Вы полагаете, до людей дошло, что не надо тыкать мышью во все, что падает им в почту. Но, похоже, все вокруг думают не мозгами, а другими частями тела.
Антивирусное обозрение "Вы полагаете, до людей дошло, что не надо тыкать мышью во все, что падает им в почту. Но, похоже, все вокруг думают не мозгами, а другими частями тела".
Энди Антипасс, системный администратор
Вы полагаете, что вирусы в основном расползаются через Интернет (почту и скачиваемые файлы), локальные сети, а через гибкие и лазерные диски намного реже? Да, так оно и есть, — спорить не о чем. Что касается CD-ROM дисков, то, заметим, что обычно как раз на пиратских сборках можно найти не один десяток вирусов и троянов. Фирменные CD-ROMы не содержат вирусов. Как правило. Потому что фирмы могут подготовить качественный диск со своей программой и обеспечить отсутствие вирусов (да и зачем им записывать на диск троян — воровать пароли клиентов, что ли?!). Но из каждого правила бывают исключения. И когда они случаются, то фирма несет материальный и еще больший моральный ущерб. Так было и на этот раз.
Известная автомобилестроительная фирма Porsche разослала европейским журналистам, пишущим на автомобильную тематику, целый комплект материалов о своей новой модели машины 911 Carrera, в числе которых был и компакт-диск с презентацией этого автомобиля. Как Вы уже догадались, на этом халявном диске некоторые файлы оказались с вирусом, и при их запуске вирус поражал жесткий диск компьютера и рассылал себя по 50 адресам электронной почты из адресной книги пользователя. Заканчивалось все полным крахом операционной системы.
Когда было разослано около 1000 таких рекламных компакт-дисков (читай — тысячи вирусов!), руководство фирмы извинилось перед журналистами и большую их часть предупредило об опасности.
Какие выводы следуют из этой истории? А вот какие. Во-первых, "не доверяй никому" ((с) Фокс Малдер), во-вторых, журналистам вряд ли захочется писать что-нибудь о новой машине (она будет ассоциироваться с вирусом) и, в-третьих, журналисты что-то плохо относятся к антивирусной безопасности своих компьютеров (иначе вирус не поразил бы их файлы). Если у Вас есть другие выводы из этой истории, то напишите, пожалуйста, мне об этом, адрес внизу статьи.
"Лаборатория Касперского", известный российский разработчик систем информационной безопасности, объявила о начале новой партнерской аффилиат-программы — Kaspersky Lab Affiliate Network, позволяющей принять участие в онлайновых продажах "Антивируса Касперского" и получать прибыль, не тратя время и деньги на обработку заказа, доставку и отгрузку продукта.
Схема сотрудничества обычна для таких партнерских программ: в рамках данной программы аффилиат-партнер размещает баннер на своем WEB-сайте, а затем получает комиссионное вознаграждение (от 10% стоимости) с каждой покупки клиента, пришедшего с его интернет-сайта в онлайновый магазин. Единственное неудобство — помимо наличия собственного сайта, нужно иметь еще и рублевый расчетный счет. Т.е. недостаточно зарегистрироваться в качестве партнера и разместить на своем сайте баннер — нужно еще быть юридическим лицом.
Если Вы хотите немного заработать и внести свой вклад в мировую антивирусную безопасность, то можете "вливаться" (не забудьте только завести себе расчетный счет и создать какой-нибудь сайт!).
Недавно стало официально известно о том, что российский антивирусный проект AVTrojan (www.trojan.ru, см. КГ №13 от 03.04.01г.) больше не существует. Соответственно не стоит ждать и новых версий программы AntiVBS (КГ №25 от 10.07.01г.). А ведь регистрированные пользователи AVTrojan для Microsoft Windows 95, 98, ME, NT, 2000 внесли взнос в размере 180 рублей! Что же им теперь делать? Неужели эти деньги пропали? Не совсем. Для них есть специальное предложение: они могут купить "Антивирус Stop!" по чисто символической цене — 2$.
Среди вирусов, которые нас поразили, особо отличился некий червь W95/Linong, который сам несет в себе еще одного червя. Linong выделяется большой изобретательностью при размножении и распространении своих копий по электронной почте. В последнем случае при выборе характеристик сообщения вирусописатель проявил себя как неплохой знаток человеческой психологии. Смотрите, какие червь выбирает названия для писем-копий: Sexy Model, Sweet Lovely, Still Remember You и прочее. Ну, как тут не кликнуть по соблазнительному вложению! Как отметил один системный администратор, люди в таких случаях перестают думать головой (см. эпиграф).
Вирусы, которые нас поразили
Здесь — лишь малая часть "появившихся" зловредных саморазмножающихся программ-паразитов. Что нужно делать, чтобы они не угрожали Вашему компьютеру? Может быть, установить хороший антивирус и регулярно обновлять его сигнатурные базы данных? Не ждите, когда на Вашем компьютере взорвется "Чернобыль"(CIH)!
1. W97M_MSKONG.A. Макро-вирус, инфицирующий документы Word. Содержит 2 модуля — ThisDocument и MSKONG, в которых находится 8 макросов: AutoOpen, AutoClose, FileSaveAs, ToolsMacro, ViewVBCode, FileOpen, ToolsOption и FileTemplates. При открытии зараженного документа вирус инфицирует шаблон NORMAL.DOT, копируя в него модуль MSKONG. Затем создает свои копии в текущем каталоге с именами MSKONG.DLL и MSKONG.DOT.
После этого вирус инфицирует все документы при их открытии, создавая копии заражаемых файлов с расширениями .TMP и .BAK. Деструктивных действий не выполняет. Меняет информацию о пользователе на свою собственную. В зависимости от значения системной даты показывает Status bar бегущей строкой различный текст.
2. VBS/Niloj-A. Интернет-червь, написанный на скрипт-языке Visual Basic Script (VBS). При рассылке писем использует почтовую систему MS Outlook. Может передавать свои копии в каналы IRC. Червь предпринимает попытки записать себя на пораженный компьютер в файл с именем "!!jolin_caught_naked!!!!.jpg.vbs" в каталог Windows, а также в системный каталог Windows. Если на компьютере установлен mIRC (Internet Relay Chat) или Microsoft Outlook, червь пытается использовать эти клиенты для своего распространения.
3. W95/Linong. Интернет-червь, представляющий из себя VBS-скрипт и распространяющийся как вложение в электронные письма. При рассылке писем использует MS Outlook. Не работает в WinNT/2000. Записывает на зараженный компьютер еще одного интернет-червя, также являющегося VBS-скриптом.
При активизации червь рассылает себя по всем адресам из адресной книги Microsoft Outlook. Название темы сообщения, а также текст тела и имя вложения выбираются случайным образом. W95/Linong создает на диске "С:" инфицированной машины 501 каталог, содержащий фразу: "Linong I Love U So Much Linong For ever My Love".
Червь записывает в системный каталог WINDOWS файл MyLinong.VBS (10 КБ), который также является интернет-червем, и регистрирует его в системном реестре. В результате вновь созданный скрипт будет выполняться при старте Windows. Одно из его проявлений — замена стартовой страницы Microsoft Internet Explorer на http://www.thewebpost.com/lovepoems/1198/dpt112098ily.shtml. Затем предпринимает попытки разослать "дроппер" червя Linong по всем адресам из адресной книги Microsoft Outlook. Кроме этого, случайным образом перебирая IP-адреса локальной сети, червь пытается подключиться к разделяемому ресурсу с именем "C". Если это удается, то он копирует себя на удаленный компьютер в Startup-каталог в виде файла "linong.vbs".
Вирусный ТОП-10.
4-11 июля2001г.
1. VBS/LoveLetter@MM
2. W32/Magistr@MM
3. BackDoor-NK.svr (часть W32/BadTrans@MM)
4. W32/Ska.dll@M (Happy99)
5. W32/Hybris.gen@MM
6. W32/FunLove.app
7. BackDoor-G2.svr.gen (SubSeven)
8. W32/Choke.worm
9. W32/Hybris.dll@MM
10. W32/Hybris.plugin@MM
Источник: www.mcafee.com .
Вирусы упорядочены по количеству зараженных ими компьютеров (всего 70 927) во всем мире.
ПВО — противовирусная оборона
I. Command AntiVirus for Windows 95/98/Me v4.61.2. Разработчик: Command Software Systems, Inc, Флорида, США ( www.commandcom.com ) . Дистрибутив: 6 005 КБ. Версия программы F-PROT32.EXE от 02.02.01 обнаруживает и удаляет 54 849 вирусов по состоянию на 19.06.01.
Заметим, что программа работает с базами данных *.DEF антивирусной программы F-PROT фирмы Frisk Software Intl ( www.complex.is ), на частичные авторские права которой имеется ссылка в программе. Раньше этот продукт назывался F-PROT Professional, разработчики сменили название, но имя исполняемого файла оставили старое (но это вовсе не значит, что он не обновляется). Кстати, в состав антивируса входит Command AntiVirus для DOS, очень похожий на F-PROT для DOS от Frisk Software, названия файлов идентичные — f-prot.exe, можете сравнить!
Существуют также версии антивируса (однопользовательские и/или корпоративные) для DOS, OS/2, Windows 3.1x, NT/2000/Workstation/Server, Linux, NetWare, Microsoft Exchange и Lotus Notes.
Command AntiVirus использует уникальные технологии Dynamic Virus Protection (DVP) и HoloCheck. DVP обеспечивает защиту в реальном времени, сканируя загрузочный сектор гибкого диска каждый раз, когда происходит к нему обращение и проверяя каждый программный файл перед его выполнением. HoloCheck представляет собой технологию, призванную обеспечить точное и безопасное определение вирусов и вирусоподобных кодов. Проверяя поведение файлов в защищенной, виртуальной среде, Command AntiVirus может идентифицировать и защитить компьютерную систему как от известных, так и неизвестных вирусов. HoloCheck, аналог эвристического анализатора, который сейчас используют многие продвинутые антивирусы, прошел испытание "в полевых условиях": когда в Америке свирепствовал вирус Melissa, только один Command AntiVirus смог обнаружить паразита. А антивирусы на основе сигнатурных баз данных, но без сигнатуры Melissa, оказались бессильны. А это такие "монстры", как Norton Anti-Virus, McAffee Vshield, Sophos и другие.
Перед принятием решения о покупке антивируса предлагается бесплатно (после заполнения анкеты) испытать в течение 30 дней пробную версию: http://www2.commandcom.com/files/9icurrent.exe . Цена регистрации — 79$. Как утверждают разработчики, они обеспечивают свой продукт "сервисом, который никогда не спит". Когда Ваша система поражена, то помощь требуется незамедлительно. Поэтому пользователи могут в любое время дня и ночи обсудить свои проблемы с опытным техническим персоналом.
Возможности антивируса:
— При обнаружении вируса: выдача сообщения, удаление, переименование, лечение (с удаление всех макросов, если найден вариант макровируса).
— Сканирует 640 КБ ОЗУ.
— Поддерживает работу с сетевыми дисками.
— Может создать три аварийных дискеты для восстановления вышедшей из строя системы.
— Позволяет изменять (дополнять или удалять) списки расширений файлов, которые подлежат проверке или нет (исключать из проверки).
— Создание и изменение списка директориев, которые не следует проверять на вирусы.
— Настройка автоматического обновления через Интернет или директории, расположенные на локальном (сетевом) диске.
— Режим оповещения, когда сигнатурные базы данных устаревают и требуется выполнить их обновление.
— Создание выводимого на экран сообщения, определяемого пользователем, когда найден вирус.
— Указание системе имени электронного ящика, куда следует отправлять сообщения о результатах сканирования (отчеты) и/или сообщения с найденным вирусом.
В июле 2000 года Command AntiVirus for Windows 95/98/ME был одним из трех антивирусов, которые смогли получить престижную награду "Вирусного бюллетеня" ( www.virusbtn.com ) — VB100%.
II. SurfinGuard Pro Version 5.51 BETA (Build 240). Разработчик: Finjan Software, Inc, Калифорния, США ( www.finjan.com ). Дистрибутив: 7 042 КБ. Версия программы от 08.03.01.
Количество троянов, червей и хакерских атак, не требующих, чтобы пользователь куда-нибудь кликал или что-нибудь нажимал, постоянно увеличивается, а существующие антивирусные программы по своей природе реактивны и не способны определить новые, неизвестные им угрозы. Кроме того, хакеры обычно используют утилиты сжатия (компрессии), чтобы создать новые варианты вирусов и троянов, невидимых для антивирусного программного обеспечения. Персональные брандмауэры (firewalls) защищают пользователей от программ, которые пытаются открыть сетевое соединение, но не могут уберечь от удаления файлы пользователя на компьютере, уже пораженном трояном или червем. Традиционные технологии никогда не смогут остановить невидимые атаки через Интернет, когда те используют лазейки в безопасности и недостатки программного обеспечения. Как же быть? Ждать, пока "Дамоклов меч" обрушится, как снег на голову? Наверное, не стоит. На помощь может прийти SurfinGuard Pro.
SurfinGuard Pro — это не антивирус в полном смысле этого слова. И хотя по выполняемым функциям (фильтр) он может подходить под определение брандмауэра (firewall), на самом деле он не контролирует сетевые соединения.
В составе SurfinGuard Pro нет сигнатурных баз данных вирусов. Вместо них пользователю предлагается небольшой, но достаточно эффективный набор средств по защите компьютера от угроз из Интернета, заключающийся в активной проверке поведения загруженного активного содержимого. SurfinGuard Pro запускает активное содержимое (например, выполняемые файлы, ActiveX, сценарии Java и Visual Basic) в защищенной "песочнице", называемой SafeZone, что позволяет, в случае опасности, автоматически блокировать потенциально враждебные действия.
В основе SurfinGuard Pro лежит запатентованная технология (US Patent Number 6167520) под названием First-Strike Security, которая защищает пользователя, позволяя ему управлять поведением работающего активного содержимого. SurfinGuard Pro, как смело утверждают разработчики, — это новый путь противодействия троянам, Интернет-червям и враждебным WEB-страницам, не требующий статичных сигнатурных баз вирусов и, соответственно, их обновлений. Программа используется против неизвестных или новых вариантов вирусов и атак, которые могут появиться в будущем с помощью технологии First-Strike Security.
Как работает эта технология? Очень просто. Вначале атака с новым подозрительным кодом запускается. И даже если пока ничего опасного нет, First-Strike Security неусыпно контролирует действия этой программы и, прежде чем какой-либо ущерб будет нанесен, SurfinGuard Pro вовремя обнаружит и предотвратит его.
Заметим, что программа замедляет работу браузера. Но если Вам нужна безопасность, то придется примириться с некоторым падением производительности Вашей компьютерной системы.
Скачивать бесплатную версию по ссылке: http://www.finjan.com/guard/index.cfm?dlsgid=1 .
Возможности и замечания по SurfinGuard Pro.
— Функционирует в следующих операционных системах: Windows 95/98/NT 4.0/2000/ME.
— Не работает на системах с установленной ОС Windows 95 и драйверами шины USB.
— Настройка различных видов оповещения пользователя в случае тревоги (всплывающее окно, проигрывание звука, мерцающая пиктограмма в трее).
— Настройка уровня персональной защиты под свой вкус: низкий, средний, средне-высокий и высокий.
— Run Safe — режим безопасного запуска исполняемых файлов в SafeZone.
— Panic Mode — режим автоматического блокирования всего активного содержимого, работающего на компьютере.
— Kill All — функция, позволяющая пользователю вручную останавливать все активное содержимое, которое SurfinGuard Pro отслеживает в данный момент.
— Автоматическое обновление новых версий программы через Интернет.
Программа SurfinGuard Pro не может заменить обычную антивирусную программу или firewall — SurfinGuard Pro дополняет компьютерную систему еще одним уровнем безопасности.
McAfee VirusScan доминирует в независимом тесте антивирусных сканеров,
проведенном Гамбургским Университетом
Гамбургский Университет, авторитетная организация в антивирусной индустрии, опубликовал результаты апрельского теста антивирусных сканеров, присудив McAfee первое место в ДЕВЯТИ категориях. Тестирование проводилось на вирусах "in the wild", а также на собственной коллекции вирусов Гамбургского Университета на следующих платформах: DOS, Windows 98, Windows NT, Windows 2000 и Linux.
Результаты следующие:
Excellent DOS AV products (Лучшие антивирусы для DOS)
McAfee VirusScan (Network Associates, Inc.) — 13 баллов
AntiVirenKit 1.0 (Gdata Software GmbH), Power Antivirus 2000 (Gdata Software GmbH) — 9 баллов
AntiViral Toolkit Pro Platinum (Kaspersky Lab.) — 7 баллов
AVG 6.0 (GriSoft) — 5 баллов
F-PROT (FRISK Software International), DrWeb (DialogueScience, Inc.) — 3 балла
AVAST! (ALWIL Software), InoculateIT (Computer Associates International, Inc.) — 2 балла
Norman Virus Control (Norman Data Defense Systems GmbH) — 1 балл
Excellent Windows NT AV products (Лучшие антивирусы для Windows NT)
McAfee VirusScan (Network Associates, Inc.) — 13 баллов
F-SECURE (F-Secure Corporation) — 9 баллов
AntiVirenKit 1.0 (Gdata Software GmbH) — 7 баллов
AVG 6.0 (GriSoft), AntiViral Toolkit Pro Platinum (Kaspersky Lab.) — 5 баллов
Command Antivirus (Command Software Systems, Inc.), F-PROT (FRISK Software International), F-PROT for Windows (FRISK Software International), InoculateIT (Computer Associates International, Inc.), Power Antivirus 2000 (Gdata Software GmbH) — 3 балла
AVAST! (ALWIL Software), RAV Antivirus v8 (GeCAD The Software Company) — 2 балла
Excellent Windows 98 AV products (Лучшие антивирусы для Windows 98)
McAfee VirusScan (Network Associates, Inc.) — 14 баллов
AntiVirenKit 1.0 (Gdata Software GmbH), F-SECURE (F-Secure Corporation) — 9 баллов
AntiViral Toolkit Pro Platinum (Kaspersky Lab.), Dr Solomon's Emergency Anti-Virus (Network Associates, Inc.) — 8 баллов
ADO — 7 баллов
AVG 6.0 (GriSoft) — 5 баллов
Power Antivirus 2000 (Gdata Software GmbH) — 4 балла
Command Antivirus (Command Software Systems, Inc.), DrWeb (DialogueScience, Inc.), F-PROT (FRISK Software International), F-PROT for Windows (FRISK Software International), InoculateIT (Computer Associates International, Inc.), Norton Antivirus (Symantec Corporation) — 3 балла
AVAST! (ALWIL Software), PRO, RAV Antivirus v8 (GeCAD The Software Company), VirScanPlus (Ralph Roth) — 2 балла
Excellent Linux AV products (Лучшие антивирусы для Linux)
McAfee VirusScan (Network Associates, Inc.) — 10 баллов
AntiViral Toolkit Pro Platinum (Kaspersky Lab.) — 7 баллов
Command Antivirus (Command Software Systems, Inc.) — 4 балла
RAV Antivirus v8 (GeCAD The Software Company) — 2 балла
F-SECURE (F-Secure Corporation) — 1 балл
С полными результатами теста можно ознакомиться здесь: http://agn-www.informatik.uni-hamburg.de/vtc . 29.06.2001 Источник: Mcafee.ru
Под "заплаткой" для Windows может оказаться троянская программа
"Лаборатория Касперского" предупреждает пользователей о появлении новой версии интернет-червя I-Worm.Leave, которая распространяется по сети под видом сообщения от Microsoft. Сообщение содержит информацию о дополнении, устраняющем брешь в системе безопасности Windows, однако указанный URL "заплатки" изменен на фиктивный, внешне похожий на сайт компании Microsoft. При его активизации происходит попытка загрузить файл cvr58-ms.exe, являющийся троянской программой. Лаборатория Касперского уже получила несколько сообщений о случаях заражения данной вредоносной программой.
Интернет-червь Leave способен работать только на компьютерах под управлением операционных систем Windows 95/98/ME, а также Windows NT/2000. При запуске основной компоненты Интернет-червь копирует себя в директорию Windows под именем REGSU.EXE и регистрирует этот файл в секции автоматического запуска программ системного реестра Windows. Скрипт, которым написан код вируса, а также его дополнительные модули зашифрованы 64-битным алгоритмом.
Функциональные особенности вредоносной программы позволяют ей автоматически обновляться через Интернет, то есть незаметно для пользователя загружать и активировать дополнительные компоненты (EXE-файлы). Это делает возможным удаленное управление зараженными компьютерами. Среди других возможностей этого вируса, в частности, подключение и распространение по каналам IRC (Internet Relay Chat), а также создание, удаление и выполнение файлов на зараженной машине.
Так как средства массовой информации уже проявили определенный интерес к новому вредоносному коду, Лаборатория Касперского обращает внимание на следующее. Основные компоненты программы содержат мастер-пароль троянской программы "SubSeven", поэтому данный вирус проникает только на уже зараженные этим троянцем машины.
Процедуры защиты от Интернет-червя "Leave" уже добавлены в антивирусную базу данных Антивируса Касперского. Источник: Viruslist.com
Дежурный по карантину
Доктор М macrofag@hotbox.ru
(c) компьютерная газета
Энди Антипасс, системный администратор
Вы полагаете, что вирусы в основном расползаются через Интернет (почту и скачиваемые файлы), локальные сети, а через гибкие и лазерные диски намного реже? Да, так оно и есть, — спорить не о чем. Что касается CD-ROM дисков, то, заметим, что обычно как раз на пиратских сборках можно найти не один десяток вирусов и троянов. Фирменные CD-ROMы не содержат вирусов. Как правило. Потому что фирмы могут подготовить качественный диск со своей программой и обеспечить отсутствие вирусов (да и зачем им записывать на диск троян — воровать пароли клиентов, что ли?!). Но из каждого правила бывают исключения. И когда они случаются, то фирма несет материальный и еще больший моральный ущерб. Так было и на этот раз.
Известная автомобилестроительная фирма Porsche разослала европейским журналистам, пишущим на автомобильную тематику, целый комплект материалов о своей новой модели машины 911 Carrera, в числе которых был и компакт-диск с презентацией этого автомобиля. Как Вы уже догадались, на этом халявном диске некоторые файлы оказались с вирусом, и при их запуске вирус поражал жесткий диск компьютера и рассылал себя по 50 адресам электронной почты из адресной книги пользователя. Заканчивалось все полным крахом операционной системы.
Когда было разослано около 1000 таких рекламных компакт-дисков (читай — тысячи вирусов!), руководство фирмы извинилось перед журналистами и большую их часть предупредило об опасности.
Какие выводы следуют из этой истории? А вот какие. Во-первых, "не доверяй никому" ((с) Фокс Малдер), во-вторых, журналистам вряд ли захочется писать что-нибудь о новой машине (она будет ассоциироваться с вирусом) и, в-третьих, журналисты что-то плохо относятся к антивирусной безопасности своих компьютеров (иначе вирус не поразил бы их файлы). Если у Вас есть другие выводы из этой истории, то напишите, пожалуйста, мне об этом, адрес внизу статьи.
"Лаборатория Касперского", известный российский разработчик систем информационной безопасности, объявила о начале новой партнерской аффилиат-программы — Kaspersky Lab Affiliate Network, позволяющей принять участие в онлайновых продажах "Антивируса Касперского" и получать прибыль, не тратя время и деньги на обработку заказа, доставку и отгрузку продукта.
Схема сотрудничества обычна для таких партнерских программ: в рамках данной программы аффилиат-партнер размещает баннер на своем WEB-сайте, а затем получает комиссионное вознаграждение (от 10% стоимости) с каждой покупки клиента, пришедшего с его интернет-сайта в онлайновый магазин. Единственное неудобство — помимо наличия собственного сайта, нужно иметь еще и рублевый расчетный счет. Т.е. недостаточно зарегистрироваться в качестве партнера и разместить на своем сайте баннер — нужно еще быть юридическим лицом.
Если Вы хотите немного заработать и внести свой вклад в мировую антивирусную безопасность, то можете "вливаться" (не забудьте только завести себе расчетный счет и создать какой-нибудь сайт!).
Недавно стало официально известно о том, что российский антивирусный проект AVTrojan (www.trojan.ru, см. КГ №13 от 03.04.01г.) больше не существует. Соответственно не стоит ждать и новых версий программы AntiVBS (КГ №25 от 10.07.01г.). А ведь регистрированные пользователи AVTrojan для Microsoft Windows 95, 98, ME, NT, 2000 внесли взнос в размере 180 рублей! Что же им теперь делать? Неужели эти деньги пропали? Не совсем. Для них есть специальное предложение: они могут купить "Антивирус Stop!" по чисто символической цене — 2$.
Среди вирусов, которые нас поразили, особо отличился некий червь W95/Linong, который сам несет в себе еще одного червя. Linong выделяется большой изобретательностью при размножении и распространении своих копий по электронной почте. В последнем случае при выборе характеристик сообщения вирусописатель проявил себя как неплохой знаток человеческой психологии. Смотрите, какие червь выбирает названия для писем-копий: Sexy Model, Sweet Lovely, Still Remember You и прочее. Ну, как тут не кликнуть по соблазнительному вложению! Как отметил один системный администратор, люди в таких случаях перестают думать головой (см. эпиграф).
Вирусы, которые нас поразили
Здесь — лишь малая часть "появившихся" зловредных саморазмножающихся программ-паразитов. Что нужно делать, чтобы они не угрожали Вашему компьютеру? Может быть, установить хороший антивирус и регулярно обновлять его сигнатурные базы данных? Не ждите, когда на Вашем компьютере взорвется "Чернобыль"(CIH)!
1. W97M_MSKONG.A. Макро-вирус, инфицирующий документы Word. Содержит 2 модуля — ThisDocument и MSKONG, в которых находится 8 макросов: AutoOpen, AutoClose, FileSaveAs, ToolsMacro, ViewVBCode, FileOpen, ToolsOption и FileTemplates. При открытии зараженного документа вирус инфицирует шаблон NORMAL.DOT, копируя в него модуль MSKONG. Затем создает свои копии в текущем каталоге с именами MSKONG.DLL и MSKONG.DOT.
После этого вирус инфицирует все документы при их открытии, создавая копии заражаемых файлов с расширениями .TMP и .BAK. Деструктивных действий не выполняет. Меняет информацию о пользователе на свою собственную. В зависимости от значения системной даты показывает Status bar бегущей строкой различный текст.
2. VBS/Niloj-A. Интернет-червь, написанный на скрипт-языке Visual Basic Script (VBS). При рассылке писем использует почтовую систему MS Outlook. Может передавать свои копии в каналы IRC. Червь предпринимает попытки записать себя на пораженный компьютер в файл с именем "!!jolin_caught_naked!!!!.jpg.vbs" в каталог Windows, а также в системный каталог Windows. Если на компьютере установлен mIRC (Internet Relay Chat) или Microsoft Outlook, червь пытается использовать эти клиенты для своего распространения.
3. W95/Linong. Интернет-червь, представляющий из себя VBS-скрипт и распространяющийся как вложение в электронные письма. При рассылке писем использует MS Outlook. Не работает в WinNT/2000. Записывает на зараженный компьютер еще одного интернет-червя, также являющегося VBS-скриптом.
При активизации червь рассылает себя по всем адресам из адресной книги Microsoft Outlook. Название темы сообщения, а также текст тела и имя вложения выбираются случайным образом. W95/Linong создает на диске "С:" инфицированной машины 501 каталог, содержащий фразу: "Linong I Love U So Much Linong For ever My Love".
Червь записывает в системный каталог WINDOWS файл MyLinong.VBS (10 КБ), который также является интернет-червем, и регистрирует его в системном реестре. В результате вновь созданный скрипт будет выполняться при старте Windows. Одно из его проявлений — замена стартовой страницы Microsoft Internet Explorer на http://www.thewebpost.com/lovepoems/1198/dpt112098ily.shtml. Затем предпринимает попытки разослать "дроппер" червя Linong по всем адресам из адресной книги Microsoft Outlook. Кроме этого, случайным образом перебирая IP-адреса локальной сети, червь пытается подключиться к разделяемому ресурсу с именем "C". Если это удается, то он копирует себя на удаленный компьютер в Startup-каталог в виде файла "linong.vbs".
Вирусный ТОП-10.
4-11 июля2001г.
1. VBS/LoveLetter@MM
2. W32/Magistr@MM
3. BackDoor-NK.svr (часть W32/BadTrans@MM)
4. W32/Ska.dll@M (Happy99)
5. W32/Hybris.gen@MM
6. W32/FunLove.app
7. BackDoor-G2.svr.gen (SubSeven)
8. W32/Choke.worm
9. W32/Hybris.dll@MM
10. W32/Hybris.plugin@MM
Источник: www.mcafee.com .
Вирусы упорядочены по количеству зараженных ими компьютеров (всего 70 927) во всем мире.
ПВО — противовирусная оборона
I. Command AntiVirus for Windows 95/98/Me v4.61.2. Разработчик: Command Software Systems, Inc, Флорида, США ( www.commandcom.com ) . Дистрибутив: 6 005 КБ. Версия программы F-PROT32.EXE от 02.02.01 обнаруживает и удаляет 54 849 вирусов по состоянию на 19.06.01.
Заметим, что программа работает с базами данных *.DEF антивирусной программы F-PROT фирмы Frisk Software Intl ( www.complex.is ), на частичные авторские права которой имеется ссылка в программе. Раньше этот продукт назывался F-PROT Professional, разработчики сменили название, но имя исполняемого файла оставили старое (но это вовсе не значит, что он не обновляется). Кстати, в состав антивируса входит Command AntiVirus для DOS, очень похожий на F-PROT для DOS от Frisk Software, названия файлов идентичные — f-prot.exe, можете сравнить!
Существуют также версии антивируса (однопользовательские и/или корпоративные) для DOS, OS/2, Windows 3.1x, NT/2000/Workstation/Server, Linux, NetWare, Microsoft Exchange и Lotus Notes.
Command AntiVirus использует уникальные технологии Dynamic Virus Protection (DVP) и HoloCheck. DVP обеспечивает защиту в реальном времени, сканируя загрузочный сектор гибкого диска каждый раз, когда происходит к нему обращение и проверяя каждый программный файл перед его выполнением. HoloCheck представляет собой технологию, призванную обеспечить точное и безопасное определение вирусов и вирусоподобных кодов. Проверяя поведение файлов в защищенной, виртуальной среде, Command AntiVirus может идентифицировать и защитить компьютерную систему как от известных, так и неизвестных вирусов. HoloCheck, аналог эвристического анализатора, который сейчас используют многие продвинутые антивирусы, прошел испытание "в полевых условиях": когда в Америке свирепствовал вирус Melissa, только один Command AntiVirus смог обнаружить паразита. А антивирусы на основе сигнатурных баз данных, но без сигнатуры Melissa, оказались бессильны. А это такие "монстры", как Norton Anti-Virus, McAffee Vshield, Sophos и другие.
Перед принятием решения о покупке антивируса предлагается бесплатно (после заполнения анкеты) испытать в течение 30 дней пробную версию: http://www2.commandcom.com/files/9icurrent.exe . Цена регистрации — 79$. Как утверждают разработчики, они обеспечивают свой продукт "сервисом, который никогда не спит". Когда Ваша система поражена, то помощь требуется незамедлительно. Поэтому пользователи могут в любое время дня и ночи обсудить свои проблемы с опытным техническим персоналом.
Возможности антивируса:
— При обнаружении вируса: выдача сообщения, удаление, переименование, лечение (с удаление всех макросов, если найден вариант макровируса).
— Сканирует 640 КБ ОЗУ.
— Поддерживает работу с сетевыми дисками.
— Может создать три аварийных дискеты для восстановления вышедшей из строя системы.
— Позволяет изменять (дополнять или удалять) списки расширений файлов, которые подлежат проверке или нет (исключать из проверки).
— Создание и изменение списка директориев, которые не следует проверять на вирусы.
— Настройка автоматического обновления через Интернет или директории, расположенные на локальном (сетевом) диске.
— Режим оповещения, когда сигнатурные базы данных устаревают и требуется выполнить их обновление.
— Создание выводимого на экран сообщения, определяемого пользователем, когда найден вирус.
— Указание системе имени электронного ящика, куда следует отправлять сообщения о результатах сканирования (отчеты) и/или сообщения с найденным вирусом.
В июле 2000 года Command AntiVirus for Windows 95/98/ME был одним из трех антивирусов, которые смогли получить престижную награду "Вирусного бюллетеня" ( www.virusbtn.com ) — VB100%.
II. SurfinGuard Pro Version 5.51 BETA (Build 240). Разработчик: Finjan Software, Inc, Калифорния, США ( www.finjan.com ). Дистрибутив: 7 042 КБ. Версия программы от 08.03.01.
Количество троянов, червей и хакерских атак, не требующих, чтобы пользователь куда-нибудь кликал или что-нибудь нажимал, постоянно увеличивается, а существующие антивирусные программы по своей природе реактивны и не способны определить новые, неизвестные им угрозы. Кроме того, хакеры обычно используют утилиты сжатия (компрессии), чтобы создать новые варианты вирусов и троянов, невидимых для антивирусного программного обеспечения. Персональные брандмауэры (firewalls) защищают пользователей от программ, которые пытаются открыть сетевое соединение, но не могут уберечь от удаления файлы пользователя на компьютере, уже пораженном трояном или червем. Традиционные технологии никогда не смогут остановить невидимые атаки через Интернет, когда те используют лазейки в безопасности и недостатки программного обеспечения. Как же быть? Ждать, пока "Дамоклов меч" обрушится, как снег на голову? Наверное, не стоит. На помощь может прийти SurfinGuard Pro.
SurfinGuard Pro — это не антивирус в полном смысле этого слова. И хотя по выполняемым функциям (фильтр) он может подходить под определение брандмауэра (firewall), на самом деле он не контролирует сетевые соединения.
В составе SurfinGuard Pro нет сигнатурных баз данных вирусов. Вместо них пользователю предлагается небольшой, но достаточно эффективный набор средств по защите компьютера от угроз из Интернета, заключающийся в активной проверке поведения загруженного активного содержимого. SurfinGuard Pro запускает активное содержимое (например, выполняемые файлы, ActiveX, сценарии Java и Visual Basic) в защищенной "песочнице", называемой SafeZone, что позволяет, в случае опасности, автоматически блокировать потенциально враждебные действия.
В основе SurfinGuard Pro лежит запатентованная технология (US Patent Number 6167520) под названием First-Strike Security, которая защищает пользователя, позволяя ему управлять поведением работающего активного содержимого. SurfinGuard Pro, как смело утверждают разработчики, — это новый путь противодействия троянам, Интернет-червям и враждебным WEB-страницам, не требующий статичных сигнатурных баз вирусов и, соответственно, их обновлений. Программа используется против неизвестных или новых вариантов вирусов и атак, которые могут появиться в будущем с помощью технологии First-Strike Security.
Как работает эта технология? Очень просто. Вначале атака с новым подозрительным кодом запускается. И даже если пока ничего опасного нет, First-Strike Security неусыпно контролирует действия этой программы и, прежде чем какой-либо ущерб будет нанесен, SurfinGuard Pro вовремя обнаружит и предотвратит его.
Заметим, что программа замедляет работу браузера. Но если Вам нужна безопасность, то придется примириться с некоторым падением производительности Вашей компьютерной системы.
Скачивать бесплатную версию по ссылке: http://www.finjan.com/guard/index.cfm?dlsgid=1 .
Возможности и замечания по SurfinGuard Pro.
— Функционирует в следующих операционных системах: Windows 95/98/NT 4.0/2000/ME.
— Не работает на системах с установленной ОС Windows 95 и драйверами шины USB.
— Настройка различных видов оповещения пользователя в случае тревоги (всплывающее окно, проигрывание звука, мерцающая пиктограмма в трее).
— Настройка уровня персональной защиты под свой вкус: низкий, средний, средне-высокий и высокий.
— Run Safe — режим безопасного запуска исполняемых файлов в SafeZone.
— Panic Mode — режим автоматического блокирования всего активного содержимого, работающего на компьютере.
— Kill All — функция, позволяющая пользователю вручную останавливать все активное содержимое, которое SurfinGuard Pro отслеживает в данный момент.
— Автоматическое обновление новых версий программы через Интернет.
Программа SurfinGuard Pro не может заменить обычную антивирусную программу или firewall — SurfinGuard Pro дополняет компьютерную систему еще одним уровнем безопасности.
McAfee VirusScan доминирует в независимом тесте антивирусных сканеров,
проведенном Гамбургским Университетом
Гамбургский Университет, авторитетная организация в антивирусной индустрии, опубликовал результаты апрельского теста антивирусных сканеров, присудив McAfee первое место в ДЕВЯТИ категориях. Тестирование проводилось на вирусах "in the wild", а также на собственной коллекции вирусов Гамбургского Университета на следующих платформах: DOS, Windows 98, Windows NT, Windows 2000 и Linux.
Результаты следующие:
Excellent DOS AV products (Лучшие антивирусы для DOS)
McAfee VirusScan (Network Associates, Inc.) — 13 баллов
AntiVirenKit 1.0 (Gdata Software GmbH), Power Antivirus 2000 (Gdata Software GmbH) — 9 баллов
AntiViral Toolkit Pro Platinum (Kaspersky Lab.) — 7 баллов
AVG 6.0 (GriSoft) — 5 баллов
F-PROT (FRISK Software International), DrWeb (DialogueScience, Inc.) — 3 балла
AVAST! (ALWIL Software), InoculateIT (Computer Associates International, Inc.) — 2 балла
Norman Virus Control (Norman Data Defense Systems GmbH) — 1 балл
Excellent Windows NT AV products (Лучшие антивирусы для Windows NT)
McAfee VirusScan (Network Associates, Inc.) — 13 баллов
F-SECURE (F-Secure Corporation) — 9 баллов
AntiVirenKit 1.0 (Gdata Software GmbH) — 7 баллов
AVG 6.0 (GriSoft), AntiViral Toolkit Pro Platinum (Kaspersky Lab.) — 5 баллов
Command Antivirus (Command Software Systems, Inc.), F-PROT (FRISK Software International), F-PROT for Windows (FRISK Software International), InoculateIT (Computer Associates International, Inc.), Power Antivirus 2000 (Gdata Software GmbH) — 3 балла
AVAST! (ALWIL Software), RAV Antivirus v8 (GeCAD The Software Company) — 2 балла
Excellent Windows 98 AV products (Лучшие антивирусы для Windows 98)
McAfee VirusScan (Network Associates, Inc.) — 14 баллов
AntiVirenKit 1.0 (Gdata Software GmbH), F-SECURE (F-Secure Corporation) — 9 баллов
AntiViral Toolkit Pro Platinum (Kaspersky Lab.), Dr Solomon's Emergency Anti-Virus (Network Associates, Inc.) — 8 баллов
ADO — 7 баллов
AVG 6.0 (GriSoft) — 5 баллов
Power Antivirus 2000 (Gdata Software GmbH) — 4 балла
Command Antivirus (Command Software Systems, Inc.), DrWeb (DialogueScience, Inc.), F-PROT (FRISK Software International), F-PROT for Windows (FRISK Software International), InoculateIT (Computer Associates International, Inc.), Norton Antivirus (Symantec Corporation) — 3 балла
AVAST! (ALWIL Software), PRO, RAV Antivirus v8 (GeCAD The Software Company), VirScanPlus (Ralph Roth) — 2 балла
Excellent Linux AV products (Лучшие антивирусы для Linux)
McAfee VirusScan (Network Associates, Inc.) — 10 баллов
AntiViral Toolkit Pro Platinum (Kaspersky Lab.) — 7 баллов
Command Antivirus (Command Software Systems, Inc.) — 4 балла
RAV Antivirus v8 (GeCAD The Software Company) — 2 балла
F-SECURE (F-Secure Corporation) — 1 балл
С полными результатами теста можно ознакомиться здесь: http://agn-www.informatik.uni-hamburg.de/vtc . 29.06.2001 Источник: Mcafee.ru
Под "заплаткой" для Windows может оказаться троянская программа
"Лаборатория Касперского" предупреждает пользователей о появлении новой версии интернет-червя I-Worm.Leave, которая распространяется по сети под видом сообщения от Microsoft. Сообщение содержит информацию о дополнении, устраняющем брешь в системе безопасности Windows, однако указанный URL "заплатки" изменен на фиктивный, внешне похожий на сайт компании Microsoft. При его активизации происходит попытка загрузить файл cvr58-ms.exe, являющийся троянской программой. Лаборатория Касперского уже получила несколько сообщений о случаях заражения данной вредоносной программой.
Интернет-червь Leave способен работать только на компьютерах под управлением операционных систем Windows 95/98/ME, а также Windows NT/2000. При запуске основной компоненты Интернет-червь копирует себя в директорию Windows под именем REGSU.EXE и регистрирует этот файл в секции автоматического запуска программ системного реестра Windows. Скрипт, которым написан код вируса, а также его дополнительные модули зашифрованы 64-битным алгоритмом.
Функциональные особенности вредоносной программы позволяют ей автоматически обновляться через Интернет, то есть незаметно для пользователя загружать и активировать дополнительные компоненты (EXE-файлы). Это делает возможным удаленное управление зараженными компьютерами. Среди других возможностей этого вируса, в частности, подключение и распространение по каналам IRC (Internet Relay Chat), а также создание, удаление и выполнение файлов на зараженной машине.
Так как средства массовой информации уже проявили определенный интерес к новому вредоносному коду, Лаборатория Касперского обращает внимание на следующее. Основные компоненты программы содержат мастер-пароль троянской программы "SubSeven", поэтому данный вирус проникает только на уже зараженные этим троянцем машины.
Процедуры защиты от Интернет-червя "Leave" уже добавлены в антивирусную базу данных Антивируса Касперского. Источник: Viruslist.com
Дежурный по карантину
Доктор М macrofag@hotbox.ru
(c) компьютерная газета
Компьютерная газета. Статья была опубликована в номере 26 за 2001 год в рубрике безопасность :: Антивирусное обозрение
