.exe. Более подробные характеристики червя можно узнать здесь: http://vil.nai.com/vil/virusChar.asp?virus_k=99115 . Заметим, что последний раз средний уровень риска присваивался для VbScript вируса VBS/VBSWG.Z@MM, известного нам как Mawanella, больше месяца назад — 16 мая. 23.06.01 Nipc.gov, Nai.сom
• 20 июня 2001 года вышла очередная версия 4.25 антивирусного семейства DrWeb32. Существуют варианты антивируса для Windows 95/98/Me/NT/2000, DOS/386, OS/2, Novell NetWare и Linux/FreeBSD. Список проверяемых объектов пополнился почтовыми базами Outlook Express и объектами ActiveMime. Теперь вирусная база DrWeb содержит 25220 вирусных записей. С сайта разработчика www.dials.ru можно свободно скачать ознакомительную версию. Напомним, что ограничения ознакомительной версии по сравнению с полнофункциональной коммерческой состоят в следующем:
— при старте программы выдается сообщение о том, что данная версия является ознакомительной;
— не проверяются архивы;
— не проверяются упакованные исполняемые файлы;
— не проводится эвристический анализ файлов;
— невозможно лечение, удаление, перемещение и переименование зараженных и подозрительных файлов.
Функциональные возможности ознакомительных версий могут быть изменены путем записи в рабочий каталог программы Doctor Web специального файла-ключа.
В частности, вместе с каждой очередной версией программы DrWeb32 ДиалогHаука распространяет свободно и бесплатно специальный ознакомительный ключ (который работоспособен только для одной единственной конкретной версии, вместе с которой он распространяется). При наличии этого ключа ограничения функциональных возможностей программы являются менее жесткими и сводятся к следующему: при старте программы выдается сообщение о том, что данная версия является ознакомительной; не проверяются архивы; невозможно лечение зараженных файлов. 20.06.01 Dials.ru
• Украинским Антивирусным Центром (УАЦ) был обнаружен вирус Macro.Word97.Thus.db, который был призван бороться с семейством вирусов WM97.Thus, но лишь пополнил их.
Автор вируса задумывал свое творение как антивирусную вакцину, которая должна предотвращать заражение документа вирусом Macro.Word97.Thus, устанавливая в документах метку о том, что документ уже заражен. Макрос сам создан на основе вируса Macro.Word97.Thus, но лишен деструктивных функций, которыми так изобилует семейство вирусов Macro.Word97.Thus. Но, несмотря ни на что, вакцина не может считаться антивирусной программой, так как производит копирования себя в документы без ведома пользователя, выполняя, таким образом, вирусную функцию.
Некоторые антивирусы обнаруживают данное семейство по нескольким строкам, поэтому благой вирус также ими обнаруживается, и пишут после этого провайдеры своим клиентам, что их компьютеры заражены и от них исходят инфицированные файлы, а зачастую даже грозятся отключить их от Интернета, если на компьютерах пользователей не будет наведен порядок.
Так стоит ли писать саморазмножающиеся антивирусы?.. 27.06.01 УАЦ
Компьютерные вирусы — это высокое искусство
На одной из самых престижных международных выставок современного искусства, 49-ой La Biennale di Vinezia, выставлен компьютер, на экране которого в режиме реального времени отражаются все деструктивные действия, производимые новым, написанным специально к выставке вирусом biennale.py.
Как сообщает Wired News, данный образец высокого искусства создан европейским коллективом сетевых художников 0100101110101101.org и известной в хакерской среде группой разработчиков Epidemic.ws. Процесс заражения выставленного компьютера начался 10 июня, в день открытия выставки, а наблюдать за тем, как уничтожаются файлы и сгорают программы, можно будет вплоть до дня закрытия, то есть до конца ноября.
По утверждению вирусописателей, вредоносные программы, как и всякое другое создание рук человеческих, имеют право быть выставленными на всеобщее любование. "Код вирусной программы является таким же созданием человеческого разума, как стихи или музыка, — утверждают авторы вируса. — Вирус есть самовоспроизводящаяся программа — бесполезное, но опасное творение, схожее с классическим искусством".
Вирус biennale.py поражает только программы, написанные на языке Python. Это, по мнению вирусописателей, также весьма символично и концептуально: Python в программисткой среде считается культовым языком, своеобразной тайнописью, доступной только для посвященных, и редкий программист позволяет себе такое удовольствие, как написание программ на нем. В отличие от множества языков, Python даже создавался с удовольствием.
Авторы вируса также распечатали код вредоносной программы на двух тысячах футболок и записали 10 компакт-дисков, содержащих вредоносный код. По сведениям Wired News, уже продано 1.400 футболок по 15 долларов за каждую и три CD по полторы тысячи долларов за штуку. Причем покупатели предпочли остаться неизвестными, поскольку опасаются преследований со стороны властей. Впрочем, любой желающий может скачать этот код из Сети бесплатно.
О вирусе извещены все крупнейшие софтверные и антивирусные компании. На сайтах разработчиков также выложены подробные инструкции о том, как с вирусом бороться.
По словам представителей 0100101110101101.org, цель создания вируса biennale.py — научить пользователя не бояться вирусов и рассказать, чем вирусы являются на самом деле, чтобы каждый раз при появлении нового вируса пользователи не устраивали параноидальной истерии по этому поводу. 28.06.2001 Netoscope.ru
Дежурный по карантину
Доктор М macrofag@hotbox.ru
(c) компьютерная газета
Ян Хамерофф, бизнес-менеджер отдела антивирусных решений Computer Associates
17 июня "Команда по безопасности" (Securiteam.com) сообщила о том, что в Norton Antivirus резидентный антивирусный мониторинг файлов может быть легко отключен независимо от участия в этом пользователя ( http://www.securiteam.com/windowsntfocus/5LP0I204KU.html ). Для этого существует специальный ключ в реестре, хранящий значение активности данной защиты: HKEY_LOCAL_MA-CHINE\SOFTWARE\INTEL\LANDesk\ VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan. Теоретически любое запущенное приложение, например, инсталлятор, может отключить Norton Antivirus, установить вирус, а затем снова активизировать защиту. Теперь осталось подождать практической реализации этой возможности в очередном вирусе. Пользователи Windows NT и 2000 могут запретить доступ к вышеупомянутому ключу, используя ACL реестра (ACL — это список контроля доступа, Access Control List). 20 июня в "Фокусе защиты" (SecurityFocus.com) Питер Круз (Peter Kruse) из компании Telia Security Group решил тоже высказаться по поводу отключения Norton Antivirus 2001 ( http://www.securityfocus.com/archive/100/192255 ). Оказывается, изменение значения другого ключа HKEY_LOCAL_ MACHINE\System\CurrentControlSet\Services\Norton Program Scheduler\ Start на 0x00000003 заблокирует запуск антивируса. Таким образом, после перезагрузки компьютер, на котором установлен NAV 2001, не сможет больше запустить антивирусный сканер. Два сообщения уже есть, что нас ждет дальше? Какие другие модули антивируса NAV2001 можно отключить с помощью ключей реестра?
Периодически в известных бесплатных почтовых сервисах, таких как Hotmail или Yahoo!, обнаруживаются серьезные дыры в безопасности. Например, в 1998 году из-за недостаточно безопасного выполнения кодов JavaScript в теле письма, Hotmail имела проблемы с кражей паролей. В 1999 году около 40 миллионов частных почтовых ящиков этой почтовой службы неожиданно для всех вдруг стали общедоступными. В июле 2000 год ошибка, названная "сброс данных из кэша", приводила к тому, что служба Hotmail автоматически посылала адрес электронной почты пользователя рекламодателям, чьи баннеры присутствовали в рассылаемых информационных бюллетенях.
На этот раз, однако, стало известно о проблеме, которая может привести к большой вирусной эпидемии.
30 мая прошла информация о том, что скрипты почтовых web-серверов, аналогичных Hotmail и Yahoo Mail, позволяют распространение вирусов типа Melissa. Как это может произойти? Злоумышленник посылает жертве письмо, в теле которого содержится ссылка, указывающая на родной почтовый сервер пользователя. Ссылка содержит ESCAPE-последовательность — код, написанный на JavaScript (опять JavaScript — вечная проблема Microsoft с самого первого дня появления "Свежей почты"!). Как только Web-страница будет загружена, этот код будет сразу же выполнен. Для своего распространения вирус открывает окно, из которого выполняется рассылка сообщений с опасной ссылкой по списку адресной книги жертвы.
Более подробное описание сего безобразия можно почерпнуть отсюда: http://www.sidesport.com/webworm/cl_advisory.html . Но волноваться особо не стоит: Hotmail и Yahoo Mail были извещены об этой дыре и уже устранили ее.
Не секрет, что корпорация Microsoft страшно не любит программное обеспечение с открытым кодом и всячески выступает против него. Последнее "достижение" в этой неприязни принадлежит юристам компании, которые назвали такое ПО "вирусным". Об этом сообщило агентство CNET.COM: http://news.cnet.com/news/0-1003-200-6352301.html .
Юристы корпорации разработали лицензию на вторую бета-версию пакета Mobile Internet Toolkit, используемую программистами для создания серверного ПО для связи ноутбуков через Интернет. Казалось бы, что здесь такого? Вроде, обычная лицензия. Обычная, да не совсем. Данная лицензия запрещает использовать ПО от Microsoft совместно с "потенциально вирусным программным обеспечением" (читай — ПО с открытым кодом). В категорию "вирусного ПО" были отнесены наиболее распространенные лицензии, применяющиеся для публикации отрытых кодов, например, для ОС Linux. Особо отмечены лицензии: General Public License, Lesser General Public License, Mozilla Public License и Sun Industry Standards License.
Как отметила адвокат Дана Хайтер (Dana Hayter) из компании Fenwick & West, занимающейся защитой интеллектуальных прав, "выбор термина ясно показывает отношение компании к таким программам. Я думаю, что это — бранное слово и термин, вводящий в заблуждение пользователей. Они могут решить, что ПО с открытым кодом — это просто вирус, который может повредить их компьютеры. Но, на самом деле, единственный ущерб, который может нанести это ПО, — это снизить доходы гигантской корпорации".
Унизительный для поклонников программ с открытым кодом майкрософтовский термин вызвал возмущение и протест с их стороны. "GPL — это не вирус, а вакцина. Это прививка против использования плодов вашего труда кем-нибудь другим, вроде Microsoft, который использует результаты вашей напряженной работы, включая их в свое изделие, тем самым превращая в свою собственность", — это прозвучало в одном из сообщений в дискуссии, развернувшейся на сайте Slashdot.
Если Microsoft опустилась до таких грязных методов ведения конкурентной борьбы, то, очевидно, ПО с открытыми кодами серьезно ее донимает. Как кость в горле стоит. Словно заноза в пальце. Как вирус, от которого нет лечения. Это для Стива Балмера и Билла Гейтса GPL, отнимающая львиную долю рынка программного обеспечения, является "вирусным ПО". Из-за этого "вирусного ПО" корпорация ежегодно недосчитывается миллиардов долларов прибыли. Только для больших корпораций вроде Microsoft GPL является "вирусным ПО". Но не для обычных компьютерных пользователей, которые это ПО используют, и программистов, которые это ПО создают.
Больше месяца назад Microsoft призналась о наличии системной ошибки в офисном редакторе Word. Эта ошибка приводила к тому, что при открытии RTF-файла был возможен несанкционированный запуск макросов, записанных в шаблоне документа.
Но теперь найдена еще одна аналогичная предыдущей дыра в системе защиты нескольких версий Word. Эта дыра также позволяет незаметно запускать на компьютере ничего не подозревающей жертвы потенциально опасные макросы. Если у Вас установлен редактор Word 97 (или 2000, 2002, японская версия Word 98, Word for Macintosh 98 и 2001), то бегом за новой заплаткой: http://www.microsoft.com/technet/security/bulletin/MS01-034.asp .
Вирусы, которые нас поразили
Здесь — лишь малая часть "появившихся" зловредных саморазмножающихся программ-паразитов. Наверное, чтобы с ними никогда не встречаться, стоит применять антивирусные средства и вовремя их обновлять.
1. Troj/NewsFlood. Новый троянский конь, работающий под Windows и засоряющий форумы Usenet сообщениями о детской порнографии. Программа является формой DoS-атаки (Denial-of-Service — отказ в обслуживании), нацеленной на форумы сети Usenet. NewsFlood соединяется с китайским новостным сервером news.hispeed.ch и постоянно опубликовывает сообщения о детской порнографии в 11 форумах (они же — группы новостей), включая alt.2600, alt.hackers.malicious, alt.comp.virus, alt.region.scientology и alt.binaries.pictures.asparagus.
Кроме того, программа размещает свои сообщения в группе новостей news.admin.net-abuse.usenet, где обычно проходят обсуждения подобных нарушений правил пользования сетью.
Во время публикации сообщений программа постоянно меняет содержимое заголовков From: и Subject:.
Антивирусные фирмы считают, что данный троян не является особо опасным, так как не причиняет ощутимого вреда. А у участников конференций есть способы фильтрации приходящих сообщений.
2. ANTICRISTO. Это не вирус, а мистификация в чистом виде. Распространяется в виде сообщения на английском языке. Как обычно, якобы самый "страшный вирус в истории", уничтожает всю информацию в компьютере, а данное сообщение нужно передать как можно большему количеству людей. Особенность фальшивки в том, что якобы компании Microsoft и McAfee подтвердили большую разрушительную силу описываемого "вируса".
3. WM97/Myna-AS. Новый вариант макро-вируса, заражающего документы Microsoft Word, найден в "диком виде". Вирус периодически проверяет системное время и дату на компьютере, и если минуты оказываются равны значению текущего дня месяца (например, время — 15.10, день — 10 июля), то добавляет в активный документ 10 пятиугольников случайного размера и цвета.
4. TROJ_VAMP.A. Троянская программа, распространяющаяся через ICQ. Написана на Visual Basic. Каждые 20 минут троян незаметно для пользователя зараженной машины отправляет другим пользователям, подключившимся к ней по ICQ, свою копию — файл "THIS ROX.ZIP.EXE". При своем распространении программа пользуется уязвимостью под названием "ICQ file extension": получатель будет видеть название файла как "THIS ROX.ZIP".
Вирусный ТОП-10. Июнь 2001г.
1. W32/Magistr-A
2. W32/Badtrans-A
3. VBS/VBSWG-X (он же I-Worm.Homepage)
4. W32/Apology-B
5. W32/Hybris-B
6. Troj/Keylog-C
7. W32/Flcss
8. W32/Navidad-B
9, 10. VBS/Kakworm и VBS/VBSWG-Z (он же I-Worm.Mawanella).
Источник: www.sophos.com .
"Десятку июня возглавляет очень опасный вирус-червь Магистр. Этот червь доминирует в вирусной десятке последние три месяца. Кажется, что полученное почтовое сообщение — обычное. Не открывайте вложенные файлы от незнакомых людей". Так говорит Питер Купер (Peter Cooper), менеджер по поддержке антивируса Sophos в Великобритании.
"Еще один сильно разрекламированный вирус Homepage продолжает заражать многих людей (people). Складывается впечатление, что компьютерные пользователи все еще игнорируют предупреждения и забывают обновлять свою антивирусную защиту".
Июнь месяц также показал возрождение вируса Apology-B, который не дает инфицированным пользователям получать доступ к сайтам многих антивирусных продавцов, запрещая таким образом загрузку защиты. Sophos напоминает, что пользователи, которые регулярно обновляют свои антивирусные программы, будут защищены от всех известных вирусов.
В июне 2001 года Sophos обнаружила и нашла защиту против 794 новых вирусов. Общее количество вирусов в базе данных составило 64894.
ПВО — противовирусная оборона
1. F-PROT for Windows v3.09a. Разработчик: Frisk Software International, Рейкьявик, Исландия ( www.complex.is ). Дистрибутив: 5 457 КБ (ZIP). Версия от 23.04.01 с базами данных SIGN.DEF от 05.06.01г., SIGN2.DEF от 05.06.01г. и MACRO.DEF от 19.06.01г. защищают от 54 849 вирусов, троянов и других подозрительных программ.
Комплекс антивирусной защиты для Windows 95/98/ME. Количество обнаруживаемых вирусов F-PROT на 20% превышает аналогичный показатель для KAV (там 46434 известных вирусов на 20.06.01г). Центральный модуль комплекса — резидентный монитор F-Stopw. Он проверяет открываемые, копируемые, запускаемые, создаваемые и загружаемые из Сети файлы на вирусы, что называется, "на лету". Работает только под Windows 95/98. Одновременная работа с другими антивирусными программами не рекомендуется — возможны конфликты. Другие компоненты антивирусного комплекса: F-Prot for Windows — сканер для Windows, F-Check — проверка целостности файлов, F-Prot for DOS — версия сканера для DOS (о ней я писал в КГ №15 от 17.04.01), F-Scheduler — для запуска антивируса по расписанию. Сканеры для DOS и Windows, а также резидентный сторож F-Stopw могут использоваться самостоятельно, независимо от других программ комплекса. Заметим, что резидентный монитор F-Stopw в оперативной памяти занимает 250 Кб, а в виртуальной — 4020 Кб.
Разработчики сообщают, что в состав антивируса скоро будет входить F-Stopw для всех версий Windows (в том числе и для NT).
Кстати, при тестировании антивирусов под операционной системой Windows 2000, которое проводил в апреле английский журнал "Вирусный бюллетень" (Virus Bulletin, ww.virusbtn.com), Frisk F-Prot v3.09 получил престижную награду VB100%. Это означает, что он нашел все предложенные ему вирусы. Но не стоит думать, что он был единственным победителем. Такие награды получили еще 8 продуктов от других известных антивирусных компаний.
Скачивать пробную версию отсюда: ftp.iroe.fi.cnr.it/pub/mirrors/ftp.complex.is/pub/fp-win_trial.zip .
— Есть все необходимые функции для тонкой настройки антивируса.
— Условия распространения — Trial (30 дней).
— Цена регистрации — 25$ (для личного использования).
— Выбор для сканирования: всех файлов, по настраиваемой маске или только макросов.
— Установка включения антивируса на любом документе, содержащем макросы.
— Поддерживает проверку архивных файлов, сжатых исполняемых файлов.
— Проверка загрузочных секторов гибких дисков.
— Эвристический анализ: обнаружение неизвестных ранее вирусов. Возможны ложные тревоги.
— Действия при нахождении вируса: блокировка доступа, переименование, перемещение в специальную папку, удаление, лечение или выдача только соответствующего сообщения.
— Ведение лог-файла — отчета по выполненным действиям.
— Добавление "исключений": указание директориев (с поддиректориями или нет) на диске, проверку которых не выполнять.
— Файл win386.swp также исключен из проверки.
— Режим автоматического обновления сигнатурных вирусных баз через Сеть отсутствует.
2. AntiVBS. Разработчик: Суменковым И.И., Россия, г. Москва ( www.trojan.ru ). Дистрибутив: 365 КБ. Обнаруживает и удаляет вирус LoveLetter.
Это еще одна программа для лечения компьютера от "вируса Любви". Сколько прошло времени (больше года!), а этот червь и его модификации до сих пор находят своих жертв. Как сказал Грэм Клули, старший консультант по технологиям Sophos, "людям надо начать уже думать головой, а не тем, что в брюках" ( http://www.theregister.co.uk/content/6/15134.html ).
После короткой инсталляции программы на экране появляется сообщение "Пpoгpaммa AntiVBS найдет и уничтожит вирус VBSLoveLetter ("I Love You"), а также BCE его модификации и клоны. Последние версии AntiVBS, а также популярного aнтитpoяня AVTrojan всегда можно найти на сервере TROJAN.RU".
Антивирусный сканер проверяет жесткие диски компьютера и "лечит" найденные вирусы. Кроме "любовного письма", он обнаруживает также все Visual Basic Script-вирусы. В оперативной памяти забирает 423 КБ, а в виртуальной — 5912 КБ.
Кстати, если судить по последним рейтингам популярности вирусов, то "I Love You" и его модификации стабильно занимают первые места. О чем это говорит? О том, что наибольшая опасность исходит именно от него! Поэтому не стоит надеяться на то, что мол, "меня это не касается, пронесет!" Может быть, пронесет, а может быть, и нет. Но если вам дорога информация на машине, за которой работаете, то о компьютерной безопасности нужно думать совсем не в последнюю очередь.
Новости
• 23 июня 2001 года Национальный центр по защите инфраструктуры (National Infrastructure Protection Center — NIPC) и Федеральный центр по борьбе с компьютерными преступлениями (Federal Computer Incident Response Center — FedCIRC) получили информацию о новом злонамеренном коде, известном как W32-Leaves.worm (W32/Leave-A). Этот червь стремится разместиться на тех компьютерах, которые предварительно были инфицированы троянским конем, утилитой удаленного администрирования SubSeven. Для этого он сканирует системы на присутствие трояна Subseven/BackDoor-G и, в случае его обнаружения, заражает их. В настоящее время выясняется, какой вред может нанести этот червь и, соответственно, разрабатываются меры защиты против него. Предполагается, что W32-Leaves.worm может быть использован для выполнения массовых распределенных DOS-атак.
SubSeven — это троянский конь, который дает удаленному компьютеру полное управление зараженной машиной. Обычно троян для связи использует каналы Internet Relay Chat (IRC). По умолчанию для прослушивания сетевого трафика SubSeven использует порты 16959 и 27374, но они могут изменяться в зависимости от версии и модификации трояна. Компьютерным пользователям рекомендуется принять все меры для поиска и удаления SubSeven.
Интернет-червь "Листья" использует порты SubSeven для размещения на зараженных машинах своего дополнительного кода. Хотя опасность, исходящая от червя, до конца еще не изучена, сигнатурные базы данных для обнаружения вируса можно получить на сайтах антивирусных компаний Symantec, McAfee и Trend Micro.
Антивирусная лаборатория AVERT компании Network Associates оценила опасность "Листьев" на уровне среднего уровня. Что это значит? Средний уровень характеризуется тем, что некоторые файлы могут быть удалены, а компьютер может быть временно неработоспособен. Один из симптомов заражения Интернет-червем — на диске находится зашифрованный файл ACI3.DLL или regsv.exe. Более подробные характеристики червя можно узнать здесь: http://vil.nai.com/vil/virusChar.asp?virus_k=99115 . Заметим, что последний раз средний уровень риска присваивался для VbScript вируса VBS/VBSWG.Z@MM, известного нам как Mawanella, больше месяца назад — 16 мая. 23.06.01 Nipc.gov, Nai.сom
• 20 июня 2001 года вышла очередная версия 4.25 антивирусного семейства DrWeb32. Существуют варианты антивируса для Windows 95/98/Me/NT/2000, DOS/386, OS/2, Novell NetWare и Linux/FreeBSD. Список проверяемых объектов пополнился почтовыми базами Outlook Express и объектами ActiveMime. Теперь вирусная база DrWeb содержит 25220 вирусных записей. С сайта разработчика www.dials.ru можно свободно скачать ознакомительную версию. Напомним, что ограничения ознакомительной версии по сравнению с полнофункциональной коммерческой состоят в следующем:
— при старте программы выдается сообщение о том, что данная версия является ознакомительной;
— не проверяются архивы;
— не проверяются упакованные исполняемые файлы;
— не проводится эвристический анализ файлов;
— невозможно лечение, удаление, перемещение и переименование зараженных и подозрительных файлов.
Функциональные возможности ознакомительных версий могут быть изменены путем записи в рабочий каталог программы Doctor Web специального файла-ключа.
В частности, вместе с каждой очередной версией программы DrWeb32 ДиалогHаука распространяет свободно и бесплатно специальный ознакомительный ключ (который работоспособен только для одной единственной конкретной версии, вместе с которой он распространяется). При наличии этого ключа ограничения функциональных возможностей программы являются менее жесткими и сводятся к следующему: при старте программы выдается сообщение о том, что данная версия является ознакомительной; не проверяются архивы; невозможно лечение зараженных файлов. 20.06.01 Dials.ru
• Украинским Антивирусным Центром (УАЦ) был обнаружен вирус Macro.Word97.Thus.db, который был призван бороться с семейством вирусов WM97.Thus, но лишь пополнил их.
Автор вируса задумывал свое творение как антивирусную вакцину, которая должна предотвращать заражение документа вирусом Macro.Word97.Thus, устанавливая в документах метку о том, что документ уже заражен. Макрос сам создан на основе вируса Macro.Word97.Thus, но лишен деструктивных функций, которыми так изобилует семейство вирусов Macro.Word97.Thus. Но, несмотря ни на что, вакцина не может считаться антивирусной программой, так как производит копирования себя в документы без ведома пользователя, выполняя, таким образом, вирусную функцию.
Некоторые антивирусы обнаруживают данное семейство по нескольким строкам, поэтому благой вирус также ими обнаруживается, и пишут после этого провайдеры своим клиентам, что их компьютеры заражены и от них исходят инфицированные файлы, а зачастую даже грозятся отключить их от Интернета, если на компьютерах пользователей не будет наведен порядок.
Так стоит ли писать саморазмножающиеся антивирусы?.. 27.06.01 УАЦ
Компьютерные вирусы — это высокое искусство
На одной из самых престижных международных выставок современного искусства, 49-ой La Biennale di Vinezia, выставлен компьютер, на экране которого в режиме реального времени отражаются все деструктивные действия, производимые новым, написанным специально к выставке вирусом biennale.py.
Как сообщает Wired News, данный образец высокого искусства создан европейским коллективом сетевых художников 0100101110101101.org и известной в хакерской среде группой разработчиков Epidemic.ws. Процесс заражения выставленного компьютера начался 10 июня, в день открытия выставки, а наблюдать за тем, как уничтожаются файлы и сгорают программы, можно будет вплоть до дня закрытия, то есть до конца ноября.
По утверждению вирусописателей, вредоносные программы, как и всякое другое создание рук человеческих, имеют право быть выставленными на всеобщее любование. "Код вирусной программы является таким же созданием человеческого разума, как стихи или музыка, — утверждают авторы вируса. — Вирус есть самовоспроизводящаяся программа — бесполезное, но опасное творение, схожее с классическим искусством".
Вирус biennale.py поражает только программы, написанные на языке Python. Это, по мнению вирусописателей, также весьма символично и концептуально: Python в программисткой среде считается культовым языком, своеобразной тайнописью, доступной только для посвященных, и редкий программист позволяет себе такое удовольствие, как написание программ на нем. В отличие от множества языков, Python даже создавался с удовольствием.
Авторы вируса также распечатали код вредоносной программы на двух тысячах футболок и записали 10 компакт-дисков, содержащих вредоносный код. По сведениям Wired News, уже продано 1.400 футболок по 15 долларов за каждую и три CD по полторы тысячи долларов за штуку. Причем покупатели предпочли остаться неизвестными, поскольку опасаются преследований со стороны властей. Впрочем, любой желающий может скачать этот код из Сети бесплатно.
О вирусе извещены все крупнейшие софтверные и антивирусные компании. На сайтах разработчиков также выложены подробные инструкции о том, как с вирусом бороться.
По словам представителей 0100101110101101.org, цель создания вируса biennale.py — научить пользователя не бояться вирусов и рассказать, чем вирусы являются на самом деле, чтобы каждый раз при появлении нового вируса пользователи не устраивали параноидальной истерии по этому поводу. 28.06.2001 Netoscope.ru
Дежурный по карантину
Доктор М macrofag@hotbox.ru
(c) компьютерная газета
Компьютерная газета. Статья была опубликована в номере 25 за 2001 год в рубрике безопасность :: Антивирусное обозрение
