Нам следует думать не о тех вещах, без которых мы как-нибудь обойдемся, а о тех, без которых нам никак не обойтись.
Антивирусное обозрение "Нам следует думать не о тех вещах, без которых мы как-нибудь обойдемся, а о тех, без которых нам никак не обойтись".
Джером К Джером
Очень ревностно и придирчиво правительство Австралии относится к развитию Интернет-технологий в своей стране. То оно запрещает установку развлекательных игровых ресурсов на своей территории, то потом, решив, что этого мало, делает любые выигрыши (и проигрыши тоже), сделанные в онлайновых казино, просто незаконными. Вот и недавно стало известно, что скоро опасность не только хакерской, но и вирусной деятельности будет сведена к нулю. Радикально. Раз и навсегда. Каким же образом? Провести неделю экологически чистой жизни без компьютеров? Всем, от мала до велика, раздать бесплатно защитные средства, то есть антивирусы и сетевые экраны? Отправить все население страны на курсы по компьютерной безопасности? Нет, нет и еще раз нет.
Вопрос, как обычно, будет решен законодательным путем. Рассматривается новый закон по компьютерной безопасности CyberCrime Bill 2001, который образованные люди назвали "драконовским и опасным".
Так, например, по этому закону будет запрещено не только пользоваться, но и хранить у себя вирусы и редакторы для написания вирусов (конструкторы вирусов). Причем под этот запрет попадают все без исключения! Даже администраторы компьютерных систем, которые могут их использовать для тестирования надежности своих систем. В случае нарушения можно даже понести серьезное наказание, вплоть до 10 лет.
"Но почему? — спросите Вы. — Почему именно в Австралии это происходит, а не где-нибудь еще?" Трудно ответить на этот вопрос. Можно сделать только одно предположение. Если кинуть взгляд на историю Австралии на несколько лет назад, то можно увидеть, что этот континент страдал от вирусных эпидемий (CIH, Melissa) больше всех остальных стран. И это несмотря на то, что в этой стране создаются мощные антивирусные средства! Среди них — CA Vet Anti-virus (КГ №11 от 20.03.01г.), Trojan Defence Suite (КГ №20 от 29.05.01г.) и другие. Видимо, потери от хакеров и вирусов достигли такого размера, что правительство уже не хочет лишний раз наступать на одни и те же грабли и желает решить эту проблему. Раз и навсегда. Пока не известно, будет ли введен в действие CyberCrime Bill 2001 (споры еще идут), но "кул хацкерам" и вирмейкерам стоит повременить с переездом на постоянное местожительство в Австралию. По крайней мере, на время.
Кстати, в июле антитроянский пакет программ Trojan Defence Suite обновился до версии TDS-3 v3.2.0. Скачивать 30-дневную версию по старой ссылке — http://tds.diamondcs.com.au/tds-3.exe . Запаситесь терпением — файл имеет размер 6 730 Кб.
Не буду описывать еще раз этот мощный продукт. Приведу только слова Майкла Ричардса, сертифицированного специалиста Microsoft: "...мы тестировали их все, но только TDS-3 был единственной антитроянской системой, обнаружившей наших троянов во всех тестах.
Его эксклюзивные возможности, большинство из которых мы прежде не видели, такие как сканирование области памяти, объекты управления окнами, скрытые потоки данных и неслышимость, позволяют ему детектировать троянов там, где другие системы бессильны. Это действительно совершенство в троянской защите".
Среди вирусов, которые нас поразили, следует отметить опасного Интернет-червя I-Worm.Eliz. Свое название он получил в честь известной в Америке 25-летней актрисы и теннисистки Элизабет Шэннон (Shannon Elizabeth Fabal). Ее многие могут помнить как Надю (Nadia) по кинофильму "Американский пирог" (1999г). Теперь "Анна Курникова" не одинока! А червь I-Worm.Eliz, между прочим, не такой уж безобидный, как кажется на первый взгляд — четыре раза в месяц он пытается отформатировать Ваш винчестер.
Вирусы, которые нас поразили
Здесь — лишь малая часть "появившихся" зловредных саморазмножающихся программ-паразитов. Что нужно делать, чтобы они не угрожали Вашему компьютеру? Может быть, установить надежную антивирусную защиту и регулярно ее обновлять? Наверно, не стоит ждать, когда на компьютере взорвется "Чернобыль"(CIH)!
1. I-Worm.Eliz. Интернет-червь, распространяющийся по электронной почте.
Характеристики письма следующие. Тема: Shannon Elizabeth Movie. Тело письма: Hey, Check out this great movie of Shannon Elizabeth..... Have a nice day (Привет, проверьте этот классный фильм Шеннон Элизабет..... Хорошего дня). Присоединенный файл: ShannonEliz.exe.
Когда пользователь открывает присоединенный файл, вирус ищет в текущем каталоге файлы *.ht*, чтобы найти в них адреса электронной почты с тегом "mailto". После этого он посылает себя по этим адресам в том же самом формате, в котором пришел.
Затем он получает информацию о компьютере пользователя и отсылает ее по адресу auto914@hotmail.com в следующем формате:
Тема: Elizabeth Worm FeedBack
От: worm@worm.worm
Тело: The info it takes from computer (информация, взятая с компьютера).
После этого шага червь просматривает все исполняемые файлы в текущем каталоге и переписывает их собственным кодом. Затем он проверяет дату компьютера, и если день месяца равен 3, 4, 10 или 20, то создает файл C:\autoexec.bat со следующими строчками:
ctty nul
format c:/autotest /q/u
Этот файл будет форматировать диск C: в следующий раз при запуске.
В конце он показывает сообщение:
Заголовок окна: Macromedia Flash Player
Сообщение: Unable to open the movie during the following error (невозможно открыть видео из-за следующей ошибки):Unable to load system file msmedia.sys (невозможно загрузить системный файл msmedia.sys).
2. WM97/Marker-GT. Макровирус для Microsoft Word 97. Представляет собой испорченный, но все еще работоспособный вариант вируса WM97/Marker-C. Всякий раз, когда документ закрыт, вирус передает по ftp информацию о зараженном пользователе из Microsoft Word на WEB-сайт, принадлежащий хакерской группе Codebreakers. Макровирус также добавляет эту информацию к концу макрокоманды как комментарий.
ПВО — противовирусная оборона
I. The Nicks Ghost Buster version 2.10. Разработчик: А. Никишин, Заполярный, Россия. Дистрибутив: 681 КБ от 02.12.98г.
Программа, умещающаяся на одной трехдюймовой дискете, представляет собой антивирусный ревизор дисков. Работает под Windows 95/98/NT. Поддерживаются основные файловые системы: FAT1X, FAT32, NTFS. Распространяется бесплатно. Есть выбор русского или английского языка для меню и сообщений.
Если Вы обратили внимание на дату выхода последней версии (почти 2,5 года назад) и думаете, что программа устарела, то смею Вас заверить, что это не совсем так. Даже сегодня она может уверенно конкурировать с аналогичными коммерческими разработками известных антивирусных фирм — ADinf32 (www.dials.ru) и AVP Inspector (www.kav.ru). Почему? Потому что антивирусный ревизор — это такой тип защиты, который не привязывается к сигнатурным базам данных по вирусам. Ему не важно, сколько сегодня существует вирусов: 7 или 70 тысяч. Он на это не смотрит. Ревизор отслеживает изменения, произошедшие в файлах и важных областях дисков. Основной принцип работы программ-ревизоров заключается в сохранении в отдельном файле-таблице (базе данных — БД) основных сведений о диске и файловой системе. Эта операция выполняется при первоначальной установке ревизора, при последующих запусках и сравнении реальных (новых) данных с их оригинальными значениями, хранящимися в предварительно созданной БД. Эта БД содержит образы Master-Boot и Boot секторов, список номеров сбойных кластеров, дерево каталогов и информацию обо всех контролируемых файлах (CRC, дата и время создания и прочее).
Заметим, что The Nicks Ghost Buster запоминает и при каждом запуске проверяет информацию об операционной системе и установленном аппаратном обеспечении: объем оперативной памяти DOS, которая меняется при заражении большинством загрузочных вирусов; количество установленных винчестеров; таблицы параметров винчестера (Hard Disk Parameter Table). При всех этих проверках программа просматривает диск по секторам, обращаясь непосредственно к IOS (Супервизор ввода-вывода) и не использует прерывания Int 21h и Int 13h, что позволяет обнаруживать активные маскирующиеся вирусы (Stealth-вирусы). В случае необходимости восстановления поврежденного файла может быть задействован лечащий модуль ревизора.
По своим функциональным возможностям The Nicks Ghost Buster является конкурентом коммерческой программы Adinf, цена абонемента которой на 12 месяцев в расчете на 1 компьютер составляет 1160 российских рублей. Рассматриваемый ревизор работает под управлением MS Windows 95/NT, имеет графический интерфейс (GUI), поддерживается многозадачная работа и многопоточность, настоящая 32х разрядность. При работе в Windows 95 ревизор может обращаться напрямую к любым дискам через драйвер IOS (Супервизор ввода-вывода или драйвер 32-бит доступа к диску) в обход DOS резидентов (в частности, Boot вирусов, перехвативших 13h прерывание при загрузке компьютера), что не под силу DOS программам.
The Nicks Ghost Buster имеет много различных параметров настройки, которые можно конфигурировать по своему усмотрению и сохранять в отдельных профилях — вариантах настройки. Программа поддерживает создание и хранение сразу нескольких профилей.
В настоящее время домашняя страница программы (http://members.tripod.com/~NGBuster) не доступна, и о новых версиях программы ничего не слышно. Возможно, что данный проект закрыт (обычное дело для бесплатных ресурсов, долго не живут), но оставшийся от его существования законченный продукт (есть подробная справка на русском языке) продолжает надежно работать и в новом веке. Именно поэтому описанную выше версию Nicks Ghost Buster можно легко найти в Сети. Скачивать можно отсюда: ftp://ftp.stavropol.ru/pub/Windows/NGBSETUP.ZIP.
II. SecureTroy Version 2.14. Разработчик: SecureTroy Development Co (www.securetroy.com). Дистрибутив: 2 057 КБ от 22.02.01г. На 16.06.01 определяет 303 трояна.
Удивительное дело! Компьютерный взлом — hacking, ранее удел узкого круга посвященных, сегодня становится самым массовым видом спорта по причине своей легкости и доступности. Стройные колонны и ряды новоиспеченных хакеров увеличиваются с каждым днем за счет школьников и студентов. Порой они не умеют даже прочесть листинг программы на ассемблере, не то чтобы программировать. Но это ничуть не уменьшает их желание чего-нибудь взломать (можно и Пентагон!) и прославиться среди себе подобных как "кул хацкер".
Ворвавшийся в Ваш компьютер хакер может стереть ваши файлы, прочесть конфиденциальные документы, увидеть пароли или разрушить Вашу систему. Фактически, все, что Вы можете делать, используя свой компьютер, может и хакер, применяя трояны.
Что делать компьютерным пользователям, чтобы, столкнувшись с таким "хакером", "не дать ему ни единого шанса"? Ответ однозначный — защищаться. Для Вас нет более важной задачи, чем обеспечить собственную безопасность. И тут может пригодиться SecureTroy.
SecureTroy — это не одна программа, это комплексный набор программ для защиты пользователей, находящихся в сети Интернет. SecureTroy предлагает, как утверждают разработчики, "чрезвычайно высокую защиту против хакеров" и инструменты для обнаружения попыток хакеров проникнуть в Вашу систему. SecureTroy также включает ряд полезных утилит, использование которых обеспечивает наиболее полный контроль над системой.
SecureTroy не даст хакерам проникнуть в ваш компьютер. Если хакер пытается войти в компьютер, SecureTroy перехватит эту попытку и сообщит Вам об этом немедленно. SecureTroy тогда позволит Вам принять соответствующие меры против этого хакера.
Антитроянский (антихакерский) комплекс состоит из следующих взаимосвязанных частей.
SecureTroy Console — центральный компонент SecureTroy. Он обнаруживает попытки хакеров ворваться в Ваш компьютер. Когда хакер пробует проникнуть в компьютер, SecureTroy Console защитит и уведомит Вас об этой попытке.
SecureTroy Process Manager показывает список всех функционирующих программ на вашем компьютере. В отличие от обычного ctrl-alt-delete, Process Manager показывает все работающие программы, включая троянские серверы, которые обычно невидимы. Эта компонента также позволяет Вам не только удалять и закрывать работающую программу, но и видеть всю справочную информацию по ней.
SecureTroy Startup Manager показывает все программы, которые выполнятся при запуске, включая те из них, которые обычно невидимы. Он также позволяет Вам удалить любую программу из запуска одним щелчком кнопки мыши.
Когда троянский сервер инфицирует ваш компьютер, то он помещает себя в запуск. Это означает, что он будет загружаться каждый раз при запуске операционной системы вашего компьютера. Существует много различных областей, где приложение может зарегистрировать себя так, чтобы оно загружалось при запуске. Многие из них не известны большинству людей, но про них знает SecureTroy Startup Manager.
SecureTroy Whois Client. Когда SecureTroy Console обнаруживает хакера, еще только пробующего войти в ваш компьютер, Вы можете использовать опцию "Trace hacker", чтобы получить информацию о нем через SecureTroy Whois Client. Что это дает? Вы можете найти название провайдера, услугами которого воспользовался хакер, и адрес электронной почты, на который следует направлять жалобу об этом злоумышленнике.
SecureTroy Resolver позволяет Вам быстро узнать название хоста по Интернет-адресу и Интернет-адреса по названию хоста.
SecureTroy Pinger позволяет Вам увидеть, является ли удаленный компьютер доступным. Pinger можно также использовать, чтобы проследить Интернет-маршрут на другой компьютер. Количество троянских серверов, определяемых при сканировании модулем SecureTroy Anti-Trojan, можно увидеть в закладке Trojans (Tools, Anti-Trojan, Settings). Особо отметим такую важную особенность SecureTroy Console, как возможность эмулировать поведение серверной части троянов. На этом основано противодействие атаке из Интернет. Эмулируя поведение троянов, SecureTroy Console будет держать соединение с хакером открытым и не разорвет его. Хакер будет уверен в том, что успешно проник в чужой компьютер, хотя на самом деле это не так. Теперь не хакер будет управлять Вами, а Вы им! Правда, выбор средств невелик. Вы можете вывести из строя (crash) клиентскую часть сервера или, на худой конец, заставить вести ее непредсказуемо (flood). Количество эмулируемых троянов можно менять: добавлять новые, изменять существующие, удалять устаревшие.
Работает под Windows 95/98/NT/2000. Скачивать отсюда: http://www.securetroy.com/ST2.exe. Установленный комплект программ полностью функционален и работает в течение 15 дней, постоянно напоминая об этом. После окончания демонстрационного периода полная регистрация обойдется в 19$.
Доктор М macrofag@hotbox.ru
Десятка самых опасных вирусов за первую половину 2001 г.
Согласно статистическим исследованиям, проведенным антивирусной компанией Panda Software, рейтинг Top 10 возглавляет вирус W32/Disemboweler, за ним следуют I-Worm/MTX и W32/Hybris.
В течение первых шести месяцев этого года безопасность многих компьютеров испытывалась на прочность со стороны большого количества злонамеренных кодов.
Наиболее широкое распространение получили вирусы, принадлежащие группе вирусов известной как "черви". Рассмотрим кратко список из 10 наиболее популярных вирусов, составленный на основании запросов, полученных службой технической поддержки компании Panda Software от ее пользователей. Основным способом распространения этих вирусов были Интернет и электронная почта.
В этом году наиболее часто обнаруживался W32/Disemboweler (он же I-Worm.Magistr), полиморфный червь, который инфицирует файлы с расширением EXE или SCR, расположенные на локальном винчестере или доступных сетевых дисках. На втором месте — I-Worm/MTX, опасный из-за того, что он одновременно является вирусом, червем и трояном.
W32/Hybris занимает третье место. В дополнение к управлению исходящей электронной корреспонденцией, этот вирус также может самообновляться, загружая из Интернета специальные модули — плагины (plugins). Другой часто встречающийся вирус — W32/Navidad. B. Он является червем, который становится резидентом как видимый процесс в списке активных задач компьютера. PrettyPark — червь, который может воровать пароли Remote Access Service, доступа в Интернет, ICQ и передавать их по каналам IRC.
W32/FunLove.4096 инфицирует файлы PE в Windows (Win32bit) с расширениями EXE (исполняемые файлы), OCX (ActiveX Controls) или SCR на платформах Windows 9X и Windows NT. Он может использовать любой из известных способов распространения, например, через гибкие диски, CD-ROM, сетевые компьютеры, Internet, ftp и файлы, присоединенные или вложенные в сообщения электронной почты.
JS/KAK.WORM также заслуживает особого внимания. Этот червь написан на Visual Basic Script, и для своего распространения использует дыру безопасности почтового клиента Outlook Express. Вирус вставляет себя в автосигнатуру (AutoSignature) всей исходящей почты.
Червь VBS/HELP (он же I-Worm.Happytime) инфицирует файлы с расширениями HTML, HTM, ASP, VBS и HTT. Этот вирус также использует Outlook Express для своего распространения, скрываясь в файлах HTML, передаваемых по электронной почте. Если сумма даты и месяца дает число 13, то вирус удаляет файлы с расширениями DLL и EXE.
Другой вирус, который был распространен в течение последних нескольких месяцев, — VBS/VALENTIN. Этот вирус может быть получен как код HTML, вставленный в автосигнатуру сообщения. Вирус рассылает себя по всем записям, хранящимся в адресной книжке. Он также генерирует случайные номера мобильных телефонов и посылает по ним текстовое сообщение.
И, наконец, VBS.Homepage.B@mm — червь, который разработан таким образом, чтобы рассылать копию самого себя по всем адресам в адресной книжке программы Outlook и открывать браузер Интернета на Web-страницах, связанных с уругвайским правительством.
Практические советы для тех, кто не желает встречаться с вирусами во второй половине года
С точки зрения компьютерной безопасности, понимание пользователями опасностей вирусов так же важно, как и наличие правильно установленного антивирусного программного обеспечения.
Важно, чтобы пользователи руководствовались следующими мерами безопасности:
— Избегали обмениваться файлами-шутками.
— Перед открытием электронной почты проверяли ее эффективным антивирусом, поскольку все электронные сообщения могут содержать злонамеренный код, даже если они не имеют символа присоединенного файла.
— Используемый антивирус должен быть регулярно (ежедневно) обновляем, чтобы квалифицированно нейтрализовывать самые современные вирусы. Антивирус должен также включать: службу технической поддержки (в случае возникновения проблем, связанных с вирусами или функциональными возможностями антивируса), аварийную службу (при столкновении с новыми вирусами, способными быстро распространяться) и сервис вирусного оповещения.
Пользователи не нуждаются в доступе к любому типу файлов, потому что не все типы файлов необходимы им для повседневной работы. Поэтом можно заблокировать появление в системе файлов некоторыми расширениями (например, ".exe", ".vbs", и т.д.).
Где уместно, должны применяться заплаты к программам, выпущенные фирмами-разработчиками. Это может помочь уменьшить (смягчить) ущерб, который вирусы или другие вредные программы могут нанести Вашим файлам. 16.07.01
Вирусный ТОП-10.11–18 июля 2001г.
Источник: www.mcafee.com .
Всего проверено 52108 компьютеров.
"Лаборатория Касперского" выпускает новую версию антивирусного пакета для Unix/Linux систем
Новая версия популярного пакета Антивируса Касперского для Unix/Linux систем дает возможность заказчикам дополнительно устанавливать системы централизованной защиты от вирусов на файловые серверы и серверы приложений под управлением операционных систем OpenBSD (версия 2.8) и Solaris 8 (для процессоров Intel), а также почтовые шлюзы exim (входят в пятерку наиболее популярных почтовых шлюзов для Unix/Linux).
Сегодня "Лаборатория Касперского" предлагает заказчикам самое передовое решение проблемы внедрения централизованной антивирусной проверки для Unix/Linux платформ. На данный момент Антивирус Касперского может использоваться на операционных системах Linux, FreeBSD, BSDi, OpenBSD и Solaris, а также содержит готовое решение для интеграции в почтовые шлюзы sendmail, qmail, postfix и exim. В состав пакета входят ведущие антивирусные технологии (сканер, демон и монитор), а также включены утилита автоматической загрузки обновлений антивирусной базы через Интернет, интерактивная оболочка настройки параметров и модуль создания и обработки статистических отчетов.
Важным дополнением, существенно повышающим надежность программы, стало внедрение многопоточной технологии проверки объектов. Это позволяет антивирусному сканеру проверять одновременно любое количество файлов, причем число таких сессий ограничено лишь аппаратными возможностями сервера. Число активных сессий легко может быть задано в командной строке запуска или конфигурационном файле Антивируса Касперского.
В новой версии Антивируса Касперского для Unix/Linux впервые представлена система удаленного управления программой при помощи Web-интерфейса по протоколу безопасного соединения HTTPS. Это позволяет системным администраторам значительно снизить затраты времени и средств для контроля за работой программы: весь процесс теперь может осуществляться полностью удаленно без необходимости использования третьих программ.
Улучшена процедура обработки почты, что выразилось в 35% увеличении скорости сканирования почтовых сообщений. Также введена функция цикличного сканирования заданных директорий, что может быть использовано для выполнения специфических задач, таких как проверка содержимого конкретного почтового ящика. Модуль создания отчетов теперь имеет возможность генерации статистики в масштабе реального времени и за указанный пользователем период.
В соответствии с новой продуктовой линейкой, представленной в апреле 2001 г., Антивирус Касперского для Unix/Linux платформ поставляется в составе пакетов Business Optimal и Corporate Suite. В отличие от коммерческих продуктов конкурентов, пользователи Антивируса Касперского могут выбрать и оплатить только необходимые модули и отказаться от затрат на приобретение ненужных. Более того, теперь в серверные продукты "Лаборатории Касперского" для Unix/Linux бесплатно включена защита 50 почтовых ящиков. 17.07.01
Червь "Китай" заразил 22 тысячи серверов
Новый интернет-червь "Китай" заразил 22 тысячи серверов, на которых стояла программа Microsoft Internet Information Server (IIS). Впервые он был обнаружен в пятницу, 13 июля. Специалисты по компьютерной безопасности предлагают простейший способ борьбы с ним — просто перезагрузить сервер.
Как сообщает NewsBytes, официальное название вируса — Code Red Worm.
После заражения IIS червь вывешивает на сайты, которые расположены на сервере, сообщение, написанное красными буквами: ""Welcome to http://www. worm.com! Hacked By Chinese!" ("Добро пожаловать на http:// www.worm.com! Похакано китайцами!"). Затем червь размножается и рассылает свои копии на другие машины с IIS.
Code Red Worm или "Китай" был создан автором для заражения серверов, работающих под англоязычной версией операционных систем Windows NT и Windows 2000.
Об этом сообщили после исследования червя аналитики из компании eEye Digital Security. По мнению специалистов, если бы не эта особенность, жертв и разрушений было бы гораздо больше. Червь перестает размножаться в тот момент, когда натыкается на компьютер, где стоит национальная версия операционных систем. Кроме того, в этом случае он не уродует сайты, расположенные на компьютере.
Code Red Worm использует известную с прошлого месяца "дыру" в IIS: переполнение буфера .ida. Компания Microsoft уже выпустила соответствующий патч. Серверы, уже пораженные вирусом, могут некоторое время работать нормально, а их системные администраторы — не замечать непорядка, так как сначала червь размножается, а потом уже вывешивает свое сообщение на сайт.
Кроме того, эксперты выяснили, что этот вирус находится в оперативной памяти, поэтому работает только до тех пор, пока компьютер не перегрузили. Червь не оставляет зараженных файлов на винчестере и не определяется антивирусными программами. Вместо того, чтобы создавать новый файл index.html для замены главной страницы сайта, червь перехватывает запросы от пользователей и генерирует текст дефейса из памяти компьютера.
Эксперты также обнаружили, что на некоторых серверах червь убивает себя сам, так как требует слишком много ресурсов, что приводит к падению сервера и необходимости его перезагрузить.
Первоначально специалисты решили, что Code Red Worm служит ширмой для других программ, открывающих в системе лазейки для хакеров или запрашивающих удаленный компьютер о передаче каких-либо данных. Однако при тщательном анализе в eEye Digital Security было обнаружено, что червь существует сам по себе.
По иронии судьбы или создателей червя, одним из пострадавших сайтов стал Worm.com. Его владельцы отрицают свою причастность к Code Red Worm. 19.07.01
(c) компьютерная газета
Джером К Джером
Очень ревностно и придирчиво правительство Австралии относится к развитию Интернет-технологий в своей стране. То оно запрещает установку развлекательных игровых ресурсов на своей территории, то потом, решив, что этого мало, делает любые выигрыши (и проигрыши тоже), сделанные в онлайновых казино, просто незаконными. Вот и недавно стало известно, что скоро опасность не только хакерской, но и вирусной деятельности будет сведена к нулю. Радикально. Раз и навсегда. Каким же образом? Провести неделю экологически чистой жизни без компьютеров? Всем, от мала до велика, раздать бесплатно защитные средства, то есть антивирусы и сетевые экраны? Отправить все население страны на курсы по компьютерной безопасности? Нет, нет и еще раз нет.
Вопрос, как обычно, будет решен законодательным путем. Рассматривается новый закон по компьютерной безопасности CyberCrime Bill 2001, который образованные люди назвали "драконовским и опасным".
Так, например, по этому закону будет запрещено не только пользоваться, но и хранить у себя вирусы и редакторы для написания вирусов (конструкторы вирусов). Причем под этот запрет попадают все без исключения! Даже администраторы компьютерных систем, которые могут их использовать для тестирования надежности своих систем. В случае нарушения можно даже понести серьезное наказание, вплоть до 10 лет.
"Но почему? — спросите Вы. — Почему именно в Австралии это происходит, а не где-нибудь еще?" Трудно ответить на этот вопрос. Можно сделать только одно предположение. Если кинуть взгляд на историю Австралии на несколько лет назад, то можно увидеть, что этот континент страдал от вирусных эпидемий (CIH, Melissa) больше всех остальных стран. И это несмотря на то, что в этой стране создаются мощные антивирусные средства! Среди них — CA Vet Anti-virus (КГ №11 от 20.03.01г.), Trojan Defence Suite (КГ №20 от 29.05.01г.) и другие. Видимо, потери от хакеров и вирусов достигли такого размера, что правительство уже не хочет лишний раз наступать на одни и те же грабли и желает решить эту проблему. Раз и навсегда. Пока не известно, будет ли введен в действие CyberCrime Bill 2001 (споры еще идут), но "кул хацкерам" и вирмейкерам стоит повременить с переездом на постоянное местожительство в Австралию. По крайней мере, на время.
Кстати, в июле антитроянский пакет программ Trojan Defence Suite обновился до версии TDS-3 v3.2.0. Скачивать 30-дневную версию по старой ссылке — http://tds.diamondcs.com.au/tds-3.exe . Запаситесь терпением — файл имеет размер 6 730 Кб.
Не буду описывать еще раз этот мощный продукт. Приведу только слова Майкла Ричардса, сертифицированного специалиста Microsoft: "...мы тестировали их все, но только TDS-3 был единственной антитроянской системой, обнаружившей наших троянов во всех тестах.
Его эксклюзивные возможности, большинство из которых мы прежде не видели, такие как сканирование области памяти, объекты управления окнами, скрытые потоки данных и неслышимость, позволяют ему детектировать троянов там, где другие системы бессильны. Это действительно совершенство в троянской защите".
Среди вирусов, которые нас поразили, следует отметить опасного Интернет-червя I-Worm.Eliz. Свое название он получил в честь известной в Америке 25-летней актрисы и теннисистки Элизабет Шэннон (Shannon Elizabeth Fabal). Ее многие могут помнить как Надю (Nadia) по кинофильму "Американский пирог" (1999г). Теперь "Анна Курникова" не одинока! А червь I-Worm.Eliz, между прочим, не такой уж безобидный, как кажется на первый взгляд — четыре раза в месяц он пытается отформатировать Ваш винчестер.
Вирусы, которые нас поразили
Здесь — лишь малая часть "появившихся" зловредных саморазмножающихся программ-паразитов. Что нужно делать, чтобы они не угрожали Вашему компьютеру? Может быть, установить надежную антивирусную защиту и регулярно ее обновлять? Наверно, не стоит ждать, когда на компьютере взорвется "Чернобыль"(CIH)!
1. I-Worm.Eliz. Интернет-червь, распространяющийся по электронной почте.
Характеристики письма следующие. Тема: Shannon Elizabeth Movie. Тело письма: Hey, Check out this great movie of Shannon Elizabeth..... Have a nice day (Привет, проверьте этот классный фильм Шеннон Элизабет..... Хорошего дня). Присоединенный файл: ShannonEliz.exe.
Когда пользователь открывает присоединенный файл, вирус ищет в текущем каталоге файлы *.ht*, чтобы найти в них адреса электронной почты с тегом "mailto". После этого он посылает себя по этим адресам в том же самом формате, в котором пришел.
Затем он получает информацию о компьютере пользователя и отсылает ее по адресу auto914@hotmail.com в следующем формате:
Тема: Elizabeth Worm FeedBack
От: worm@worm.worm
Тело: The info it takes from computer (информация, взятая с компьютера).
После этого шага червь просматривает все исполняемые файлы в текущем каталоге и переписывает их собственным кодом. Затем он проверяет дату компьютера, и если день месяца равен 3, 4, 10 или 20, то создает файл C:\autoexec.bat со следующими строчками:
ctty nul
format c:/autotest /q/u
Этот файл будет форматировать диск C: в следующий раз при запуске.
В конце он показывает сообщение:
Заголовок окна: Macromedia Flash Player
Сообщение: Unable to open the movie during the following error (невозможно открыть видео из-за следующей ошибки):Unable to load system file msmedia.sys (невозможно загрузить системный файл msmedia.sys).
2. WM97/Marker-GT. Макровирус для Microsoft Word 97. Представляет собой испорченный, но все еще работоспособный вариант вируса WM97/Marker-C. Всякий раз, когда документ закрыт, вирус передает по ftp информацию о зараженном пользователе из Microsoft Word на WEB-сайт, принадлежащий хакерской группе Codebreakers. Макровирус также добавляет эту информацию к концу макрокоманды как комментарий.
ПВО — противовирусная оборона
I. The Nicks Ghost Buster version 2.10. Разработчик: А. Никишин, Заполярный, Россия. Дистрибутив: 681 КБ от 02.12.98г.
Программа, умещающаяся на одной трехдюймовой дискете, представляет собой антивирусный ревизор дисков. Работает под Windows 95/98/NT. Поддерживаются основные файловые системы: FAT1X, FAT32, NTFS. Распространяется бесплатно. Есть выбор русского или английского языка для меню и сообщений.
Если Вы обратили внимание на дату выхода последней версии (почти 2,5 года назад) и думаете, что программа устарела, то смею Вас заверить, что это не совсем так. Даже сегодня она может уверенно конкурировать с аналогичными коммерческими разработками известных антивирусных фирм — ADinf32 (www.dials.ru) и AVP Inspector (www.kav.ru). Почему? Потому что антивирусный ревизор — это такой тип защиты, который не привязывается к сигнатурным базам данных по вирусам. Ему не важно, сколько сегодня существует вирусов: 7 или 70 тысяч. Он на это не смотрит. Ревизор отслеживает изменения, произошедшие в файлах и важных областях дисков. Основной принцип работы программ-ревизоров заключается в сохранении в отдельном файле-таблице (базе данных — БД) основных сведений о диске и файловой системе. Эта операция выполняется при первоначальной установке ревизора, при последующих запусках и сравнении реальных (новых) данных с их оригинальными значениями, хранящимися в предварительно созданной БД. Эта БД содержит образы Master-Boot и Boot секторов, список номеров сбойных кластеров, дерево каталогов и информацию обо всех контролируемых файлах (CRC, дата и время создания и прочее).
Заметим, что The Nicks Ghost Buster запоминает и при каждом запуске проверяет информацию об операционной системе и установленном аппаратном обеспечении: объем оперативной памяти DOS, которая меняется при заражении большинством загрузочных вирусов; количество установленных винчестеров; таблицы параметров винчестера (Hard Disk Parameter Table). При всех этих проверках программа просматривает диск по секторам, обращаясь непосредственно к IOS (Супервизор ввода-вывода) и не использует прерывания Int 21h и Int 13h, что позволяет обнаруживать активные маскирующиеся вирусы (Stealth-вирусы). В случае необходимости восстановления поврежденного файла может быть задействован лечащий модуль ревизора.
По своим функциональным возможностям The Nicks Ghost Buster является конкурентом коммерческой программы Adinf, цена абонемента которой на 12 месяцев в расчете на 1 компьютер составляет 1160 российских рублей. Рассматриваемый ревизор работает под управлением MS Windows 95/NT, имеет графический интерфейс (GUI), поддерживается многозадачная работа и многопоточность, настоящая 32х разрядность. При работе в Windows 95 ревизор может обращаться напрямую к любым дискам через драйвер IOS (Супервизор ввода-вывода или драйвер 32-бит доступа к диску) в обход DOS резидентов (в частности, Boot вирусов, перехвативших 13h прерывание при загрузке компьютера), что не под силу DOS программам.
The Nicks Ghost Buster имеет много различных параметров настройки, которые можно конфигурировать по своему усмотрению и сохранять в отдельных профилях — вариантах настройки. Программа поддерживает создание и хранение сразу нескольких профилей.
В настоящее время домашняя страница программы (http://members.tripod.com/~NGBuster) не доступна, и о новых версиях программы ничего не слышно. Возможно, что данный проект закрыт (обычное дело для бесплатных ресурсов, долго не живут), но оставшийся от его существования законченный продукт (есть подробная справка на русском языке) продолжает надежно работать и в новом веке. Именно поэтому описанную выше версию Nicks Ghost Buster можно легко найти в Сети. Скачивать можно отсюда: ftp://ftp.stavropol.ru/pub/Windows/NGBSETUP.ZIP.
II. SecureTroy Version 2.14. Разработчик: SecureTroy Development Co (www.securetroy.com). Дистрибутив: 2 057 КБ от 22.02.01г. На 16.06.01 определяет 303 трояна.
Удивительное дело! Компьютерный взлом — hacking, ранее удел узкого круга посвященных, сегодня становится самым массовым видом спорта по причине своей легкости и доступности. Стройные колонны и ряды новоиспеченных хакеров увеличиваются с каждым днем за счет школьников и студентов. Порой они не умеют даже прочесть листинг программы на ассемблере, не то чтобы программировать. Но это ничуть не уменьшает их желание чего-нибудь взломать (можно и Пентагон!) и прославиться среди себе подобных как "кул хацкер".
Ворвавшийся в Ваш компьютер хакер может стереть ваши файлы, прочесть конфиденциальные документы, увидеть пароли или разрушить Вашу систему. Фактически, все, что Вы можете делать, используя свой компьютер, может и хакер, применяя трояны.
Что делать компьютерным пользователям, чтобы, столкнувшись с таким "хакером", "не дать ему ни единого шанса"? Ответ однозначный — защищаться. Для Вас нет более важной задачи, чем обеспечить собственную безопасность. И тут может пригодиться SecureTroy.
SecureTroy — это не одна программа, это комплексный набор программ для защиты пользователей, находящихся в сети Интернет. SecureTroy предлагает, как утверждают разработчики, "чрезвычайно высокую защиту против хакеров" и инструменты для обнаружения попыток хакеров проникнуть в Вашу систему. SecureTroy также включает ряд полезных утилит, использование которых обеспечивает наиболее полный контроль над системой.
SecureTroy не даст хакерам проникнуть в ваш компьютер. Если хакер пытается войти в компьютер, SecureTroy перехватит эту попытку и сообщит Вам об этом немедленно. SecureTroy тогда позволит Вам принять соответствующие меры против этого хакера.
Антитроянский (антихакерский) комплекс состоит из следующих взаимосвязанных частей.
SecureTroy Console — центральный компонент SecureTroy. Он обнаруживает попытки хакеров ворваться в Ваш компьютер. Когда хакер пробует проникнуть в компьютер, SecureTroy Console защитит и уведомит Вас об этой попытке.
SecureTroy Process Manager показывает список всех функционирующих программ на вашем компьютере. В отличие от обычного ctrl-alt-delete, Process Manager показывает все работающие программы, включая троянские серверы, которые обычно невидимы. Эта компонента также позволяет Вам не только удалять и закрывать работающую программу, но и видеть всю справочную информацию по ней.
SecureTroy Startup Manager показывает все программы, которые выполнятся при запуске, включая те из них, которые обычно невидимы. Он также позволяет Вам удалить любую программу из запуска одним щелчком кнопки мыши.
Когда троянский сервер инфицирует ваш компьютер, то он помещает себя в запуск. Это означает, что он будет загружаться каждый раз при запуске операционной системы вашего компьютера. Существует много различных областей, где приложение может зарегистрировать себя так, чтобы оно загружалось при запуске. Многие из них не известны большинству людей, но про них знает SecureTroy Startup Manager.
SecureTroy Whois Client. Когда SecureTroy Console обнаруживает хакера, еще только пробующего войти в ваш компьютер, Вы можете использовать опцию "Trace hacker", чтобы получить информацию о нем через SecureTroy Whois Client. Что это дает? Вы можете найти название провайдера, услугами которого воспользовался хакер, и адрес электронной почты, на который следует направлять жалобу об этом злоумышленнике.
SecureTroy Resolver позволяет Вам быстро узнать название хоста по Интернет-адресу и Интернет-адреса по названию хоста.
SecureTroy Pinger позволяет Вам увидеть, является ли удаленный компьютер доступным. Pinger можно также использовать, чтобы проследить Интернет-маршрут на другой компьютер. Количество троянских серверов, определяемых при сканировании модулем SecureTroy Anti-Trojan, можно увидеть в закладке Trojans (Tools, Anti-Trojan, Settings). Особо отметим такую важную особенность SecureTroy Console, как возможность эмулировать поведение серверной части троянов. На этом основано противодействие атаке из Интернет. Эмулируя поведение троянов, SecureTroy Console будет держать соединение с хакером открытым и не разорвет его. Хакер будет уверен в том, что успешно проник в чужой компьютер, хотя на самом деле это не так. Теперь не хакер будет управлять Вами, а Вы им! Правда, выбор средств невелик. Вы можете вывести из строя (crash) клиентскую часть сервера или, на худой конец, заставить вести ее непредсказуемо (flood). Количество эмулируемых троянов можно менять: добавлять новые, изменять существующие, удалять устаревшие.
Работает под Windows 95/98/NT/2000. Скачивать отсюда: http://www.securetroy.com/ST2.exe. Установленный комплект программ полностью функционален и работает в течение 15 дней, постоянно напоминая об этом. После окончания демонстрационного периода полная регистрация обойдется в 19$.
Доктор М macrofag@hotbox.ru
Десятка самых опасных вирусов за первую половину 2001 г.
Согласно статистическим исследованиям, проведенным антивирусной компанией Panda Software, рейтинг Top 10 возглавляет вирус W32/Disemboweler, за ним следуют I-Worm/MTX и W32/Hybris.
В течение первых шести месяцев этого года безопасность многих компьютеров испытывалась на прочность со стороны большого количества злонамеренных кодов.
Наиболее широкое распространение получили вирусы, принадлежащие группе вирусов известной как "черви". Рассмотрим кратко список из 10 наиболее популярных вирусов, составленный на основании запросов, полученных службой технической поддержки компании Panda Software от ее пользователей. Основным способом распространения этих вирусов были Интернет и электронная почта.
В этом году наиболее часто обнаруживался W32/Disemboweler (он же I-Worm.Magistr), полиморфный червь, который инфицирует файлы с расширением EXE или SCR, расположенные на локальном винчестере или доступных сетевых дисках. На втором месте — I-Worm/MTX, опасный из-за того, что он одновременно является вирусом, червем и трояном.
W32/Hybris занимает третье место. В дополнение к управлению исходящей электронной корреспонденцией, этот вирус также может самообновляться, загружая из Интернета специальные модули — плагины (plugins). Другой часто встречающийся вирус — W32/Navidad. B. Он является червем, который становится резидентом как видимый процесс в списке активных задач компьютера. PrettyPark — червь, который может воровать пароли Remote Access Service, доступа в Интернет, ICQ и передавать их по каналам IRC.
W32/FunLove.4096 инфицирует файлы PE в Windows (Win32bit) с расширениями EXE (исполняемые файлы), OCX (ActiveX Controls) или SCR на платформах Windows 9X и Windows NT. Он может использовать любой из известных способов распространения, например, через гибкие диски, CD-ROM, сетевые компьютеры, Internet, ftp и файлы, присоединенные или вложенные в сообщения электронной почты.
JS/KAK.WORM также заслуживает особого внимания. Этот червь написан на Visual Basic Script, и для своего распространения использует дыру безопасности почтового клиента Outlook Express. Вирус вставляет себя в автосигнатуру (AutoSignature) всей исходящей почты.
Червь VBS/HELP (он же I-Worm.Happytime) инфицирует файлы с расширениями HTML, HTM, ASP, VBS и HTT. Этот вирус также использует Outlook Express для своего распространения, скрываясь в файлах HTML, передаваемых по электронной почте. Если сумма даты и месяца дает число 13, то вирус удаляет файлы с расширениями DLL и EXE.
Другой вирус, который был распространен в течение последних нескольких месяцев, — VBS/VALENTIN. Этот вирус может быть получен как код HTML, вставленный в автосигнатуру сообщения. Вирус рассылает себя по всем записям, хранящимся в адресной книжке. Он также генерирует случайные номера мобильных телефонов и посылает по ним текстовое сообщение.
И, наконец, VBS.Homepage.B@mm — червь, который разработан таким образом, чтобы рассылать копию самого себя по всем адресам в адресной книжке программы Outlook и открывать браузер Интернета на Web-страницах, связанных с уругвайским правительством.
Практические советы для тех, кто не желает встречаться с вирусами во второй половине года
С точки зрения компьютерной безопасности, понимание пользователями опасностей вирусов так же важно, как и наличие правильно установленного антивирусного программного обеспечения.
Важно, чтобы пользователи руководствовались следующими мерами безопасности:
— Избегали обмениваться файлами-шутками.
— Перед открытием электронной почты проверяли ее эффективным антивирусом, поскольку все электронные сообщения могут содержать злонамеренный код, даже если они не имеют символа присоединенного файла.
— Используемый антивирус должен быть регулярно (ежедневно) обновляем, чтобы квалифицированно нейтрализовывать самые современные вирусы. Антивирус должен также включать: службу технической поддержки (в случае возникновения проблем, связанных с вирусами или функциональными возможностями антивируса), аварийную службу (при столкновении с новыми вирусами, способными быстро распространяться) и сервис вирусного оповещения.
Пользователи не нуждаются в доступе к любому типу файлов, потому что не все типы файлов необходимы им для повседневной работы. Поэтом можно заблокировать появление в системе файлов некоторыми расширениями (например, ".exe", ".vbs", и т.д.).
Где уместно, должны применяться заплаты к программам, выпущенные фирмами-разработчиками. Это может помочь уменьшить (смягчить) ущерб, который вирусы или другие вредные программы могут нанести Вашим файлам. 16.07.01
Вирусный ТОП-10.11–18 июля 2001г.
Название | Число и % зараженных компьютеров | |
W32/Magistr@MM | 6,587 | 12.64 |
BackDoor-NK.svr | 5,203 | 9.99 |
VBS/LoveLetter@MM | 2,965 | 5.69 |
W32/Hybris.gen@MM | 2,200 | 4.22 |
W32/Choke.worm | 1,091 | 2.09 |
W32/FunLove.gen | 605 | 1.16 |
W32/Hybris.dll@MM | 580 | 1.11 |
W95/MTX.gen@M | 530 | 1.02 |
W32/Magistr.dam | 520 | 1.00 |
W32/Hybris.plugin@MM | 467 | 0.90 |
Всего проверено 52108 компьютеров.
"Лаборатория Касперского" выпускает новую версию антивирусного пакета для Unix/Linux систем
Новая версия популярного пакета Антивируса Касперского для Unix/Linux систем дает возможность заказчикам дополнительно устанавливать системы централизованной защиты от вирусов на файловые серверы и серверы приложений под управлением операционных систем OpenBSD (версия 2.8) и Solaris 8 (для процессоров Intel), а также почтовые шлюзы exim (входят в пятерку наиболее популярных почтовых шлюзов для Unix/Linux).
Сегодня "Лаборатория Касперского" предлагает заказчикам самое передовое решение проблемы внедрения централизованной антивирусной проверки для Unix/Linux платформ. На данный момент Антивирус Касперского может использоваться на операционных системах Linux, FreeBSD, BSDi, OpenBSD и Solaris, а также содержит готовое решение для интеграции в почтовые шлюзы sendmail, qmail, postfix и exim. В состав пакета входят ведущие антивирусные технологии (сканер, демон и монитор), а также включены утилита автоматической загрузки обновлений антивирусной базы через Интернет, интерактивная оболочка настройки параметров и модуль создания и обработки статистических отчетов.
Важным дополнением, существенно повышающим надежность программы, стало внедрение многопоточной технологии проверки объектов. Это позволяет антивирусному сканеру проверять одновременно любое количество файлов, причем число таких сессий ограничено лишь аппаратными возможностями сервера. Число активных сессий легко может быть задано в командной строке запуска или конфигурационном файле Антивируса Касперского.
В новой версии Антивируса Касперского для Unix/Linux впервые представлена система удаленного управления программой при помощи Web-интерфейса по протоколу безопасного соединения HTTPS. Это позволяет системным администраторам значительно снизить затраты времени и средств для контроля за работой программы: весь процесс теперь может осуществляться полностью удаленно без необходимости использования третьих программ.
Улучшена процедура обработки почты, что выразилось в 35% увеличении скорости сканирования почтовых сообщений. Также введена функция цикличного сканирования заданных директорий, что может быть использовано для выполнения специфических задач, таких как проверка содержимого конкретного почтового ящика. Модуль создания отчетов теперь имеет возможность генерации статистики в масштабе реального времени и за указанный пользователем период.
В соответствии с новой продуктовой линейкой, представленной в апреле 2001 г., Антивирус Касперского для Unix/Linux платформ поставляется в составе пакетов Business Optimal и Corporate Suite. В отличие от коммерческих продуктов конкурентов, пользователи Антивируса Касперского могут выбрать и оплатить только необходимые модули и отказаться от затрат на приобретение ненужных. Более того, теперь в серверные продукты "Лаборатории Касперского" для Unix/Linux бесплатно включена защита 50 почтовых ящиков. 17.07.01
Червь "Китай" заразил 22 тысячи серверов
Новый интернет-червь "Китай" заразил 22 тысячи серверов, на которых стояла программа Microsoft Internet Information Server (IIS). Впервые он был обнаружен в пятницу, 13 июля. Специалисты по компьютерной безопасности предлагают простейший способ борьбы с ним — просто перезагрузить сервер.
Как сообщает NewsBytes, официальное название вируса — Code Red Worm.
После заражения IIS червь вывешивает на сайты, которые расположены на сервере, сообщение, написанное красными буквами: ""Welcome to http://www. worm.com! Hacked By Chinese!" ("Добро пожаловать на http:// www.worm.com! Похакано китайцами!"). Затем червь размножается и рассылает свои копии на другие машины с IIS.
Code Red Worm или "Китай" был создан автором для заражения серверов, работающих под англоязычной версией операционных систем Windows NT и Windows 2000.
Об этом сообщили после исследования червя аналитики из компании eEye Digital Security. По мнению специалистов, если бы не эта особенность, жертв и разрушений было бы гораздо больше. Червь перестает размножаться в тот момент, когда натыкается на компьютер, где стоит национальная версия операционных систем. Кроме того, в этом случае он не уродует сайты, расположенные на компьютере.
Code Red Worm использует известную с прошлого месяца "дыру" в IIS: переполнение буфера .ida. Компания Microsoft уже выпустила соответствующий патч. Серверы, уже пораженные вирусом, могут некоторое время работать нормально, а их системные администраторы — не замечать непорядка, так как сначала червь размножается, а потом уже вывешивает свое сообщение на сайт.
Кроме того, эксперты выяснили, что этот вирус находится в оперативной памяти, поэтому работает только до тех пор, пока компьютер не перегрузили. Червь не оставляет зараженных файлов на винчестере и не определяется антивирусными программами. Вместо того, чтобы создавать новый файл index.html для замены главной страницы сайта, червь перехватывает запросы от пользователей и генерирует текст дефейса из памяти компьютера.
Эксперты также обнаружили, что на некоторых серверах червь убивает себя сам, так как требует слишком много ресурсов, что приводит к падению сервера и необходимости его перезагрузить.
Первоначально специалисты решили, что Code Red Worm служит ширмой для других программ, открывающих в системе лазейки для хакеров или запрашивающих удаленный компьютер о передаче каких-либо данных. Однако при тщательном анализе в eEye Digital Security было обнаружено, что червь существует сам по себе.
По иронии судьбы или создателей червя, одним из пострадавших сайтов стал Worm.com. Его владельцы отрицают свою причастность к Code Red Worm. 19.07.01
(c) компьютерная газета
Компьютерная газета. Статья была опубликована в номере 27 за 2001 год в рубрике безопасность :: Антивирусное обозрение