Только самые мудрые и самые глупые не поддаются обучению.

Антивирусное обозрение "Только самые мудрые и самые глупые не поддаются обучению".
Конфуций

С увеличением интенсивности использования глобальной сети Интернет как средства связи резко увеличивается угроза проникновения вируса в корпоративную сеть предприятия. Как известно, более 90 процентов вирусов проникают в локальные вычислительные сети как раз через Интернет. А последние события с участием червя SirCam, переросшие в эпидемию, справиться с которой еще предстоит, еще раз подтверждают этот печальный факт.

Интернет — не только новые знания, быстрый обмен сообщениями и почтой, эффективный инструмент ведения бизнеса, это и серьезная опасность, которая может проявиться в совершенно непредсказуемой форме. Поразив Ваш компьютер, она может не только уничтожить любимую игрушку, но и результаты научных исследований, базы данных бухгалтерии, отчеты и балансы, медицинские истории болезней, финансовые расчеты и многое другое.
Когда люди доверяют компьютеру самую ценную для них информацию, почему они так халатно относятся к ее защите не только от посторонних глаз, но и от враждебных программ? Что мешает им потратить немного времени на изучение хотя бы основ антивирусной защиты? Возможно, что в этом случае им даже не придется бороться с заразой, потому что она не сможет пройти через хорошо организованную защитную стенку, которую Вы сами и построите. Профилактика — лучше лечения.

По всей видимости, компьютерные вирусные эпидемии будут лихорадить Интернет-общество все чаще и чаще. И тут не нужно быть большим пророком в Отечестве своем. Взгляните на историю последних эпидемий — буквально каждый месяц появляется что-то новое, особо вредное и опасное. Вспомните хотя бы вирусы "Анна Курникова", "Магистр" и нынешний SirCam.
"Появляется" — это как-то нейтрально и мягко сказано! Вирусы не с Луны к нам в летающих тарелках прилетают. Они приходят от людей. И точно так же, как и живые вирусы, которые видны в микроскопы, компьютерные вирусы, созданные людьми, распространяются дальше от человека к человеку. Только для компьютерных вирусов не нужна воздушно-капельная среда или необходимость близкого контакта. И Интернет, как техническая среда для распространения, им нужна постольку поскольку.

Самое главное, что нужно компьютерным вирусам — это человеческое невежество, их нежелание вести "здоровый компьютерный образ жизнь", лень устанавливать и пользоваться антивирусными и другими защитными средствами. Человек! Именно он был и всегда останется самым слабым звеном в любой системе безопасности. Можно создать самую совершенную систему защиты с большим количеством уровнем проверок и анализа, техническими, технологическими, правовыми и прочими мероприятиями. Но если наверху, в управлении этой системы, находится человек со своими собственными амбициями, взглядами и мировоззрением, то даже самая дорогая и навороченная защита может оказаться бесполезной.
За примерами далеко ходить не надо. Вспомните хотя бы, почему оказалась отключенной защитная стена парка динозавров в фильме "Парк Юрского периода" Стивена Спилберга? Хотя фильм вымышленный, но режиссер показывает нам типичные поступки обычных людей. А вот жизненный случай — авария на 4-м энергоблоке Чернобыльской АЭС. Вы не забыли причины случившегося?..
Человеческая халатность, самонадеянность и беззаботность — вот что надо вирусам. И внедрять антивирусные средства защиты надо начинать не с компьютера, а с его хозяина. Необходимо научить его правильно себя вести при обнаружении вирусов, заставить обновлять антивирусные программы (если сам не хочет), разъяснять и убеждать не открывать неизвестные файлы, приходящие от незнакомых людей, и так далее и тому подобное.

Просто установить антивирусный монитор (резидентный сторож) на все компьютеры отдела и наладить фильтрацию почтовых сообщений — этого мало. Если персонал отключает или выгружает монитор, чтобы не мешал, да еще заталкивает в дисководы без проверки пиратские диски... Да, тут уж никакая совершенная техническая защита не поможет.

Эпидемии, вызванные вирусом SirCam, все еще продолжаются. Вот что написал мне об этом Дмитрий Кочановский, один из постоянных читателей "Антивирусного обозрения": "Мне ежедневно приходят 3-10 писем от различных адресатов. Вот и попробуй оценить масштабы трагедии, письма-то от белорусских пользователей. Очень часто эти письма от представителей различных компьютерных фирм, и я знаю уже случаи переформатирования дисков. Т.е. по масштабам действия на нашей территории этот вирус приближается к ЧИХу (чернобыль). Сам вирус может быть и достаточно примитивный, но механизм его распространения очень эффективный, я сам на эту провокацию поддался, но вроде как обошлось. Я ведь работаю на NT, а эта зараза к NT, похоже, не цепляется, хотя этого еще нигде не сообщалось."

Для помощи пользователям в борьбе с этой напастью лаборатория Касперского выпустила очередной бесплатный фаг. Он предназначен для обнаружения и полного удаления вируса SirCam, включая восстановление поврежденного системного реестра Windows. Кроме этого, утилита лечит систему и от вирусов I-Worm.BleBla.b и I-Worm.Navidad. Скачивать отсюда: ftp://ftp.kaspersky.com/utils/clrav.com .

Вирусный ТОП-10. 25-31 июля 2001г.

Название Число зараженных компьютеров, %
W32/SirCam@MM 16200 10.67
W32/Magistr@MM 13922 9.17
PornDial9 13241 8.72
VBS/LoveLetter@MM 6491 4.28
W32/Hybris.gen@MM 5521 3.64
W32/SirCam@dat 4909 3.23
BackDoor-NK.svr 4071 2.68
W32/Ska.dll@M 2661 1.75
W32/Choke.worm 1700 1.12
W32/Hybris.dll@MM 1120 0.74
Источник: www.mcafee.com .
Всего проверено 151811 компьютеров.


Вирусы, которые нас поразили
Здесь — лишь малая часть "появившихся" зловредных саморазмножающихся программ-паразитов. Что нужно делать, чтобы они не угрожали Вашему компьютеру? Может быть, установить надежную антивирусную защиту и регулярно ее обновлять? Наверно, не стоит ждать, когда на компьютере сработает "Чернобыль"(CIH)!

1. VBS.Potok.A (он же VBS/ Stream, он же VBS/Vdrive). Интернет-червь, распространяющийся как вложение в электронные письма. Заражает ОС Windows 2000/NT. Использует потоки файловой системы NTFS для сокрытия своего присутствия.
При активизации червь копирует себя в каталог WINDOWS в виде файла: driver.doc(пробелы).vbs. Затем ищет на жестком диске раздел NTFS. Если не находит, то скрипт прекращает работу. Иначе — создает четыре потока (mail, main, user, group) в файле %WinDir%\odbc.ini.
Поток "mail", содержащий скрипт с инструкциями, рассылатет копию червя по первым 50-ти адресам из адресной книги Microsoft Outlook.
Тема письма: New Generation of drivers.
Тело: Microsoft has published new driver for all types Video Cards, compatible with Windows 95/98/NT/2000/XP ("Майкрософт выпустил новый драйвер для всех типов видеокарт, совместимый Windows 95/98/NT/2000/XP"). You can read about it in attachment document. Best wishes, Microsoft. ("Вы можете прочитать об этом в присоединенном документе. С наилучшими пожеланиями, Майкрософт")
Вложение: driver.doc[пробелы].vbs, 9K
Потоки "main", "user" "group" содержат скрипты для создания аккаунта "Lord_Nikon" и добавления пользователя с этим именем в систему с правами администратора.
Червь сохраняет текст каждого потока в файле %WinDir%\SYSTEM32\RAS\NOTEPAD.VBS, а также файл %WinDir%\SYSTEM32\GO.VBS, который содержит инструкции считывать каждый поток и записывать его в файл NOTEPAD.VBS.
После этого червь запускает на выполнение файл GO.VBS.

2. W32/Parrot (он жеW32/Crack-ly). Интернет-червь, распространяющийся через электронную почту с присоединенным файлом. Для рассылки своих копий использует Microsoft Outlook, и пытается это сделать первым 2000 пользователям, найденным в адресной книге.
Тема письма: Parrot screensaver (скринсейвер "Попугай")
Тело: Hehe hey, look at this screensaver:) (Эй, взгляни на этот скринсейвер)
Вложение: PARROT.SCR
Компаньон-вирус. Создает *.MP3 файл и проигрывает его при каждом запуске приложений Windows.
Кроме этого, создает много *.TMP-файлов в каталоге Windows, имена которых имеют 27 символов. На зараженной машине невозможно правильно завершить работу Windows.
При запуске PARROT.SCR червь создает несколько файлов:
C:\PARROT.SCR — копия червя, PARROT.MP3 и HELLO.MP3 — аудио-файлы, WINSTART.BAT и MSG.VBS — текстовые сообщения.
Червь переименовывает все EXE-файлы, найденные в каталоге WINDOWS (за исключением EXPLORER.EXE, PTSNOOP.EXE, RUNDLL.EXE, TASKMON.EXE и WSCRIPT.EXE), изменяя их расширение на .PRT и копируя себя в оригиналы EXE-файлов. При запуске таких EXE-файлов червь проигрывает PARROT.MP3, оригинальный .PRT-файл копирует в HOST.EXE и запускается.
Червь создает ключи в реестре для загрузки аудиофайла и вывода сообщения при каждом старте Windows.

ПВО — противовирусная оборона

I. eScan for Windows 95/98/ME — Personal Edition (Pro Edition). Разработчик: MicroWorld Software Services Pvt Ltd, (http://www.mspl.net/). Дистрибутив: 11 807 КБ. Версия v.2.5.181 от 29.07.01г.
eScan выполняет всестороннее вирусное сканирование и защиту содержимого Интернет-трафика и жесткого диска. В реальном режиме времени eScan проверяет электронную почту и обнаруживает зараженные электронные сообщения до того, как они смогут попасть в почтовый ящик.
За 13 лет исследований разработчики смогли собрать самые последние достижения в сфере антивирусных технологий в одном наборе — программе eScan. Сюда входит антивирус на основе ядра Антивируса Касперского, модуль обеспечения в реальном времени защиты информации (резидентный сторож) и вирусный сканер (полифаг). Опираясь на новые технологии, eScan способен не только выявить известные вирусы, но и обнаруживать активность, которая может указывать на присутствие новых вирусов.
Комплект eScan, интегрированный с MailScanLite:
— обеспечивает неуязвимую защиту на уровне WinSock layer;
— проверяет и обрабатывает электронные сообщения в реальном времени независимо от типа почтового клиента.
Это стало возможным благодаря разработке и использованию интерфейса MicroWorld WinSock Layer (MWL), находящего между уровнем приложения (Application layer) и уровнем WinSock. При этом трафик TCP/IP, связанный с электронной почтой, проходит через MWL, который и перехватывает инфицированные сообщения.
В настоящее время разработчики компании работают над отслеживанием трафика по протоколам HTTP, IRC, FTP, IRC и прочим.
Одним щелчком мыши компьютерный пользователь может запускать: вирусный сканер (eScan for Windows), проверку гибких дисков (Scan Floppy Disk), настройку параметров фильтрации и выявления электронных писем с опасными (вирусными) вложениями или присоединениями (Content Administrator). В Content Administrator могут проверяться на наличие определенных ключевых слов или фраз, свойственных зараженному письму. В случае выполнения условий проверки получателю или отправителю будет выслано предупреждающее сообщение. А присоединенный файл, имя которого подходит под один из указанных вирусных шаблонов, будет уничтожен еще на подступах к почтовому ящику. Однако, действия программы могут быть и другими: зараженный файл может быть помилован, но помещен в закрытую зону — "карантин" — для дальнейшего изучения.
Для работы программе требуется не менее 32 Мб оперативной памяти и 100 Мб свободного места на жестком диске. Скачивать отсюда: ftp://ftp.microworld-systems.com/download/escan/escan-h95.exe. Замечу, что с сайта разработчика можно скачать версию eScan для Windows 2000/NT. После установки программы выдается тестовый ключ для работы на 30 дней. Лицензия на год для одного пользователя обойдется в 40 USD.
Вот некоторые дополнительные свойства и возможности комплекта eScan:
— Компрессирование (сжатие) исходящей корреспонденции (присоединенных файлов) в формат и, по желанию пользователя, создание самораспаковывающегося архива.
— Автоматическое обновление через Интернет одним нажатием кнопки.
— Установка пароля на доступ к настройкам Content Administrator.
— Использование эвристического анализатора как при мониторинге, так и при сканировании файлов. Эвристика позволяет обнаруживать ранее, еще не известные вирусы.
— Использование рассчитанных ранее контрольных сумм проверямых файлов (функция антивирусного ревизора) при текущей проверке.
— Режим автоматического распознавания типа файлов.
— Проверка архивных файлов: ZIP, ARJ, CAB, WiseSFX, GZIP, MSO, Tar, LHA, RAR, ProCarry, DiskDupe, TeleDisk, DiskImage, WinBackup, Effect Office и прочее.

II. ConSeal PC FIREWALL. Разработчик: Signal9 Solutions Canada Inc (www.signal9.com). Дистрибутив: 915 КБ (для Windows 9X/ME). Версия 2.09 от 01.09.00г.
Этот сетевой экран (firewall) защищает компьютерные системы, работающие под управлением ОС Windows 95/98/ME, NT или Windows 2000. Брандмауэр обнаруживает и отражает сетевые атаки, а также деятельность некоторых вредных программ (работающих троянов, скрытых программ удаленного администрирования типа Back Orifice и т.д.), способных через Сеть нанести вред хранимой или используемой информации.
Эта программа обеспечивает такой уровень сетевой безопасности, который ранее был доступен только для больших, дорогостоящих корпоративных решений. ConSeal PC FIREWALL способен даже заменить хост с частично эффективными патчами и неудобными приложениями. В отличие от других аналогичных разработок, этот сетевой экран не ограничивается защитой приложений на уровне Winsock. Он обеспечивает сетевую безопасность для всех соединений. Firewall размещает себя ниже уровня операционной системы, что позволяет ему исследовать все сетевые пакеты до того, как они смогут достичь нужной им сети или коммуникационного устройства. Недопустимые пакеты, некорректная информация или сетевые атаки отвергаются без прерывания работы пользователя, программ или операционной системы.
Инсталлятор для Windows 9X/ME скачивать отсюда: ftp://candc1.golden.net/conseal/firewall/desktop/cpf9x209.exe .
И не забудьте установить лицензию на 15 дней бесплатной работы: ftp://candc1.golden.net/conseal/firewall/desktop/CPF9xLicense.exe . Стоимость продукта в случае приобретения — 49.95 USD.

Доктор М
macrofag@hotbox.ru


• Несмотря на многочисленные предупреждения о возможности скорого "пробуждения" интернет-червя Code Red, избежать повторной эпидемии вируса так и не удалось. Кроме того, вирус вызвал панику среди владельцев домашних компьютеров, в результате чего британский Скотланд-Ярд официально обвинил ФБР в нагнетании ненужного ажиотажа. По данным на 18 часов вечера 1 августа, около 80 тысяч серверов Microsoft IIS по всему миру, работающих под Windows NT/2000, все-таки были инфицированы червем. По другим данным (Associated Press со ссылкой на данные института SANS) в целом по всему миру на 11 часов вечера было заражено около 150 тысяч серверов IIS.
Серьезно не пострадали от вируса только правительственные учреждения США, которые начали готовиться к пробуждению вируса заранее. Министерство обороны США, например, более недели назад на несколько дней отключало все свои общедоступные серверы, работающие под IIS и Windows NT/2000. По результатам разрушительной деятельности вируса Code Red его эпидемия уже названа самой крупной в истории компьютерных сетей. По последним данным, в прошлую атаку червь нанес ущерб в общей сложности на 1 миллиард 200 миллионов долларов.
В то же время, по мнению некоторых специалистов, ФБР и прочие государственные и коммерческие структуры США явно перестарались с объявлением "всеобщей интернет-тревоги". В результате многочисленных сообщений в СМИ о пробуждении опаснейшего червя, "угрожающего национальной безопасности Америки", многие обычные пользователи Интернета приняли эти сообщения на свой счет, полагая, что вирус грозит их домашним компьютерам.
Основной и уникальной особенностью червя является организация в мировом масштабе DDoS-атаки на сайт Белого Дома (www.whitehouse.gov). Зараженная система становится своеобразным зомби-сервером, осуществляющим многократные отсылки запросов по IP-адресу 198.137.240.91. Из-за этого сисадминами правительственного сайта еще в первую эпидемию было принято решение о перенесении сайта на другой IP-адрес, а также о переходе на серверы под Linux. 02.08.01

Суд над создателем вируса Melissa почему-то затягивается
Эпидемия вируса Melissa началась 26 марта 1999 г. Тогда это был вирус нового типа. Он распространялся по электронной почте в присоединенном файле, и после того как пользователь открывал этот файл, вирус рассылал себя по первым 50 адресам в адресной книге почтовой программы Microsoft Outlook. Он не наносил никакого ущерба самому компьютеру, но порождал лавину новых писем, и из-за перегрузки выходили из строя корпоративные серверы. Ущерб от этого вируса, по некоторым оценкам, достиг миллиарда долларов.
Через неделю после начала эпидемии полиция Нью-Джерси и агенты ФБР вычислили, что вирус был выпущен в Internet с адреса онлайновой службы AOL, принадлежащего некоему 30-летнему Дэвиду Смиту. Он признался в том, что именно он создал вирус Melissa. Он также согласился сотрудничать со следствием, поэтому ему было предъявлено обвинение в нанесении ущерба в размере 80 млн дол. по статье, которая предусматривала тюремное заключение сроком от 46 до 57 месяцев. Потом Смит был выпущен под залог в 100 тысяч дол., и дело начали спускать на тормозах. Слушания неоднократно переносились, и обвинители, так шумно начавшие это дело, теперь хранят молчание. Молчат также сам Джим Смит и его адвокат.
Сейчас известно только то, что вынесение приговора назначено на 10 сентября 2001 г. Но каким он будет? За прошедшее время появилась масса вирусов, которые были гораздо более опасными, чем Melissa. И адвокат Смита наверняка будет упирать на это обстоятельство. Так что Дэвид Смит вряд ли сядет в тюрьму. 03.08.01

• Правительство Испании
создало центр информации по компьютерным вирусам, который будет бесплатно информировать население о появлении новых вирусов. Госсекретарь Испании по телекоммуникациям Баудилио Томе заявил, что этот центр будет работать без выходных, информировать население о новых компьютерных вирусах, а также давать советы о том, каким образом от них можно избавиться. На сайте Центра ( www.alerta-antivirus.es ) уже сейчас можно подписаться на бесплатную рассылку с последней информацией о вирусах. "Вирусы несут угрозу информационному обществу не только потому, что они наносят вред компьютерам, но еще и потому, что они сеют неуверенность среди граждан", — заявил г-н Томе. 31.07.01 Подготовил Дмитрий Саевич

(c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 29 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2021 Компьютерная газета