Есть только две бесконечные вещи: Вселенная и глупость. Хотя насчет Вселенной я не вполне уверен. Альберт Эйнштейн
Антивирусное обозрение "Есть только две бесконечные вещи: Вселенная и глупость. Хотя насчет Вселенной я не вполне уверен". Альберт Эйнштейн
Недавно ко мне пришло электронное письмо с незнакомого адреса — Lena lenusik-pusik@mail.ru со смайликом в теме и всего одним предложением в самом письме: "А на самом деле я такая:-))))".
Присоединенный к письму файл размером 270 090 байт мой верный почтовый клиент (The Bat! Версия 1.54/Beta 6) пытался отобразить как картинку "ETO-YA.jpg", но у него ничего не получалось. "Что-то не так!" — решил я. То, что это вирус, было ясно с первого взгляда, но почему The Bat! не показывает второе, истинное расширение? Что его вводит в заблуждение?
Узнаем, что нам скажет Антивирус Касперского. Пробуем сохранить присоединенный файл в виде файла на диске. Антивирусный монитор (резидентный сторож) моментально блокирует доступ к файлу и тут же сообщает: "ВНИМАНИЕ! Обнаружен вирус! Вирус: Trojan.PSW.Phreaker обнаружен в ETO-YA.jpg (много пробелов)/EXE-file". Теперь все понятно: исполняемый файл EXE решил замаскироваться под расширение *.JPG, но где-то потерял свое второе, истинное расширение, благодаря которому он мог быть запущен каким-нибудь беззаботным пользователем. Почтовый клиент The Bat! правильно показывал все расширения вредного файла, ворующего пароли. А Антивирус Касперского, не доверяя расширениям (это только ОС Windows по расширениям файла догадывается об их предназначении), проанализировал внутренний код файла и, естественно, обнаружил вирус.
Я не советую никому проводить эксперименты, подобные тому, который я описал выше, потому что безопасность данных Вашей компьютерной системы должна быть выше обычного любопытства. Без жалости и сожаления удаляйте корреспонденцию, полученную от неизвестных адресов и доброжелателей. Не стоит пренебрегать этими простыми мерами защиты, потому что в противном случае Вам придется потратить десятки, а то и сотни часов на восстановление данных в компьютере. Не думаю, что Вам это надо.
В последнее время проблема антивирусной защиты стала в центре внимания мировой общественности. Это явилось не только как следствие количественного увеличения числа вирусов, зарегистрированных антивирусными лабораториями, но и двумя крупными последними эпидемиями, которые у всех на слуху (Code Red и SirCam).
Видимо, по этим причинам, а также желая обеспечивать пользователей самой свежей информацией о состоянии дел в антивирусном мире (и одновременно рекламировать свои программные продукты), Лаборатория Касперского сделала интересное бесплатное предложение для WEB-мастеров и владельцев любых сайтов. Предложение называется Kaspersky VirusInformer. WEB-мастерам необходимо разместить на сайте небольшой фрагмент HTML-кода, который будет регулярно обновляться автоматической системой Лаборатории Касперского. Можно выбрать любую из 4-х категорий информационных блоков:
— Новости Антивируса Касперского (самые последние новости и комментарии "Лаборатории Касперского", новые вирусы, новые версии Антивируса Касперского), ежедневные обновления.
— Новости VirusList.com (самые свежие новости ведущих антивирусных компаний мира), ежедневные обновления.
— Рейтинг вирусов (список наиболее распространенных вирусов), постоянные, в реальном времени обновления.
— Вирусный Календарь (cписок активных вирусов на сегодняшнюю дату), ежедневные обновления.
Внешний вид и объем данных можно настроить индивидуально для каждого из информационных блоков. Если кто-то заинтересовался — вперед, на регистрацию ( http://www.kaspersky.ru/informer.asp ).
Для борьбы с "непотопляемым" вирусом SirCam известная антивирусная компания-разработчик Panda Software Int, Испания ( www.pandasoftware.com ), не только выпустила бесплатную утилиту для лечения компьютера от этого злостного вируса ( http://updates.pandasoftware.com/pqremove/pqremove.com ), но и подробно рассказала, что делать, если компьютер заблокирован и скачать PQREMOVE с Сети не удается.
Только в экстремальной ситуации, когда даже нет возможности загрузить антивирусный фаг с другого компьютера и через дискету перенести на зараженный, необходимо выполнить следующее:
1. На Рабочем столе (Desktop) выбрать Старт (Start), Выполнить (Run), набрать в строке для ввода "command.com" и нажать OK.
2. Набрать "cd\windows" и нажать клавишу Enter. ("cd\winnt" для систем NT/2000).
3. Набрать "copy regedit.exe regedit.com" и нажать клавишу Enter.
4. Набрать "regedit.com' и нажать Enter. Будет открыта программа редактор реестра Registry Editor.
5. Просмотреть и найти в реестре ветку "HKEY_CLASSES_ROOT\ Exefile\Shell\open\command".
6. Найти ключ с именем Predefined, имеющий следующее значение "C:\recycled\Sirc32.exe' '%1' %*".
7. Дважды щелкнуть по нему (Double click), удалить первую часть значения и оставить следующий путь "%1' %*".
8. Нажать OK и закрыть редактор реестра.
9. Как только эти изменения будут сделаны, перед перезагрузкой компьютера необходимо скачать утилиту PQREMOVE и запустить ее на выполнение.
Теперь Ваш компьютер от вируса SirCam полностью избавлен.
Вопросы и ответы
Вопрос. До некоторых пор я, к счастью, почти не интересовался вашей рубрикой по одной простой причине — не было проблем с вирусами. Дело в том, пробился ко мне злобный вирус... По недосмотру успел он понаделать много дел, но я случайно залез в сохраненный мною исходник домашней странички и обнаружил в конце его неизвестный скрипт, что меня очень заинтересовало. Пригляделся — и ужаснулся... Начал зачищать следы, указанные в нем, — удалил записанные данные из реестра, из почтовика, удалил исходные файлы. Вирус вписал в каталог "виндов" файлы help.htm, help.vbs, help. Он оставил следы в реестре в папках, связанных с Outlook'ом...
Нечто похожее на VBS/Niloj-A из КГ №26... НО!!!! О УЖАС!!!! Скрипт создал свои копии ВО ВСЕХ *.htm(L) файлах моего железного друга... AntiViral Toolkit Pro 3.5.1.1 ничегошеньки не дал... Только ScriptCheker при запуске этого типа файлов выдает сообщение о возможной опасности скрипта и предлагает отключить его (что я и делаю)... То же самое он говорит об эксплорере...
А теперь к сути вопроса и огромной просьбе о помощи:
1) Я не имею возможности поискать информацию о моем злобном госте в Инете и не видел в старых выпусках — возможно, Вы подскажете, где можно найти информацию о нем и методах борьбы;
2) Не могли бы Вы поинтересоваться у кого-нибудь из Ваших знакомых, можно ли написать скрипт, который бы искал файлы типа htm(L), открывал их, искал определенный текст и удалял его?! ОЧЕНЬ прошу, помогите хотя бы ссылочкой на полезный совет, потому как не знаю, к кому еще можно обратиться...
Всего наилучшего, aXeL
Ответ. Добрый день, aXeL! Вообще-то Антивирус Касперского ОЧЕНЬ ДАЖЕ хорошо определяет этот вирус (I-Worm.HappyTime). Я только ПОПЫТАЛСЯ сохранить ваш присоединенный файл в виде файла vir.txt, как антивирусный монитор сразу выдал на экран это сообщение о вирусе. Но, к сожалению, Антивирус Касперского при попытке вылечить зараженный файл выдал сообщение о сбое при лечении и предложил удалить "больного". Нет, такой вариант нас не устраивает.
Если антивирус не может решить простую задачу: найти определенную последовательность строчек в известных файлах и удалить их, то из положения можно выйти и без помощи антивируса. Например, написать программу, находящую в файлах *.htm, *.html,*.stm, *.shtml образец кода, который Вы мне прислали под именем "Пример вируса", и заменяющую этот код на что-нибудь другое (например, пробел " " или на ничто ("").
Но зачем писать такую программу, если нечто похожее уже есть? Например, ftp://ftp.mgul.ac.ru/pub/Win/HTMLEdit/HTMLChanger.zip. В HTMLChanger устанавливаете шаблон поиска файлов, выбираете директории, в которых надо искать, вводите искомый текст, ставите пробел в закладке "Заменить на" и нажимаете кнопку Search (Искать). Несколько минут — и скриптового вируса у Вас как не бывало.
Вопрос. Вы пишете про вирусы, обозреваете, здесь нет ничего, прошу прощения, особо интересного. Я считаю, что создавать хит-парады это вообще глупо и кощунство, именно они заставляют людей с преувеличенным самолюбием и отбитыми мозгами стремиться на их верхушки.
Ответ. Согласен с Вами. Абсолютно. А болезни, в том числе компьютерные, ва-а-аще неинтересная тема, но как сильно люди любят о них говорить! (по А.П.Чехову). Замечу, что список самых опасных вирусов — это не хит-парад! Это еще одна форма предупреждения людей о том, что вирусы не спят и потому надо быть всегда начеку. Каким образом? Ну, хотя бы пользоваться современным антивирусом, который может обнаруживать и обезвреживать вирусы в TOP-10. Если вирус новый и его нет в списке вирусов вашего антивируса, то надо или антивирус менять, или обновить его базы данных.
Вопрос. У меня на диске находится вирус. Я знаю, в каком файле, но когда я хочу его удалить (выбросить в "мусорку"), то антивирусный монитор Касперского "ругается": выдает сообщение о вирусе и не дает мне его удалить. Что делать?
Ответ. Тут есть два пути. Первый: временно отключить работу антивирусного монитора (резидентного сторожа) на тот период, когда Вы удаляете зараженный файл в мусорку, а потом очищаете ее. Для монитора Касперского нужно щелкнуть правой кнопкой мыши над его пиктограммой, находящейся в правом нижнем углу (в системном трее). Появится контекстное меню, из которого выбрать пункт "Выключить". Второй путь. Видимо, Ваш антивирусный монитор настроен на то, чтобы запрещать доступ к инфицированным объектам. Чтобы каждый раз не пользоваться первым способом удаления зараженного файла, связанного с отключением работы антивирусного монитора, Вы можете в закладке "Действия" указать "Удалять автоматически" или, если хотите лечиться, "Лечить автоматически".
Если у читателей есть какие-либо вопросы, связанные с вирусами и антивирусными программами, то Вы можете присылать их мне по адресу: macrofag@hotbox.ru .
Вирусы, которые нас поразили
Новый червь I-Worm.Peach решил оседлать формат электронных изданий — PDF. А почему бы и нет, если формат позволяет внедрять в себя целую кучу других форматов, в том числе и VBS? Другой сетевой червь Worm.Hai "полюбил" Windows 9Х/Me и локальные сети на ее основе. Может, поменять "форточки" на "пингвина" (Линукс)? Но у него свои вирусы...
1. I-Worm.Peach (он же VBS.PDFWorm.A, он жеVBS/FindPeach.A, он же VBS_PEACHYPDF.A, он же VBS/PeachyPDF@MM). "Персик". Интернет-червь. Размер около 15093 байт. Распространяется через электронные письма вместе с зараженным PDF-файлом через почтовую систему Microsoft Outlook по адресам из адресной книги Outlook. Не опасный. Риск заражения — низкий.
Вирус написан на VBS языке (Visual Basic Script). Запускается в операционных системах с установленным WSH (Windows Scripting Host), например, в Windows98 и Windows2000, где он стоит по умолчанию.
При открытии PDF-файла программой Adobe Acrobat пользователю предлагают поиграть в игру, решение которой можно узнать, запустив вложенный объект, щелкнув по ссылке. При его запуске Adobe Acrobat извлекает VBS-код, записывает его в виде файла во временную директорию и затем исполняет его.
Заметим, что в программе Acrobat Reader червь не работоспособен.
Вирус создает на диске JPG-файл и показывает его при помощи Internet Explorer. Затем червь ищет "свой" файл, в котором проник в систему (PDF-файл размером от 168230 до 168250), и если находит, выполняет массовую рассылку (максимум 100 сообщений). Имя вложения, тема сообщения и тело письма выбираются случайным образом из небольшого перечня, содержащегося в теле червя. Например, в теме сообщения могут быть следующие фразы: "You have one minute to find the peach", "Find the peach", "Peach" и прочее.
Имя прикрепленного файла может быть: "find.pdf", "peach.pdf", "find the peach.pdf" и так далее.
2. Worm.Hai (он же Win32.NetWorm.Hai.A). Сетевой вирус-червь. Размер около 60 Кбайт. Распространяется по локальной сети. Червь написан на MS Visual C++ и зашифрован утилитой шифрования Win32 EXE-файлов PELOCKnt v2.04.
При размножении червь копирует себя на другие компьютеры в локальной сети, если на них есть каталоги, открытые для чтения и записи. Для этого червь перебирает все ресурсы сети и ищет в них подкаталог \WINDOWS. Если такой будет обнаружен, вирус копирует себя туда со случайным EXE-именем и записывает этот файл в секцию автозапуска "Run=" файла WIN.INI зараженного компьютера.
При изменении файла WIN.INI червь использует временный файл WIN.HAI.
Червь сканирует локальную и глобальную сеть. Для этого он перебирает IP-адреса, открывает соединение по каждому адресу и сразу закрывает его.
Всего проверено 145986 компьютеров
ПВО — противовирусная оборона
Activator Project Pro для Windows 95/98. Разработчик: Антивирусная Лаборатория "Дизет", Украина ( http://www.dizet.com.ua ). Дистрибутив: 294 KB. Версия 2.20 программы от 24.11.00г. Activator Project Pro — это сочетание (симбиоз) двух программ: обычного ревизора контрольных сумм файлов и антивирусного детектора. Таким образом, ревизор-анализатор Activator Project Pro не только выявляет изменения в файлах, но и одновременно обнаруживает известные (на основе баз данных вирусных сигнатур программы Stop) и неизвестные вирусы. В последнем случае используется эвристический анализатор.
Подобная разработка не имеет аналогов. Отличается высокой скоростью работы и удобством в использовании. Activator Project Pro может работать с любым антивирусным полифагом, дополняя и усиливая антивирусную защиту компьютерной системы. Выполняется до загрузки ОС Windows, стартуя из autoexec.bat. Без регистрации запускается 60 раз. Работает под операционными системами Microsoft Windows 95/98 и DOS.
Дополнительные возможности и свойства:
— Выполняет проверку целостности системных областей компьютера чтением через BIOS;
— Производит чтение диска через IDE порты жесткого диска, что гарантирует 100% обнаружение всех вирусов-невидимок (Stealth);
— Анализирует информацию в MBR, BOOT, выполняет поиск неизвестных вирусов в памяти компьютера;
— Специально предназначен для обнаружения наиболее опасных и деструктивных троянских программ и вирусов;
— Восстанавливает зараженные или поврежденные системные области;
— Производит контроль основных системных файлов и файлов, указанных пользователем, что позволяет своевременно обнаруживать заражение файловыми вирусами;
— Обнаруживает активные загрузочные и файловые вирусы в памяти еще до начала всех проверок диска и сообщает адрес в памяти, по которому находится подозрительный объект.
— Возможность сохранять MBR, BOOT и FLASH на дискету.
В отличие от других аналогичных антивирусных ревизоров, Activator Project Pro не проводит полной проверки файлов на диске. Он проверяет только стандартные системные файлы и файлы, заданные пользователем. Это позволяет ускорить работу ревизора-анализатора, потому что, как показывает практика, проверять все файлы в 80% случаев абсолютно не нужно. Activator Project Pro запускается "AP" при каждой перезагрузке компьютера.
Однако, существуют вирусы, которые не совершают "массового" заражения файлов на компьютере, а заражают только произвольные "жертвы". Поэтому рекомендуется применять Activator Project Pro совместно с другими антивирусными ревизорами или полифагами.
Программа имеет большие возможности проверки MasterBootRecord (MBR) и других системных областей диска. При изменении MBR ревизор-анализатор проанализирует, является ли MBR стандартным, проверит наличие Stealth-алгоритмов в памяти компьютера, обследует содержимое оперативной памяти. Даже в том случае, если измененный сектор не является стандартным, механизм эвристического анализатора сможет детектировать неизвестный вирус с вероятностью 90%. В базе Activator Project Pro содержатся сигнатуры самых распространенных BOOT-вирусов. Скачивать отсюда: http://dizet.com.ua/ftp/apr220.exe .
НОВОСТИ
ФБР и Скотланд-Ярд арестовали автора червя
Представители правоохранительных органов США объявили, что в Великобритании агентами ФБР арестован 24-летний автор компьютерного червя W32-Leave.worm.
Арест был произведен еще 23 июля в результате совместного расследования ФБР и Скотланд-Ярда. В интересах расследования об этом не было объявлено сразу.
До окончания следствия по британским законам не разглашается также имя арестованного, который обвиняется в создании и распространении вредоносных программ.
По данным "Лаборатории Касперского", червь I-Worm.Leave поражает компьютеры с операционной системой Windows и позволяет удаленному хосту управлять зараженным компьютером. Червь также может сам себя обновлять через специальные сайты в Интернете.
Он поразил несколько компьютеров в начале этого года, распространяясь под видом почтовых предупреждений якобы от Microsoft.
Суд над вирусописателем состоится ближе к концу года, а пока обвиняемый освобожден из-под ареста. Согласно британскому закону о противоправном использовании компьютерных технологий (Computer Misuse Act), автору червя грозит до 5 лет тюрьмы.
15.08.01
Хакеры запретили таблицу Менделеева в Лос-Аламосе
В результате дефейса одного из сайтов Национальной лаборатории в Лос-Аламосе (www.lanl.gov) хакеры запретили свободный доступ к периодической системе элементов Менделеева.
Группа хакеров под названием Poisonbox взломала сайт C-ACT Applied Chemical Technologies Group (www.polyfilter.lanl.gov), одного из подразделений Лос-Аламосской лаборатории. Наиболее ценной информацией на сайте оказалась периодическая система элементов, которой пользуются в работе многие исследователи и студенты химических факультетов.
В компьютерной системе лаборатории расположено около 200 сайтов публичного доступа, которые, по словам представителей лаборатории, защищены не самыми сильными программными средствами. Они называются "зеленой сетью".
Взлом был произведен через "дыру" в сервере Microsoft IIS. Это не первый взлом такого рода в "зеленой сети".
Однако ни на одном из 200 публичных серверов не содержится секретных материалов, поэтому представители лаборатории спокойно отнеслись к очередному взлому.
Надежно защищенная внутренняя сеть лаборатории (около 20 тысяч компьютеров) не пострадала ни от одной из известных "дыр" в IIS, в том числе и от эпидемии вируса Cod Red. 14.08.01
Япония тоже заразилась вирусом Code Red II
Азиатская эпидемия второй версии интернет-червя Code Red, похоже, набирает обороты. Уже были крупные проблемы у китайцев, потом Code Red II обнаружили в серверах внутренней сети правительственных учреждений Гонконга. Теперь дело дошло до Японии.
Представитель японского правительства осторожно заявил о том, что правительственные компьютеры, возможно, заражены вирусом Code Red II. Но в то же время было сказано, что один из серверов Министерства образования, культуры, спорта, науки и технологий пришлось временно отключить из-за заражения второй версией червя Code Red. Напомним, что вирусы Code Red и Code Red II заражают компьютеры с ОС Windows NT и Windows 2000, на которых установлено ПО Web-сервера Microsoft ISS версий 4.0 или 5.0, но нет программной заплаты для системы защиты этого сервера. Эта заплата была разработана специалистами Microsoft еще в июне этого года, но далеко не все администраторы серверов установили ее на своих машинах. Вторая версия опаснее первой, так как она распространяется быстрее и, в отличие от первой, оставляет на зараженном компьютере "черный ход", через который доступ к нему может получить хакер. 17.08.01
Sophos: итоги вирусной активности за 6 месяцев
Компания Sophos, мировой лидер в антивирусной защите, объявила о том, что за первые шесть месяцев 2001 года она обнаружила и нашла защиту против 6127 новых вирусов. Это своеобразный рекорд по количеству новых вирусов, найденных за последние шесть месяцев.
По запросам в службу технической поддержки пользователей (helpdesk) выяснилось, что те вирусы, на которые обращали внимание средства массовой информации, не обязательно причиняли наибольший вред.
Исследование, проведенное компанией Sophos, выдвигает на первый план важность безопасных методов работы за компьютером и необходимость держать антивирусное программное обеспечение, отвечающее современным требованиям защиты.
За первые шесть месяцев 2001 года десятка самых опасных вирусов, отсортированных по максимальной частоте сообщений о них (%), выглядит следующим образом:
1. W32/Magistr-A, 12.7%
2. VBS/VBSWG-X (он же Homepage), 11.9%
3. W32/Apology-B, 10.1%
4. W32/Hybris-B, 9.3%
5. VBS/SST-A ("Анна Курникова"), 7%
6. VBS/Kakworm, 6.7%
7. W32/Navidad-B, 6.1%
8. W32/Badtrans-A, 3.8%
9. W32/Flcss, 2.2%
10. VBS/Lovelet-AS,1.8%
На остальные вирусы, не вошедшие в этот список, пришлось 28.4%.
"Большее количество сообщений пользователей приходится на очень разрушительный Интернет-червь Magistr, а не на скриптовые вирусы типа Homepage или Анна Курникова, — сказал Грэм Клулей, старший консультант по технологии антивируса Sophos. — Magistr рассылает себя, используя сообщения электронной почты со случайно сгенерированным заголовком и текстом, что затрудняет определение этого вируса. Данное обстоятельство объясняет тот факт, что пользователи продолжают открывать незапрашиваемые присоединенные файлы. Однако, если Вы постоянно обновляете антивирусное программное обеспечение, у Вас не должно быть никаких проблем с этим вирусом".
На второй позиции находится червь Homepage, который очень быстро распространяется по всему миру с мая 2001 года, направляя зараженных пользователей на порнографические сайты.
Номер три в списке — это червь Apology. Он запрещает доступ к сайтам, содержащим антивирусную информацию, и блокирует электронные письма, адресованные к антивирусным компаниям. Это еще одно напоминание пользователям о том, что они должны регулярно обновлять свои антивирусы.
Несмотря на множество публикаций средств массовой информации, посвященных червю "Анна Курникова", он оказался только на пятом месте, забрав 7% из всех запросов пользователей. Этот вирус в чем-то оказался похож на метеор: заразив миллионы людей за несколько дней, он так же быстро сгорел, его распространение перестало носить характер эпидемии.
По результатам своих исследований, компания Sophos дополнительно сделала следующие выводы.
— Обнаружение первых вирусов (FunnyFile и Choke), способных атаковать службы передачи мгновенных сообщений, выдвинуло на первый план потребность в увеличенной бдительности пользователей, а деловым людям еще раз напомнило о важности повседневного применения антивирусного программного обеспечения.
— Вирусные мистификации продолжали вызывать панику, например, угроза "вируса" SULFNBK, которая должна была проявиться 1 июня 2001 года. Компания Sophos убеждает компьютерных пользователей лишний раз перепроверить, чтобы убедиться, является ли предупреждение о вирусе подлинным или нет, посещая известные антивирусные сайты для получения достоверной информации.
— Новость, появившаяся в июне, о том, что подозреваемый в написании вируса Kournikova автор привлекается к судебной ответственности, является хорошим признаком того, что власти уже готовы к тому, чтобы принять соответствующие меры против распространителей вирусной инфекции.
— Появление червя Ramen в диком виде в январе месяце напомнило пользователям операционной системы Linux о том, что и эта система не является 100% устойчивой к проникновению вирусов. 18.07.01.
Прощай, "Красный код"!
Антивирусная "Лаборатория Касперского" уже говорила о том, что интернет-червь Code Red (он же Bady) не представляет никакой опасности для домашних пользователей. Этот вирус может поразить компьютеры, работающие исключительно под управлением операционной системы Windows 2000, программы управления интернет-сервисами Microsoft Internet Information Server (IIS) с включенной службой индексирования (Indexing Service). Данный набор программ используется только на специализированных серверах. Таким образом, домашние компьютеры и офисные рабочие станции, работающие на любой версии Windows (включая Windows 2000), не могут подвергнуться атаке 'Bady'.
И чтобы совсем покончить с массовой истерией в средствах массовой информации вокруг Code Red, а заодно и с эпидемией этого вируса, "Лаборатория Касперского" сообщила о разработке первой в мире и на данный момент единственной системы активной защиты Web-серверов на базе Internet Information Server (IIS) от всех модификаций Интернет-червя Code Red.
Необходимость появления подобной защиты связана с тем, что антивирусная индустрия по большому счету оказалась не готова к отражению атак нового поколения "бестелесных" Интернет-червей. Стандартные средства, такие как антивирусные сканеры, мониторы и даже специальные антивирусные фильтрационные модули для межсетевых экранов, не в состоянии были обнаружить и нейтрализовать атаки вредоносных программ, подобных Code Red. Сканеры и мониторы могли лишь констатировать факт наличия вредоносного кода в системной памяти компьютера, но практически были бессильны его нейтрализовать. Даже если это удавалось, Code Red мог совершить повторную атаку и снова заразить компьютер.
Обычным решением в подобных случаях является установка соответствующих "заплаток". Однако, у них есть целый ряд недостатков. Многие системные администраторы просто пренебрегают установкой "патчей", считая, что "заплатки" иногда могут принести больший вред, чем вирусы. Кроме того, для крупных организаций с неразвитой компьютерной инфраструктурой процесс установки "заплаток" может затянуться на недели и прервать нормальное функционирование предприятия. И главное: всегда существует период между обнаружением бреши и выпуском "заплатки", в течение которого пользователи остаются практически беззащитны.
"Мы прогнозируем, что в самом ближайшем будущем бестелесные черви типа Code Red станут одними из наиболее распространенных вредоносных программ, и беспомощность антивирусных программ перед этой угрозой не может не вызывать опасения", — комментирует Евгений Касперский, руководитель антивирусных исследований компании. Такое положение вещей делает самой приоритетной задачей разработку специального фильтрационного модуля для IIS-серверов, который будет обрабатывать поступающие запросы и отражать те из них, которые содержат вредоносные программы. "Предлагаемая версия антивирусного фильтра для IIS-серверов надежно защищает компьютеры от всех известных модификаций червя Code Red и не требует наличия "заплатки" от Microsoft, — добавил Евгений Касперский. — В будущем в программу будет встроена эвристическая технология, которая будет способна обнаружить и нейтрализовать атаку даже неизвестного вируса, который, подобно Code Red, использует метод "переполнения буфера".
Антивирусный фильтр для IIS-серверов занимает всего лишь несколько десятков килобайт дискового пространства, в отличие от сотен мегабайт, предлагаемых Microsoft сервисных пакетов, содержащих "заплатки", и не оказывает существенного влияния на производительность Web-сервера. Антивирусная база данных программы обновляется немедленно после обнаружения очередного бестелесного червя, так что пользователям не придется ждать выпуска соответствующей "заплатки". Наконец, фильтрационный модуль доступен для загрузки всем желающим абсолютно бесплатно.
Загрузить антивирусный фильтр для IIS-серверов можно отсюда: ftp://ftp.kaspersky.com/utils/KAVISAPI.ZIP или http://www.kaspersky.com/utils/KAVISAPI.ZIP .
07.08.01
(c) компьютерная газета
Недавно ко мне пришло электронное письмо с незнакомого адреса — Lena lenusik-pusik@mail.ru со смайликом в теме и всего одним предложением в самом письме: "А на самом деле я такая:-))))".
Присоединенный к письму файл размером 270 090 байт мой верный почтовый клиент (The Bat! Версия 1.54/Beta 6) пытался отобразить как картинку "ETO-YA.jpg", но у него ничего не получалось. "Что-то не так!" — решил я. То, что это вирус, было ясно с первого взгляда, но почему The Bat! не показывает второе, истинное расширение? Что его вводит в заблуждение?
Узнаем, что нам скажет Антивирус Касперского. Пробуем сохранить присоединенный файл в виде файла на диске. Антивирусный монитор (резидентный сторож) моментально блокирует доступ к файлу и тут же сообщает: "ВНИМАНИЕ! Обнаружен вирус! Вирус: Trojan.PSW.Phreaker обнаружен в ETO-YA.jpg (много пробелов)/EXE-file". Теперь все понятно: исполняемый файл EXE решил замаскироваться под расширение *.JPG, но где-то потерял свое второе, истинное расширение, благодаря которому он мог быть запущен каким-нибудь беззаботным пользователем. Почтовый клиент The Bat! правильно показывал все расширения вредного файла, ворующего пароли. А Антивирус Касперского, не доверяя расширениям (это только ОС Windows по расширениям файла догадывается об их предназначении), проанализировал внутренний код файла и, естественно, обнаружил вирус.
Я не советую никому проводить эксперименты, подобные тому, который я описал выше, потому что безопасность данных Вашей компьютерной системы должна быть выше обычного любопытства. Без жалости и сожаления удаляйте корреспонденцию, полученную от неизвестных адресов и доброжелателей. Не стоит пренебрегать этими простыми мерами защиты, потому что в противном случае Вам придется потратить десятки, а то и сотни часов на восстановление данных в компьютере. Не думаю, что Вам это надо.
В последнее время проблема антивирусной защиты стала в центре внимания мировой общественности. Это явилось не только как следствие количественного увеличения числа вирусов, зарегистрированных антивирусными лабораториями, но и двумя крупными последними эпидемиями, которые у всех на слуху (Code Red и SirCam).
Видимо, по этим причинам, а также желая обеспечивать пользователей самой свежей информацией о состоянии дел в антивирусном мире (и одновременно рекламировать свои программные продукты), Лаборатория Касперского сделала интересное бесплатное предложение для WEB-мастеров и владельцев любых сайтов. Предложение называется Kaspersky VirusInformer. WEB-мастерам необходимо разместить на сайте небольшой фрагмент HTML-кода, который будет регулярно обновляться автоматической системой Лаборатории Касперского. Можно выбрать любую из 4-х категорий информационных блоков:
— Новости Антивируса Касперского (самые последние новости и комментарии "Лаборатории Касперского", новые вирусы, новые версии Антивируса Касперского), ежедневные обновления.
— Новости VirusList.com (самые свежие новости ведущих антивирусных компаний мира), ежедневные обновления.
— Рейтинг вирусов (список наиболее распространенных вирусов), постоянные, в реальном времени обновления.
— Вирусный Календарь (cписок активных вирусов на сегодняшнюю дату), ежедневные обновления.
Внешний вид и объем данных можно настроить индивидуально для каждого из информационных блоков. Если кто-то заинтересовался — вперед, на регистрацию ( http://www.kaspersky.ru/informer.asp ).
Для борьбы с "непотопляемым" вирусом SirCam известная антивирусная компания-разработчик Panda Software Int, Испания ( www.pandasoftware.com ), не только выпустила бесплатную утилиту для лечения компьютера от этого злостного вируса ( http://updates.pandasoftware.com/pqremove/pqremove.com ), но и подробно рассказала, что делать, если компьютер заблокирован и скачать PQREMOVE с Сети не удается.
Только в экстремальной ситуации, когда даже нет возможности загрузить антивирусный фаг с другого компьютера и через дискету перенести на зараженный, необходимо выполнить следующее:
1. На Рабочем столе (Desktop) выбрать Старт (Start), Выполнить (Run), набрать в строке для ввода "command.com" и нажать OK.
2. Набрать "cd\windows" и нажать клавишу Enter. ("cd\winnt" для систем NT/2000).
3. Набрать "copy regedit.exe regedit.com" и нажать клавишу Enter.
4. Набрать "regedit.com' и нажать Enter. Будет открыта программа редактор реестра Registry Editor.
5. Просмотреть и найти в реестре ветку "HKEY_CLASSES_ROOT\ Exefile\Shell\open\command".
6. Найти ключ с именем Predefined, имеющий следующее значение "C:\recycled\Sirc32.exe' '%1' %*".
7. Дважды щелкнуть по нему (Double click), удалить первую часть значения и оставить следующий путь "%1' %*".
8. Нажать OK и закрыть редактор реестра.
9. Как только эти изменения будут сделаны, перед перезагрузкой компьютера необходимо скачать утилиту PQREMOVE и запустить ее на выполнение.
Теперь Ваш компьютер от вируса SirCam полностью избавлен.
Вопросы и ответы
Вопрос. До некоторых пор я, к счастью, почти не интересовался вашей рубрикой по одной простой причине — не было проблем с вирусами. Дело в том, пробился ко мне злобный вирус... По недосмотру успел он понаделать много дел, но я случайно залез в сохраненный мною исходник домашней странички и обнаружил в конце его неизвестный скрипт, что меня очень заинтересовало. Пригляделся — и ужаснулся... Начал зачищать следы, указанные в нем, — удалил записанные данные из реестра, из почтовика, удалил исходные файлы. Вирус вписал в каталог "виндов" файлы help.htm, help.vbs, help. Он оставил следы в реестре в папках, связанных с Outlook'ом...
Нечто похожее на VBS/Niloj-A из КГ №26... НО!!!! О УЖАС!!!! Скрипт создал свои копии ВО ВСЕХ *.htm(L) файлах моего железного друга... AntiViral Toolkit Pro 3.5.1.1 ничегошеньки не дал... Только ScriptCheker при запуске этого типа файлов выдает сообщение о возможной опасности скрипта и предлагает отключить его (что я и делаю)... То же самое он говорит об эксплорере...
А теперь к сути вопроса и огромной просьбе о помощи:
1) Я не имею возможности поискать информацию о моем злобном госте в Инете и не видел в старых выпусках — возможно, Вы подскажете, где можно найти информацию о нем и методах борьбы;
2) Не могли бы Вы поинтересоваться у кого-нибудь из Ваших знакомых, можно ли написать скрипт, который бы искал файлы типа htm(L), открывал их, искал определенный текст и удалял его?! ОЧЕНЬ прошу, помогите хотя бы ссылочкой на полезный совет, потому как не знаю, к кому еще можно обратиться...
Всего наилучшего, aXeL
Ответ. Добрый день, aXeL! Вообще-то Антивирус Касперского ОЧЕНЬ ДАЖЕ хорошо определяет этот вирус (I-Worm.HappyTime). Я только ПОПЫТАЛСЯ сохранить ваш присоединенный файл в виде файла vir.txt, как антивирусный монитор сразу выдал на экран это сообщение о вирусе. Но, к сожалению, Антивирус Касперского при попытке вылечить зараженный файл выдал сообщение о сбое при лечении и предложил удалить "больного". Нет, такой вариант нас не устраивает.
Если антивирус не может решить простую задачу: найти определенную последовательность строчек в известных файлах и удалить их, то из положения можно выйти и без помощи антивируса. Например, написать программу, находящую в файлах *.htm, *.html,*.stm, *.shtml образец кода, который Вы мне прислали под именем "Пример вируса", и заменяющую этот код на что-нибудь другое (например, пробел " " или на ничто ("").
Но зачем писать такую программу, если нечто похожее уже есть? Например, ftp://ftp.mgul.ac.ru/pub/Win/HTMLEdit/HTMLChanger.zip. В HTMLChanger устанавливаете шаблон поиска файлов, выбираете директории, в которых надо искать, вводите искомый текст, ставите пробел в закладке "Заменить на" и нажимаете кнопку Search (Искать). Несколько минут — и скриптового вируса у Вас как не бывало.
Вопрос. Вы пишете про вирусы, обозреваете, здесь нет ничего, прошу прощения, особо интересного. Я считаю, что создавать хит-парады это вообще глупо и кощунство, именно они заставляют людей с преувеличенным самолюбием и отбитыми мозгами стремиться на их верхушки.
Ответ. Согласен с Вами. Абсолютно. А болезни, в том числе компьютерные, ва-а-аще неинтересная тема, но как сильно люди любят о них говорить! (по А.П.Чехову). Замечу, что список самых опасных вирусов — это не хит-парад! Это еще одна форма предупреждения людей о том, что вирусы не спят и потому надо быть всегда начеку. Каким образом? Ну, хотя бы пользоваться современным антивирусом, который может обнаруживать и обезвреживать вирусы в TOP-10. Если вирус новый и его нет в списке вирусов вашего антивируса, то надо или антивирус менять, или обновить его базы данных.
Вопрос. У меня на диске находится вирус. Я знаю, в каком файле, но когда я хочу его удалить (выбросить в "мусорку"), то антивирусный монитор Касперского "ругается": выдает сообщение о вирусе и не дает мне его удалить. Что делать?
Ответ. Тут есть два пути. Первый: временно отключить работу антивирусного монитора (резидентного сторожа) на тот период, когда Вы удаляете зараженный файл в мусорку, а потом очищаете ее. Для монитора Касперского нужно щелкнуть правой кнопкой мыши над его пиктограммой, находящейся в правом нижнем углу (в системном трее). Появится контекстное меню, из которого выбрать пункт "Выключить". Второй путь. Видимо, Ваш антивирусный монитор настроен на то, чтобы запрещать доступ к инфицированным объектам. Чтобы каждый раз не пользоваться первым способом удаления зараженного файла, связанного с отключением работы антивирусного монитора, Вы можете в закладке "Действия" указать "Удалять автоматически" или, если хотите лечиться, "Лечить автоматически".
Если у читателей есть какие-либо вопросы, связанные с вирусами и антивирусными программами, то Вы можете присылать их мне по адресу: macrofag@hotbox.ru .
Вирусы, которые нас поразили
Новый червь I-Worm.Peach решил оседлать формат электронных изданий — PDF. А почему бы и нет, если формат позволяет внедрять в себя целую кучу других форматов, в том числе и VBS? Другой сетевой червь Worm.Hai "полюбил" Windows 9Х/Me и локальные сети на ее основе. Может, поменять "форточки" на "пингвина" (Линукс)? Но у него свои вирусы...
1. I-Worm.Peach (он же VBS.PDFWorm.A, он жеVBS/FindPeach.A, он же VBS_PEACHYPDF.A, он же VBS/PeachyPDF@MM). "Персик". Интернет-червь. Размер около 15093 байт. Распространяется через электронные письма вместе с зараженным PDF-файлом через почтовую систему Microsoft Outlook по адресам из адресной книги Outlook. Не опасный. Риск заражения — низкий.
Вирус написан на VBS языке (Visual Basic Script). Запускается в операционных системах с установленным WSH (Windows Scripting Host), например, в Windows98 и Windows2000, где он стоит по умолчанию.
При открытии PDF-файла программой Adobe Acrobat пользователю предлагают поиграть в игру, решение которой можно узнать, запустив вложенный объект, щелкнув по ссылке. При его запуске Adobe Acrobat извлекает VBS-код, записывает его в виде файла во временную директорию и затем исполняет его.
Заметим, что в программе Acrobat Reader червь не работоспособен.
Вирус создает на диске JPG-файл и показывает его при помощи Internet Explorer. Затем червь ищет "свой" файл, в котором проник в систему (PDF-файл размером от 168230 до 168250), и если находит, выполняет массовую рассылку (максимум 100 сообщений). Имя вложения, тема сообщения и тело письма выбираются случайным образом из небольшого перечня, содержащегося в теле червя. Например, в теме сообщения могут быть следующие фразы: "You have one minute to find the peach", "Find the peach", "Peach" и прочее.
Имя прикрепленного файла может быть: "find.pdf", "peach.pdf", "find the peach.pdf" и так далее.
2. Worm.Hai (он же Win32.NetWorm.Hai.A). Сетевой вирус-червь. Размер около 60 Кбайт. Распространяется по локальной сети. Червь написан на MS Visual C++ и зашифрован утилитой шифрования Win32 EXE-файлов PELOCKnt v2.04.
При размножении червь копирует себя на другие компьютеры в локальной сети, если на них есть каталоги, открытые для чтения и записи. Для этого червь перебирает все ресурсы сети и ищет в них подкаталог \WINDOWS. Если такой будет обнаружен, вирус копирует себя туда со случайным EXE-именем и записывает этот файл в секцию автозапуска "Run=" файла WIN.INI зараженного компьютера.
При изменении файла WIN.INI червь использует временный файл WIN.HAI.
Червь сканирует локальную и глобальную сеть. Для этого он перебирает IP-адреса, открывает соединение по каждому адресу и сразу закрывает его.
Вирусный ТОП-10. 8-15 августа 2001г. Название Число зараженных компьютеров, % W32/Magistr@MM 13 279 9.10 W32/SirCam@MM 11 745 8.05 PornDial9 9 718 6.66 W32/SirCam@dat 5 951 4. 08 IRC/Winhelp 5 135 3.52 W32/Hybris.gen@MM 4 110 2.82 VBS/LoveLetter@MM 3 657 2.51 IRC/ACNU 3 582 2 .45 W32/FunLove.gen 3 436 2.35 W32/Ska.dll@M 2 235 1.53Источник: www.mcafee.com .
Всего проверено 145986 компьютеров
ПВО — противовирусная оборона
Activator Project Pro для Windows 95/98. Разработчик: Антивирусная Лаборатория "Дизет", Украина ( http://www.dizet.com.ua ). Дистрибутив: 294 KB. Версия 2.20 программы от 24.11.00г. Activator Project Pro — это сочетание (симбиоз) двух программ: обычного ревизора контрольных сумм файлов и антивирусного детектора. Таким образом, ревизор-анализатор Activator Project Pro не только выявляет изменения в файлах, но и одновременно обнаруживает известные (на основе баз данных вирусных сигнатур программы Stop) и неизвестные вирусы. В последнем случае используется эвристический анализатор.
Подобная разработка не имеет аналогов. Отличается высокой скоростью работы и удобством в использовании. Activator Project Pro может работать с любым антивирусным полифагом, дополняя и усиливая антивирусную защиту компьютерной системы. Выполняется до загрузки ОС Windows, стартуя из autoexec.bat. Без регистрации запускается 60 раз. Работает под операционными системами Microsoft Windows 95/98 и DOS.
Дополнительные возможности и свойства:
— Выполняет проверку целостности системных областей компьютера чтением через BIOS;
— Производит чтение диска через IDE порты жесткого диска, что гарантирует 100% обнаружение всех вирусов-невидимок (Stealth);
— Анализирует информацию в MBR, BOOT, выполняет поиск неизвестных вирусов в памяти компьютера;
— Специально предназначен для обнаружения наиболее опасных и деструктивных троянских программ и вирусов;
— Восстанавливает зараженные или поврежденные системные области;
— Производит контроль основных системных файлов и файлов, указанных пользователем, что позволяет своевременно обнаруживать заражение файловыми вирусами;
— Обнаруживает активные загрузочные и файловые вирусы в памяти еще до начала всех проверок диска и сообщает адрес в памяти, по которому находится подозрительный объект.
— Возможность сохранять MBR, BOOT и FLASH на дискету.
В отличие от других аналогичных антивирусных ревизоров, Activator Project Pro не проводит полной проверки файлов на диске. Он проверяет только стандартные системные файлы и файлы, заданные пользователем. Это позволяет ускорить работу ревизора-анализатора, потому что, как показывает практика, проверять все файлы в 80% случаев абсолютно не нужно. Activator Project Pro запускается "AP" при каждой перезагрузке компьютера.
Однако, существуют вирусы, которые не совершают "массового" заражения файлов на компьютере, а заражают только произвольные "жертвы". Поэтому рекомендуется применять Activator Project Pro совместно с другими антивирусными ревизорами или полифагами.
Программа имеет большие возможности проверки MasterBootRecord (MBR) и других системных областей диска. При изменении MBR ревизор-анализатор проанализирует, является ли MBR стандартным, проверит наличие Stealth-алгоритмов в памяти компьютера, обследует содержимое оперативной памяти. Даже в том случае, если измененный сектор не является стандартным, механизм эвристического анализатора сможет детектировать неизвестный вирус с вероятностью 90%. В базе Activator Project Pro содержатся сигнатуры самых распространенных BOOT-вирусов. Скачивать отсюда: http://dizet.com.ua/ftp/apr220.exe .
НОВОСТИ
ФБР и Скотланд-Ярд арестовали автора червя
Представители правоохранительных органов США объявили, что в Великобритании агентами ФБР арестован 24-летний автор компьютерного червя W32-Leave.worm.
Арест был произведен еще 23 июля в результате совместного расследования ФБР и Скотланд-Ярда. В интересах расследования об этом не было объявлено сразу.
До окончания следствия по британским законам не разглашается также имя арестованного, который обвиняется в создании и распространении вредоносных программ.
По данным "Лаборатории Касперского", червь I-Worm.Leave поражает компьютеры с операционной системой Windows и позволяет удаленному хосту управлять зараженным компьютером. Червь также может сам себя обновлять через специальные сайты в Интернете.
Он поразил несколько компьютеров в начале этого года, распространяясь под видом почтовых предупреждений якобы от Microsoft.
Суд над вирусописателем состоится ближе к концу года, а пока обвиняемый освобожден из-под ареста. Согласно британскому закону о противоправном использовании компьютерных технологий (Computer Misuse Act), автору червя грозит до 5 лет тюрьмы.
15.08.01
Хакеры запретили таблицу Менделеева в Лос-Аламосе
В результате дефейса одного из сайтов Национальной лаборатории в Лос-Аламосе (www.lanl.gov) хакеры запретили свободный доступ к периодической системе элементов Менделеева.
Группа хакеров под названием Poisonbox взломала сайт C-ACT Applied Chemical Technologies Group (www.polyfilter.lanl.gov), одного из подразделений Лос-Аламосской лаборатории. Наиболее ценной информацией на сайте оказалась периодическая система элементов, которой пользуются в работе многие исследователи и студенты химических факультетов.
В компьютерной системе лаборатории расположено около 200 сайтов публичного доступа, которые, по словам представителей лаборатории, защищены не самыми сильными программными средствами. Они называются "зеленой сетью".
Взлом был произведен через "дыру" в сервере Microsoft IIS. Это не первый взлом такого рода в "зеленой сети".
Однако ни на одном из 200 публичных серверов не содержится секретных материалов, поэтому представители лаборатории спокойно отнеслись к очередному взлому.
Надежно защищенная внутренняя сеть лаборатории (около 20 тысяч компьютеров) не пострадала ни от одной из известных "дыр" в IIS, в том числе и от эпидемии вируса Cod Red. 14.08.01
Япония тоже заразилась вирусом Code Red II
Азиатская эпидемия второй версии интернет-червя Code Red, похоже, набирает обороты. Уже были крупные проблемы у китайцев, потом Code Red II обнаружили в серверах внутренней сети правительственных учреждений Гонконга. Теперь дело дошло до Японии.
Представитель японского правительства осторожно заявил о том, что правительственные компьютеры, возможно, заражены вирусом Code Red II. Но в то же время было сказано, что один из серверов Министерства образования, культуры, спорта, науки и технологий пришлось временно отключить из-за заражения второй версией червя Code Red. Напомним, что вирусы Code Red и Code Red II заражают компьютеры с ОС Windows NT и Windows 2000, на которых установлено ПО Web-сервера Microsoft ISS версий 4.0 или 5.0, но нет программной заплаты для системы защиты этого сервера. Эта заплата была разработана специалистами Microsoft еще в июне этого года, но далеко не все администраторы серверов установили ее на своих машинах. Вторая версия опаснее первой, так как она распространяется быстрее и, в отличие от первой, оставляет на зараженном компьютере "черный ход", через который доступ к нему может получить хакер. 17.08.01
Sophos: итоги вирусной активности за 6 месяцев
Компания Sophos, мировой лидер в антивирусной защите, объявила о том, что за первые шесть месяцев 2001 года она обнаружила и нашла защиту против 6127 новых вирусов. Это своеобразный рекорд по количеству новых вирусов, найденных за последние шесть месяцев.
По запросам в службу технической поддержки пользователей (helpdesk) выяснилось, что те вирусы, на которые обращали внимание средства массовой информации, не обязательно причиняли наибольший вред.
Исследование, проведенное компанией Sophos, выдвигает на первый план важность безопасных методов работы за компьютером и необходимость держать антивирусное программное обеспечение, отвечающее современным требованиям защиты.
За первые шесть месяцев 2001 года десятка самых опасных вирусов, отсортированных по максимальной частоте сообщений о них (%), выглядит следующим образом:
1. W32/Magistr-A, 12.7%
2. VBS/VBSWG-X (он же Homepage), 11.9%
3. W32/Apology-B, 10.1%
4. W32/Hybris-B, 9.3%
5. VBS/SST-A ("Анна Курникова"), 7%
6. VBS/Kakworm, 6.7%
7. W32/Navidad-B, 6.1%
8. W32/Badtrans-A, 3.8%
9. W32/Flcss, 2.2%
10. VBS/Lovelet-AS,1.8%
На остальные вирусы, не вошедшие в этот список, пришлось 28.4%.
"Большее количество сообщений пользователей приходится на очень разрушительный Интернет-червь Magistr, а не на скриптовые вирусы типа Homepage или Анна Курникова, — сказал Грэм Клулей, старший консультант по технологии антивируса Sophos. — Magistr рассылает себя, используя сообщения электронной почты со случайно сгенерированным заголовком и текстом, что затрудняет определение этого вируса. Данное обстоятельство объясняет тот факт, что пользователи продолжают открывать незапрашиваемые присоединенные файлы. Однако, если Вы постоянно обновляете антивирусное программное обеспечение, у Вас не должно быть никаких проблем с этим вирусом".
На второй позиции находится червь Homepage, который очень быстро распространяется по всему миру с мая 2001 года, направляя зараженных пользователей на порнографические сайты.
Номер три в списке — это червь Apology. Он запрещает доступ к сайтам, содержащим антивирусную информацию, и блокирует электронные письма, адресованные к антивирусным компаниям. Это еще одно напоминание пользователям о том, что они должны регулярно обновлять свои антивирусы.
Несмотря на множество публикаций средств массовой информации, посвященных червю "Анна Курникова", он оказался только на пятом месте, забрав 7% из всех запросов пользователей. Этот вирус в чем-то оказался похож на метеор: заразив миллионы людей за несколько дней, он так же быстро сгорел, его распространение перестало носить характер эпидемии.
По результатам своих исследований, компания Sophos дополнительно сделала следующие выводы.
— Обнаружение первых вирусов (FunnyFile и Choke), способных атаковать службы передачи мгновенных сообщений, выдвинуло на первый план потребность в увеличенной бдительности пользователей, а деловым людям еще раз напомнило о важности повседневного применения антивирусного программного обеспечения.
— Вирусные мистификации продолжали вызывать панику, например, угроза "вируса" SULFNBK, которая должна была проявиться 1 июня 2001 года. Компания Sophos убеждает компьютерных пользователей лишний раз перепроверить, чтобы убедиться, является ли предупреждение о вирусе подлинным или нет, посещая известные антивирусные сайты для получения достоверной информации.
— Новость, появившаяся в июне, о том, что подозреваемый в написании вируса Kournikova автор привлекается к судебной ответственности, является хорошим признаком того, что власти уже готовы к тому, чтобы принять соответствующие меры против распространителей вирусной инфекции.
— Появление червя Ramen в диком виде в январе месяце напомнило пользователям операционной системы Linux о том, что и эта система не является 100% устойчивой к проникновению вирусов. 18.07.01.
Прощай, "Красный код"!
Антивирусная "Лаборатория Касперского" уже говорила о том, что интернет-червь Code Red (он же Bady) не представляет никакой опасности для домашних пользователей. Этот вирус может поразить компьютеры, работающие исключительно под управлением операционной системы Windows 2000, программы управления интернет-сервисами Microsoft Internet Information Server (IIS) с включенной службой индексирования (Indexing Service). Данный набор программ используется только на специализированных серверах. Таким образом, домашние компьютеры и офисные рабочие станции, работающие на любой версии Windows (включая Windows 2000), не могут подвергнуться атаке 'Bady'.
И чтобы совсем покончить с массовой истерией в средствах массовой информации вокруг Code Red, а заодно и с эпидемией этого вируса, "Лаборатория Касперского" сообщила о разработке первой в мире и на данный момент единственной системы активной защиты Web-серверов на базе Internet Information Server (IIS) от всех модификаций Интернет-червя Code Red.
Необходимость появления подобной защиты связана с тем, что антивирусная индустрия по большому счету оказалась не готова к отражению атак нового поколения "бестелесных" Интернет-червей. Стандартные средства, такие как антивирусные сканеры, мониторы и даже специальные антивирусные фильтрационные модули для межсетевых экранов, не в состоянии были обнаружить и нейтрализовать атаки вредоносных программ, подобных Code Red. Сканеры и мониторы могли лишь констатировать факт наличия вредоносного кода в системной памяти компьютера, но практически были бессильны его нейтрализовать. Даже если это удавалось, Code Red мог совершить повторную атаку и снова заразить компьютер.
Обычным решением в подобных случаях является установка соответствующих "заплаток". Однако, у них есть целый ряд недостатков. Многие системные администраторы просто пренебрегают установкой "патчей", считая, что "заплатки" иногда могут принести больший вред, чем вирусы. Кроме того, для крупных организаций с неразвитой компьютерной инфраструктурой процесс установки "заплаток" может затянуться на недели и прервать нормальное функционирование предприятия. И главное: всегда существует период между обнаружением бреши и выпуском "заплатки", в течение которого пользователи остаются практически беззащитны.
"Мы прогнозируем, что в самом ближайшем будущем бестелесные черви типа Code Red станут одними из наиболее распространенных вредоносных программ, и беспомощность антивирусных программ перед этой угрозой не может не вызывать опасения", — комментирует Евгений Касперский, руководитель антивирусных исследований компании. Такое положение вещей делает самой приоритетной задачей разработку специального фильтрационного модуля для IIS-серверов, который будет обрабатывать поступающие запросы и отражать те из них, которые содержат вредоносные программы. "Предлагаемая версия антивирусного фильтра для IIS-серверов надежно защищает компьютеры от всех известных модификаций червя Code Red и не требует наличия "заплатки" от Microsoft, — добавил Евгений Касперский. — В будущем в программу будет встроена эвристическая технология, которая будет способна обнаружить и нейтрализовать атаку даже неизвестного вируса, который, подобно Code Red, использует метод "переполнения буфера".
Антивирусный фильтр для IIS-серверов занимает всего лишь несколько десятков килобайт дискового пространства, в отличие от сотен мегабайт, предлагаемых Microsoft сервисных пакетов, содержащих "заплатки", и не оказывает существенного влияния на производительность Web-сервера. Антивирусная база данных программы обновляется немедленно после обнаружения очередного бестелесного червя, так что пользователям не придется ждать выпуска соответствующей "заплатки". Наконец, фильтрационный модуль доступен для загрузки всем желающим абсолютно бесплатно.
Загрузить антивирусный фильтр для IIS-серверов можно отсюда: ftp://ftp.kaspersky.com/utils/KAVISAPI.ZIP или http://www.kaspersky.com/utils/KAVISAPI.ZIP .
07.08.01
(c) компьютерная газета
Компьютерная газета. Статья была опубликована в номере 31 за 2001 год в рубрике безопасность :: Антивирусное обозрение