Человек любит поговорить о своих болезнях, а между тем это самое неинтересное в его жизни. А.П. Чехов
Антивирусное обозрение "Человек любит поговорить о своих болезнях, а между тем это самое неинтересное в его жизни". А.П. Чехов
В одном из прошлых выпусков "Антивирусного обозрения" (а именно в КГ №11 от 20.03.01г.) я рассказывал о бесплатном антивирусном продукте, который назывался InoculateIT Personal Edition. С тех пор утекло много воды, и в мире антивирусов тоже произошли большие перемены. Теперь этот мощный полифаг* с возможностью мониторинга файлов в реальном времени уже не является бесплатным. Скажем больше — InoculateIT Вы уже никогда не сможете загрузить бесплатно с сайта корпорации Computer Associates International, Inc (http://antivirus.cai.com) и бесплатно пользоваться им всю оставшуюся жизнь.
Рекламная акция завершилась, и те, кто успел скачать и зарегистрировать этот антивирус на себя (таких, оказывается, миллионы!), тот сможет и в дальнейшем получать бесплатно обновления и техническую поддержку компании-разработчика. Но для остальных — все, халява кончилась. Интернет становится платным и самоокупаемым предприятием.
На смену антивирусу InoculateIT, который ушел от нас навсегда 7 июня 2001 года, перед взорами желающих защитить свой компьютер от мыслимой и немыслимой угрозы предстал коммерческий WEB-магазин my-eTrust.com. Он предлагает защиту малому бизнесу и домашним компьютерам в виде комплексной антивирусной защиты eTrust EZ Armor.
Этот комплекс состоит из трех программ. Первая программа — это eTrust EZ Firewall, персональный сетевой экран для защиты от несанкционированных попыток проникнуть снаружи в Ваш компьютер и получить доступ к Вашим файлам. Вторая программа — это антивирус eTrust EZ Antivirus, новая и улучшенная версия InoculateIT, включающая все его возможности и даже больше. И, наконец, третья программа — это eTrust EZ Deskshield, решение, защищающее от вирусов и вредных кодов в электронной корреспонденции.
Теперь о ценах. Стоимость всего антивирусного комплекса — 49.95$, а одного только антивируса — 19.95$. А вот зарегистрированные пользователи InoculateIT имеют уникальную и ограниченную во времени возможность приобрести годовые лицензии на данные антивирусные продукты по совершенно смешным ценам: 15.95$ — весь комплекс eTrust EZ Armor и 5.95$- eTrust EZ Antivirus.
Покупать антивирус или не покупать — дело хозяйское. Но что интересно: вирусы попадают в незащищенные компьютеры совершенно случайно и, позволю себе заметить, совершенно бесплатно! А вот за восстановление погубленной информации уж точно придется заплатить. Если не своими кровными, то хотя бы временем, потраченным на переустановку системы и установку других программ. Однако, бесплатные программы все-таки еще остались! И доказательство тому — сегодняшний выпуск раздела "ПВО — противовирусная оборона". Читайте и скачивайте на здоровье!
Это лето 2001 года многим запомнится не только своей исключительной жарой, но и почти одновременным появлением двух новых вирусов, сумевших не только поразить компьютеры пользователей, но и вызвать массовые эпидемии во всем мире.
Один из вирусов — Code Red — даже открыл новую страницу в компьютерной вирусологии. Он стал первым представителем нового поколения "беcтелесных" сетевых червей. Именно так об этом заявила Лаборатория Касперского. Они же предложили бесплатную антивирусную программу-фаг для обнаружения и удаления этого вируса. Брать отсюда: ftp://ftp.kaspersky.com/utils/ unbady.zip.
Заметим, что эпидемия вируса Code Red началась с того, что Microsoft опубликовала сообщение о проблеме в своей защите и порекомендовала скачать обновление. И началось! Буквально на следующий день сайт windowsupdate.microsoft.com (обновление различных компонентов ОС WINDOWS) уже не мог принимать гостей из-за этого вируса! М-да… Не мешало бы самой Microsoft устанавливать те обновления, про которые она говорит.
Эпидемия второго вируса — SirCam — является примером того, что чужой опыт или старые ошибки ничему не учат. Об этом можно говорить долго, убедительно и… зря! Человеческая природа практически не меняется. И если устанавливать антивирусную защиту, то надо начинать с обучения персонала, а уже потом переходить к техническим мероприятиям.
Кстати, сегодня — 20-й выпуск "Антивирусного обозрения". Маленький юбилей, одним словом. Пожелания и поздравления присылать по адресу: macrofag@hotbox.ru . Жду-с…
Вирусный ТОП-10. 18-25.07.01г.
Название Число и %
зараженных компьютеров
W32/Magistr@MM 17841 16.48
W32/SirCam@MM 9145 8.45
PornDial9 5348 4.94
BackDoor-NK.svr 4495 4.15
W32/Hybris.gen@MM 4086 3.78
APStrojan.qa@MM 3321 3.07
VBS/LoveLetter@MM 2565 2.37
W32/FunLove.gen 1954 1.81
W32/Choke.worm 1168 1.08
W32/BadTrans@MM 1018 0.94
Источник: www.mcafee.com.
Всего проверено 108229 компьютеров.
Вирусы, которые нас поразили
Эти двое — кандидаты на Вирус года!
1. I-Worm.Sircam.A (он же W32.Sircam.Worm@mm, он же W32/SirCam@mm). Интернет-червь, распространяющийся посредством массовой рассылки электронных писем со своим кодом в Интернет, а также по локальным сетям. Очень опасный. Риск заражения очень высокий.
Червь приходит с письмом, тема (subject) которого может быть случайной. Тело письма начинается как Hi! How are you? ("Привет! Как дела?") и заканчивается See you later. Thanks ("Увидимся позже. Спасибо"). В середине может содержаться одна строка из следующего списка:
"I send you this file in order to have your advice. I hope you can help me with this file that I send. I hope you like the file that I sendo you. This is the file with the information that you ask for"
Присоединенный файл имеет такое же имя, как и тема письма с добавлением двойного расширения. Первая часть расширения выбирается из перечня: DOC, XLS, ZIP, EXE, а вторая может быть чем-нибудь из следующего: PIF, LNK, BAT, COM. Когда пользователь открывает этот файл, то червь создает в реестре несколько строк, заставляя систему при следующем старте запускать на выполнение файлы SCam32.exe и SirC32.exe. Атрибуты этих файлов имеют флаг Hidden ("Скрытый").
Для получения электронных адресов для своей рассылки червь ищет на диске файлы SHO*, GET*, HOT*, *.HTM и другие. Полученный список адресов сохраняется в DLL файлах в системной директории Windows:SCH1.DLL, SCI1.DLL.
При распространении по локальной вычислительной сети червь сканирует все директории на доступные сетевые ресурсы и, в случае обнаружения их, копирует туда свои файлы. Найдя на удаленном компьютере директории Recycled, червь записывает в нее SirC32.exe. Затем он добавляет в AUTOEXEC.BAT скрытую команду:
@win \recycled\SirC32.exe
Если на компьютере присутствует директория с именем Windows, то червь изменяет имя системного файла RUNDLL32.EXE на RUN 32.EXE, а вместо RUNDLL32. EXE записывает себя. В зависимости от текущей системной даты и времени и с вероятностью 5% червь может удалить все файлы и поддиректории в директории Windows.
2. Code Red (I-Worm.Bady). Вирус заражает только компьютеры под управлением американской версии английского языка (US English) Windows 2000 без установленных сервисных пакетов, с установленным Microsoft Internet Information Server (IIS) и включенной службой индексирования (Indexing Service).
Не использует файловую систему для хранения своих копий. Существует и жизнеспособен только в системной памяти компьютера, что затрудняет его обнаружение и удаление. Способен выполнять все операции, включая распространение и проведение DDoS атак.
Для проникновения на удаленные компьютеры червь использует обнаруженную в июне 2001 г. брешь в системе безопасности IIS. Эта дыра позволяет запускать на удаленных серверах посторонний программный код.
18 июня 2001 г. Microsoft выпустила заплатку Microsoft Security Bulletin MS01-033. Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise, устраняющую данную брешь. Те, кто эту заплатку не установил, как раз и подверглись атаке червя-призрака.
Червь замедляет работу компьютера, особенно когда одновременно выполняется несколько сотен кодов червя. Кроме этого, вирус перехватывает обращения к Web-сайту, находящемуся на зараженном сервере, и вместо оригинального содержимого передает в течение 10 часов страницу с текстом: "Welcome to http://worm.com! Hacked by Chinese!". Между 20 и 28 числами каждого месяца включительно червь осуществляет DDoS атаку на сайт Белого дома США (www.whitehouse.gov). Копии червя посылают многочисленные запросы на соединение, что вызывает зависание сервера, обслуживающего этот сайт.
ПВО — противовирусная оборона
I. eSafe Desktop v.3.0 Build 29. Разработчик: Aladdin Knowledge Systems, Ltd (www.aladdin.com). Дистрибутив: 9 904 КБ. Антивирусный модуль программы с табличной версией от 23.02.01г. Включает 25525 известных вирусов и их вариантов.
eSafe Desktop — это один из продуктов семейства eSafe Protect, призванных обеспечивать комплексную защиту корпоративных сетей при работе с Интернет на уровне отдельной рабочей станции, базового Интернет-шлюза или всего предприятия в целом. В данном случае eSafe Desktop предназначен как раз для защиты рабочих станций в реальном времени. Он проверяет все входящие файлы, Java и ActiveX-апплеты, скрипты и присоединенные файлы электронной почты на наличие вредоносной активности, а также защищает конфиденциальные данные от случайного или преднамеренного копирования или отправки через Интернет.
Разработчики называют eSafe Desktop "проактивной системой защиты". Если реактивные системы, к которым относится большинство средств антивирусной защиты, реагируют на факт заражения или повреждения программ или файлов, то "проактивная система" перехватывает такие нежелательные действия и не дает им произойти.
Установив eSafe Desktop, можно работать с Интернетом, не опасаясь возможных вирусных и хакерских атак. eSafe Desktop — самая современная система защиты персональных компьютеров, подключенных к Интернет, в основе которой лежат три "кита" — три уровня защиты: "песочница" (Sandbox), не допускающая деятельность враждебных программ вне определенной ограниченной области памяти компьютера; персональный сетевой экран (firewall), защищающий компьютеры от любой нежелательной активности, связанной с Интернет или электронной почтой; самообучающийся антивирус с автоматическим обновлением через Интернет. Рассмотрим основные компоненты системы.
"Песочница" — это сердце системы eSafe Protect. С ее помощью Вы можете создать в высшей степени продуктивную систему привилегий и антивандальной защиты для Вашего компьютера. В "песочнице" можно разрешить или запретить выбранным программам выполнять следующие действия: чтение, запись, запуск программы, создание или удаление. Кроме этого, для каждого директория на диске можно установить очень гибкую защиту. Так, например, одни папки нельзя удалять, другие — читать, а в третьи — записывать.
"Песочница" создает безопасное окружение для исполняемых файлов, не позволяя им заражать Ваш компьютер.
Вторым уровнем защиты является персональный сетевой экран. Он защищает компьютер от установления нежелательных соединений с сетью. Брандмауэр регулирует поток информации, реализует защиту от хакеров и не допускает недопустимые действия в Интернет.
Кроме этого, брандмауэр дополнительно может: шифровать важные данные для их последующей передачи, блокировать нежелаемое содержимое WEB-страниц, запрещать использование несанкционированных протоколов и ограничивать использование компьютера для непродуктивных действий.
Для защиты от вирусов, троянов и других вредных кодов предназначена компонента eSafe Antivirus. Компонента состоит из полифага (Сканер), резидентного сторожа (Монитор) и утилиты по настройке конфигурации антивируса (Конфигурация). В последнем случае пользователь может настроить имена и пути для файлов контрольной суммы и рапорта, просмотреть список известных вирусов и установить пароль к своим настройкам.
Антивирусный монитор может быть настроен на два метода сканирования: стандартный и быстрый. А если монитор работает в скрытом режиме, то на экран сообщений о найденных и удаленных вирусах он выдавать не будет.
— Многоязыковый продукт: поддерживает немецкий, английский, французский, русский и другие европейские языки.
— Бесплатная версия.
Скачивать отсюда: http://5star.freeserve.com/ Utilities/files/esd30.exe или, если Вам нужна самая последняя версия, отсюда: ftp://ftp.esafe. com/pub/products/esd30.exe.
Заметим, что хотя eSafe Desktop выглядит несложным и имеет русский интерфейс и русско-английскую справку (Help), на самом деле он не так прост, как кажется. От пользователя потребуется изучить руководство и грамотно настроить все изменяемые параметры программы. Только так он сможет добиться эффективной работы этого программного продукта.
II. Winsock Restore. Разработчик: ASTONSOFT Ltd, Таллинн, Эстония (www.astonsoft.com). Дистрибутив: 243 КБ (ZIP — архив). Версия 1.0 BETA от 10.05.2001г.
Winsock Restore — это бесплатная утилита, разработанная для восстановления первоначальных socket-файлов Windows 98/2000 — winsock.dll и wsock32.dll. Некоторые очень вредные вирусы или трояны (например, Matrix, Hybris, Happy 99) замещают эти файлы своими собственными. В результате пользователь не сможет запустить антивирусную программу, посетить известные антивирусные WEB-сайты или отправить электронное сообщение по определенным адресам. Все это будет заблокировано. А те письма, что все-таки будут уходить по назначению, придут к адресатам с присоединенным вирусом. И пользователь, оставшись один на один со своим зараженным компьютером, ничего не сможет предпринять для исправления этой ситуации.
Что делать? Удалять и по новой устанавливать операционную систему Windows? Да, это вариант, но на переустановку потребуется время, не говоря уже о знаниях, которые необходимы для этого. А если снова тот же самый вирус испортит систему? Снова переустанавливать? Нет, это решение никуда не годится. И тут на помощь как раз и приходит маленькая утилита Winsock Restore. Она все сделает, что нужно, и вернет былые возможности нашему больному. Утилита автоматически определяет тип установленной операционной системы — Windows 98 или Windows 2000, а затем восстанавливает соответствующие файлы до оригинального состояния.
Скачивать отсюда: http://www.astonsoft.com/downloads/wsock.zip . Когда будете устанавливать программу, она потребует от Вас инсталляционный пароль. Чтобы не искать его на странице, доступ к которой может быть невозможен с поврежденного компьютера, сообщаю прямо сейчас: "freerestore". Программа не создает никаких значков на Рабочем столе или Меню Программ. Проведя пользователя через несколько экранов инсталлятора, Winsock Restore сделает свое дело — восстановит систему и попросит перегрузиться. Надо согласиться. Но не сразу…
Центр киберзащиты ФБР не устоял против вируса SirCam
Сотрудник подразделения киберзащиты Федерального бюро расследований обнаружил на своем компьютере интернет-вирус, рассылающий посторонним конфиденциальные документы. И это накануне сенатских слушаний, посвященных проблемам данного подразделения!
Хотя вирус SirCam не попал в другие компьютеры Центра защиты национальной инфраструктуры ФБР, он разослал по крайней мере восемь документов по нескольким внешним адресам. Один из них, посвященный исследованию другого вируса, помечен грифом "Для служебного пользования". Вирус SirCam, впервые обнаруженный на прошлой неделе, уже успел заразить тысячи компьютеров.
Представительница ФБР Дебора Вейерман сообщила, что никакой секретной информации о ведущихся расследованиях раскрыто не было. Гриф "Для служебного пользования" защищает документы от разглашения в соответствии с американским законом о свободе информации.
В том, что специалист по антивирусной защите случайно заразил свой собственный компьютер, ничего особенного нет, однако эта ошибка оказалась особенно болезненной, так как случилась непосредственно перед слушаниями в комитете по вопросам судоустройства Сената США, посвященными эффективности работы подразделения киберзащиты ФБР. Законодатели планировали рассмотреть причины полного отказа других ведомств от кооперации с Центром защиты национальной инфраструктуры ФБР и отсутствия взаимного доверия между ФБР и частными фирмами.
Обычно центр получает высокие оценки за свои расследования уголовных дел, и даже критики признают, что он работает эффективнее, чем год назад. "Цель слушаний не наказать кого-то, а подчеркнуть, что впереди еще много работы", — сказал сенатор-республиканец от штата Аризона Джон Кил.
Тем временем Белый дом приступил к организации новой сети заблаговременного предупреждения об интернет-угрозах. Но эта сеть, в отличие от существующей системы, будет координироваться не ФБР, а Пентагоном. Механизм предупреждения всех военных и гражданских ведомств США, а затем и корпораций, будет называться Cyber-Warning and Information Network, сокращенно c-win. Предполагается создать десятки компьютерных центров, которые, обнаружив угрозу, будут трубить тревогу.
Ожидается, что сеть начнет функционировать уже в октябре. Подразделение ФБР, которое сегодня рассылает такие предупреждения, подверглось резкой критике со стороны ревизоров Конгресса за медлительность. Г-жа Вейерман назвала новую сеть "полезным механизмом", который обеспечит правительство "отсутствующими в настоящее время техническими возможностями". По ее словам, ФБР не переживает из-за утраты ответственности за предупреждения об угрозе. Во вторник по крайней мере три человека сообщили, что они получили из ФБР какие-то документы. Один из них — Нильс Хейен, 23-летний специалист по интернет-защите из Бельгии. Он поддерживает веб-сайт, публикующий отчеты о взломе сетей, и утверждает, что его посещал с зараженного компьютера аналитик Винс Роув. На просьбу прокомментировать это сообщение Роув не ответил. 25.07.01
Пентагон закрывает веб-сайты, спасаясь от червя
Министерство обороны США временно прекратило доступ к большинству своих веб-сайтов, защищаясь от компьютерного вируса Code Red, некоторые версии которого вывешивают на зараженных сайтах объявление: "Взломано китайцами!".
"Большинство веб-сайтов Минобороны останутся недоступными для широкой публики до тех пор, пока червь не перестанет угрожать его сетям", — сказала представительница Пентагона подполковник Кэтрин Эбботт. По ее словам, инженеры пытаются определить, были ли установлены патчи, исключающие данную проблему. "Организациям Минобороны разослана директива, предписывающая проверить состояние их интернет-серверов и убедиться, что все необходимые патчи установлены", — сказала она.
Вирус Code Red, который с технической точки зрения относится к самораспространяющимся червям, впервые объявился на прошлой неделе. С тех пор, по словам Марка Майфрета, главного хакера компании eEye Digital Security, было заражено не менее 300 тыс. серверов, включая большое число веб-сайтов правительства и военного ведомства США.
Code Red запрограммирован так, что начинает размножаться первого числа каждого месяца, так что 1 августа может пойти новая волна его нашествия, сказал Майфрет. На прошлой неделе Белому дому удалось отвести предполагаемую атаку Code Red на свой веб-сайт — домашнюю страницу администрации Буша. 25.07.01
Доктор М
macrofag@hotbox.ru
(c) компьютерная газета
В одном из прошлых выпусков "Антивирусного обозрения" (а именно в КГ №11 от 20.03.01г.) я рассказывал о бесплатном антивирусном продукте, который назывался InoculateIT Personal Edition. С тех пор утекло много воды, и в мире антивирусов тоже произошли большие перемены. Теперь этот мощный полифаг* с возможностью мониторинга файлов в реальном времени уже не является бесплатным. Скажем больше — InoculateIT Вы уже никогда не сможете загрузить бесплатно с сайта корпорации Computer Associates International, Inc (http://antivirus.cai.com) и бесплатно пользоваться им всю оставшуюся жизнь.
Рекламная акция завершилась, и те, кто успел скачать и зарегистрировать этот антивирус на себя (таких, оказывается, миллионы!), тот сможет и в дальнейшем получать бесплатно обновления и техническую поддержку компании-разработчика. Но для остальных — все, халява кончилась. Интернет становится платным и самоокупаемым предприятием.
На смену антивирусу InoculateIT, который ушел от нас навсегда 7 июня 2001 года, перед взорами желающих защитить свой компьютер от мыслимой и немыслимой угрозы предстал коммерческий WEB-магазин my-eTrust.com. Он предлагает защиту малому бизнесу и домашним компьютерам в виде комплексной антивирусной защиты eTrust EZ Armor.
Этот комплекс состоит из трех программ. Первая программа — это eTrust EZ Firewall, персональный сетевой экран для защиты от несанкционированных попыток проникнуть снаружи в Ваш компьютер и получить доступ к Вашим файлам. Вторая программа — это антивирус eTrust EZ Antivirus, новая и улучшенная версия InoculateIT, включающая все его возможности и даже больше. И, наконец, третья программа — это eTrust EZ Deskshield, решение, защищающее от вирусов и вредных кодов в электронной корреспонденции.
Теперь о ценах. Стоимость всего антивирусного комплекса — 49.95$, а одного только антивируса — 19.95$. А вот зарегистрированные пользователи InoculateIT имеют уникальную и ограниченную во времени возможность приобрести годовые лицензии на данные антивирусные продукты по совершенно смешным ценам: 15.95$ — весь комплекс eTrust EZ Armor и 5.95$- eTrust EZ Antivirus.
Покупать антивирус или не покупать — дело хозяйское. Но что интересно: вирусы попадают в незащищенные компьютеры совершенно случайно и, позволю себе заметить, совершенно бесплатно! А вот за восстановление погубленной информации уж точно придется заплатить. Если не своими кровными, то хотя бы временем, потраченным на переустановку системы и установку других программ. Однако, бесплатные программы все-таки еще остались! И доказательство тому — сегодняшний выпуск раздела "ПВО — противовирусная оборона". Читайте и скачивайте на здоровье!
Это лето 2001 года многим запомнится не только своей исключительной жарой, но и почти одновременным появлением двух новых вирусов, сумевших не только поразить компьютеры пользователей, но и вызвать массовые эпидемии во всем мире.
Один из вирусов — Code Red — даже открыл новую страницу в компьютерной вирусологии. Он стал первым представителем нового поколения "беcтелесных" сетевых червей. Именно так об этом заявила Лаборатория Касперского. Они же предложили бесплатную антивирусную программу-фаг для обнаружения и удаления этого вируса. Брать отсюда: ftp://ftp.kaspersky.com/utils/ unbady.zip.
Заметим, что эпидемия вируса Code Red началась с того, что Microsoft опубликовала сообщение о проблеме в своей защите и порекомендовала скачать обновление. И началось! Буквально на следующий день сайт windowsupdate.microsoft.com (обновление различных компонентов ОС WINDOWS) уже не мог принимать гостей из-за этого вируса! М-да… Не мешало бы самой Microsoft устанавливать те обновления, про которые она говорит.
Эпидемия второго вируса — SirCam — является примером того, что чужой опыт или старые ошибки ничему не учат. Об этом можно говорить долго, убедительно и… зря! Человеческая природа практически не меняется. И если устанавливать антивирусную защиту, то надо начинать с обучения персонала, а уже потом переходить к техническим мероприятиям.
Кстати, сегодня — 20-й выпуск "Антивирусного обозрения". Маленький юбилей, одним словом. Пожелания и поздравления присылать по адресу: macrofag@hotbox.ru . Жду-с…
Вирусный ТОП-10. 18-25.07.01г.
Название Число и %
зараженных компьютеров
W32/Magistr@MM 17841 16.48
W32/SirCam@MM 9145 8.45
PornDial9 5348 4.94
BackDoor-NK.svr 4495 4.15
W32/Hybris.gen@MM 4086 3.78
APStrojan.qa@MM 3321 3.07
VBS/LoveLetter@MM 2565 2.37
W32/FunLove.gen 1954 1.81
W32/Choke.worm 1168 1.08
W32/BadTrans@MM 1018 0.94
Источник: www.mcafee.com.
Всего проверено 108229 компьютеров.
Вирусы, которые нас поразили
Эти двое — кандидаты на Вирус года!
1. I-Worm.Sircam.A (он же W32.Sircam.Worm@mm, он же W32/SirCam@mm). Интернет-червь, распространяющийся посредством массовой рассылки электронных писем со своим кодом в Интернет, а также по локальным сетям. Очень опасный. Риск заражения очень высокий.
Червь приходит с письмом, тема (subject) которого может быть случайной. Тело письма начинается как Hi! How are you? ("Привет! Как дела?") и заканчивается See you later. Thanks ("Увидимся позже. Спасибо"). В середине может содержаться одна строка из следующего списка:
"I send you this file in order to have your advice. I hope you can help me with this file that I send. I hope you like the file that I sendo you. This is the file with the information that you ask for"
Присоединенный файл имеет такое же имя, как и тема письма с добавлением двойного расширения. Первая часть расширения выбирается из перечня: DOC, XLS, ZIP, EXE, а вторая может быть чем-нибудь из следующего: PIF, LNK, BAT, COM. Когда пользователь открывает этот файл, то червь создает в реестре несколько строк, заставляя систему при следующем старте запускать на выполнение файлы SCam32.exe и SirC32.exe. Атрибуты этих файлов имеют флаг Hidden ("Скрытый").
Для получения электронных адресов для своей рассылки червь ищет на диске файлы SHO*, GET*, HOT*, *.HTM и другие. Полученный список адресов сохраняется в DLL файлах в системной директории Windows:SCH1.DLL, SCI1.DLL.
При распространении по локальной вычислительной сети червь сканирует все директории на доступные сетевые ресурсы и, в случае обнаружения их, копирует туда свои файлы. Найдя на удаленном компьютере директории Recycled, червь записывает в нее SirC32.exe. Затем он добавляет в AUTOEXEC.BAT скрытую команду:
@win \recycled\SirC32.exe
Если на компьютере присутствует директория с именем Windows, то червь изменяет имя системного файла RUNDLL32.EXE на RUN 32.EXE, а вместо RUNDLL32. EXE записывает себя. В зависимости от текущей системной даты и времени и с вероятностью 5% червь может удалить все файлы и поддиректории в директории Windows.
2. Code Red (I-Worm.Bady). Вирус заражает только компьютеры под управлением американской версии английского языка (US English) Windows 2000 без установленных сервисных пакетов, с установленным Microsoft Internet Information Server (IIS) и включенной службой индексирования (Indexing Service).
Не использует файловую систему для хранения своих копий. Существует и жизнеспособен только в системной памяти компьютера, что затрудняет его обнаружение и удаление. Способен выполнять все операции, включая распространение и проведение DDoS атак.
Для проникновения на удаленные компьютеры червь использует обнаруженную в июне 2001 г. брешь в системе безопасности IIS. Эта дыра позволяет запускать на удаленных серверах посторонний программный код.
18 июня 2001 г. Microsoft выпустила заплатку Microsoft Security Bulletin MS01-033. Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise, устраняющую данную брешь. Те, кто эту заплатку не установил, как раз и подверглись атаке червя-призрака.
Червь замедляет работу компьютера, особенно когда одновременно выполняется несколько сотен кодов червя. Кроме этого, вирус перехватывает обращения к Web-сайту, находящемуся на зараженном сервере, и вместо оригинального содержимого передает в течение 10 часов страницу с текстом: "Welcome to http://worm.com! Hacked by Chinese!". Между 20 и 28 числами каждого месяца включительно червь осуществляет DDoS атаку на сайт Белого дома США (www.whitehouse.gov). Копии червя посылают многочисленные запросы на соединение, что вызывает зависание сервера, обслуживающего этот сайт.
ПВО — противовирусная оборона
I. eSafe Desktop v.3.0 Build 29. Разработчик: Aladdin Knowledge Systems, Ltd (www.aladdin.com). Дистрибутив: 9 904 КБ. Антивирусный модуль программы с табличной версией от 23.02.01г. Включает 25525 известных вирусов и их вариантов.
eSafe Desktop — это один из продуктов семейства eSafe Protect, призванных обеспечивать комплексную защиту корпоративных сетей при работе с Интернет на уровне отдельной рабочей станции, базового Интернет-шлюза или всего предприятия в целом. В данном случае eSafe Desktop предназначен как раз для защиты рабочих станций в реальном времени. Он проверяет все входящие файлы, Java и ActiveX-апплеты, скрипты и присоединенные файлы электронной почты на наличие вредоносной активности, а также защищает конфиденциальные данные от случайного или преднамеренного копирования или отправки через Интернет.
Разработчики называют eSafe Desktop "проактивной системой защиты". Если реактивные системы, к которым относится большинство средств антивирусной защиты, реагируют на факт заражения или повреждения программ или файлов, то "проактивная система" перехватывает такие нежелательные действия и не дает им произойти.
Установив eSafe Desktop, можно работать с Интернетом, не опасаясь возможных вирусных и хакерских атак. eSafe Desktop — самая современная система защиты персональных компьютеров, подключенных к Интернет, в основе которой лежат три "кита" — три уровня защиты: "песочница" (Sandbox), не допускающая деятельность враждебных программ вне определенной ограниченной области памяти компьютера; персональный сетевой экран (firewall), защищающий компьютеры от любой нежелательной активности, связанной с Интернет или электронной почтой; самообучающийся антивирус с автоматическим обновлением через Интернет. Рассмотрим основные компоненты системы.
"Песочница" — это сердце системы eSafe Protect. С ее помощью Вы можете создать в высшей степени продуктивную систему привилегий и антивандальной защиты для Вашего компьютера. В "песочнице" можно разрешить или запретить выбранным программам выполнять следующие действия: чтение, запись, запуск программы, создание или удаление. Кроме этого, для каждого директория на диске можно установить очень гибкую защиту. Так, например, одни папки нельзя удалять, другие — читать, а в третьи — записывать.
"Песочница" создает безопасное окружение для исполняемых файлов, не позволяя им заражать Ваш компьютер.
Вторым уровнем защиты является персональный сетевой экран. Он защищает компьютер от установления нежелательных соединений с сетью. Брандмауэр регулирует поток информации, реализует защиту от хакеров и не допускает недопустимые действия в Интернет.
Кроме этого, брандмауэр дополнительно может: шифровать важные данные для их последующей передачи, блокировать нежелаемое содержимое WEB-страниц, запрещать использование несанкционированных протоколов и ограничивать использование компьютера для непродуктивных действий.
Для защиты от вирусов, троянов и других вредных кодов предназначена компонента eSafe Antivirus. Компонента состоит из полифага (Сканер), резидентного сторожа (Монитор) и утилиты по настройке конфигурации антивируса (Конфигурация). В последнем случае пользователь может настроить имена и пути для файлов контрольной суммы и рапорта, просмотреть список известных вирусов и установить пароль к своим настройкам.
Антивирусный монитор может быть настроен на два метода сканирования: стандартный и быстрый. А если монитор работает в скрытом режиме, то на экран сообщений о найденных и удаленных вирусах он выдавать не будет.
— Многоязыковый продукт: поддерживает немецкий, английский, французский, русский и другие европейские языки.
— Бесплатная версия.
Скачивать отсюда: http://5star.freeserve.com/ Utilities/files/esd30.exe или, если Вам нужна самая последняя версия, отсюда: ftp://ftp.esafe. com/pub/products/esd30.exe.
Заметим, что хотя eSafe Desktop выглядит несложным и имеет русский интерфейс и русско-английскую справку (Help), на самом деле он не так прост, как кажется. От пользователя потребуется изучить руководство и грамотно настроить все изменяемые параметры программы. Только так он сможет добиться эффективной работы этого программного продукта.
II. Winsock Restore. Разработчик: ASTONSOFT Ltd, Таллинн, Эстония (www.astonsoft.com). Дистрибутив: 243 КБ (ZIP — архив). Версия 1.0 BETA от 10.05.2001г.
Winsock Restore — это бесплатная утилита, разработанная для восстановления первоначальных socket-файлов Windows 98/2000 — winsock.dll и wsock32.dll. Некоторые очень вредные вирусы или трояны (например, Matrix, Hybris, Happy 99) замещают эти файлы своими собственными. В результате пользователь не сможет запустить антивирусную программу, посетить известные антивирусные WEB-сайты или отправить электронное сообщение по определенным адресам. Все это будет заблокировано. А те письма, что все-таки будут уходить по назначению, придут к адресатам с присоединенным вирусом. И пользователь, оставшись один на один со своим зараженным компьютером, ничего не сможет предпринять для исправления этой ситуации.
Что делать? Удалять и по новой устанавливать операционную систему Windows? Да, это вариант, но на переустановку потребуется время, не говоря уже о знаниях, которые необходимы для этого. А если снова тот же самый вирус испортит систему? Снова переустанавливать? Нет, это решение никуда не годится. И тут на помощь как раз и приходит маленькая утилита Winsock Restore. Она все сделает, что нужно, и вернет былые возможности нашему больному. Утилита автоматически определяет тип установленной операционной системы — Windows 98 или Windows 2000, а затем восстанавливает соответствующие файлы до оригинального состояния.
Скачивать отсюда: http://www.astonsoft.com/downloads/wsock.zip . Когда будете устанавливать программу, она потребует от Вас инсталляционный пароль. Чтобы не искать его на странице, доступ к которой может быть невозможен с поврежденного компьютера, сообщаю прямо сейчас: "freerestore". Программа не создает никаких значков на Рабочем столе или Меню Программ. Проведя пользователя через несколько экранов инсталлятора, Winsock Restore сделает свое дело — восстановит систему и попросит перегрузиться. Надо согласиться. Но не сразу…
Центр киберзащиты ФБР не устоял против вируса SirCam
Сотрудник подразделения киберзащиты Федерального бюро расследований обнаружил на своем компьютере интернет-вирус, рассылающий посторонним конфиденциальные документы. И это накануне сенатских слушаний, посвященных проблемам данного подразделения!
Хотя вирус SirCam не попал в другие компьютеры Центра защиты национальной инфраструктуры ФБР, он разослал по крайней мере восемь документов по нескольким внешним адресам. Один из них, посвященный исследованию другого вируса, помечен грифом "Для служебного пользования". Вирус SirCam, впервые обнаруженный на прошлой неделе, уже успел заразить тысячи компьютеров.
Представительница ФБР Дебора Вейерман сообщила, что никакой секретной информации о ведущихся расследованиях раскрыто не было. Гриф "Для служебного пользования" защищает документы от разглашения в соответствии с американским законом о свободе информации.
В том, что специалист по антивирусной защите случайно заразил свой собственный компьютер, ничего особенного нет, однако эта ошибка оказалась особенно болезненной, так как случилась непосредственно перед слушаниями в комитете по вопросам судоустройства Сената США, посвященными эффективности работы подразделения киберзащиты ФБР. Законодатели планировали рассмотреть причины полного отказа других ведомств от кооперации с Центром защиты национальной инфраструктуры ФБР и отсутствия взаимного доверия между ФБР и частными фирмами.
Обычно центр получает высокие оценки за свои расследования уголовных дел, и даже критики признают, что он работает эффективнее, чем год назад. "Цель слушаний не наказать кого-то, а подчеркнуть, что впереди еще много работы", — сказал сенатор-республиканец от штата Аризона Джон Кил.
Тем временем Белый дом приступил к организации новой сети заблаговременного предупреждения об интернет-угрозах. Но эта сеть, в отличие от существующей системы, будет координироваться не ФБР, а Пентагоном. Механизм предупреждения всех военных и гражданских ведомств США, а затем и корпораций, будет называться Cyber-Warning and Information Network, сокращенно c-win. Предполагается создать десятки компьютерных центров, которые, обнаружив угрозу, будут трубить тревогу.
Ожидается, что сеть начнет функционировать уже в октябре. Подразделение ФБР, которое сегодня рассылает такие предупреждения, подверглось резкой критике со стороны ревизоров Конгресса за медлительность. Г-жа Вейерман назвала новую сеть "полезным механизмом", который обеспечит правительство "отсутствующими в настоящее время техническими возможностями". По ее словам, ФБР не переживает из-за утраты ответственности за предупреждения об угрозе. Во вторник по крайней мере три человека сообщили, что они получили из ФБР какие-то документы. Один из них — Нильс Хейен, 23-летний специалист по интернет-защите из Бельгии. Он поддерживает веб-сайт, публикующий отчеты о взломе сетей, и утверждает, что его посещал с зараженного компьютера аналитик Винс Роув. На просьбу прокомментировать это сообщение Роув не ответил. 25.07.01
Пентагон закрывает веб-сайты, спасаясь от червя
Министерство обороны США временно прекратило доступ к большинству своих веб-сайтов, защищаясь от компьютерного вируса Code Red, некоторые версии которого вывешивают на зараженных сайтах объявление: "Взломано китайцами!".
"Большинство веб-сайтов Минобороны останутся недоступными для широкой публики до тех пор, пока червь не перестанет угрожать его сетям", — сказала представительница Пентагона подполковник Кэтрин Эбботт. По ее словам, инженеры пытаются определить, были ли установлены патчи, исключающие данную проблему. "Организациям Минобороны разослана директива, предписывающая проверить состояние их интернет-серверов и убедиться, что все необходимые патчи установлены", — сказала она.
Вирус Code Red, который с технической точки зрения относится к самораспространяющимся червям, впервые объявился на прошлой неделе. С тех пор, по словам Марка Майфрета, главного хакера компании eEye Digital Security, было заражено не менее 300 тыс. серверов, включая большое число веб-сайтов правительства и военного ведомства США.
Code Red запрограммирован так, что начинает размножаться первого числа каждого месяца, так что 1 августа может пойти новая волна его нашествия, сказал Майфрет. На прошлой неделе Белому дому удалось отвести предполагаемую атаку Code Red на свой веб-сайт — домашнюю страницу администрации Буша. 25.07.01
Доктор М
macrofag@hotbox.ru
(c) компьютерная газета
Компьютерная газета. Статья была опубликована в номере 28 за 2001 год в рубрике безопасность :: Антивирусное обозрение