Беды обычно приходят парами — пара за парой, пара за парой, пара за парой...
Антивирусное обозрение Беды обычно приходят парами — пара за парой, пара за парой, пара за парой...
"Следствие Кона из закона Мерфи"
По календарю ясно видно, что лето 2001 года заканчивается, а это значит, что уже пора выпускать антивирусные продукты для следующего, 2002 года. Известная корпорация Symantec ( www.symantec.com ) 20 августа анонсировала очередную версию своего популярного антивирусного продукта — Norton AntiVirus 2002. Теперь антивирус совместим с Windows XP. Эта программа, в течение многих лет зарекомендовавшая себя только с лучшей стороны, находит своих поклонников не только на Западе, но и у русскоязычных пользователей. Оно и понятно — утилита обеспечивает максимальную защиту компьютерных систем, автоматически обнаруживая вирусы и корректно удаляя их из системы. Кроме этого, антивирус сканирует входящие и исходящие электронные сообщения на наличие в них вирусов и выполняет блокировку выполняемых скриптов, что обеспечивает защиту от любых новых угроз.
Norton AntiVirus 2002 имеет одну из самых больших в мире баз данных вирусных сигнатур. Программа легко интегрируется в Проводник Windows и поддерживает режим Live Update — установка в онлайновом режиме необходимого обновления без какого-либо вмешательства пользователя.
Стоимость продукта составляет 49.95USD. Триальную версию антивируса можно бесплатно скачать с сайта отсюда: ftp://ftp.symantec.com/misc/sabu/nav2002beta/NAV8Beta3.exe . Но предупреждаю сразу — он "весит" 26 343 КБ.
15 августа этого года стало известно о том, что программный продукт ServerProtect компании Trend Micro стал первым (и пока единственным) серверным антивирусом, сертифицированным для платформы Windows 2000 Server. Независимая лаборатория VeriTest, проводившая тестирование, вручила сертификат Microsoft этому антивирусному пакету. Версия 5.2 пакета Trend Micro ServerProtect успешно прошла проверку на соответствие стандартам Application Specification для Windows 2000 и получила соответствующий сертификат.
Пакет ServerProtect позволяет проверять на вирусы корпоративные файл-серверы, работающие под управлением Windows NT, Windows 2000 и Novell NetWare. ServerProtect соответствует всем требованиям, предъявляемым компанией Microsoft к продуктам, сертифицируемым для Windows 2000 Server, одно лишь перечисление этих требований занимает не менее ста страниц! Это говорит о том, что получить сертификат Microsoft было очень непросто. ServerProtect не требует больших усилий на настройку, внедрение, управление и обновление.
ServerProtect использует технологию опознавания вирусов на основе правил и сигнатур для обнаружения и удаления как известных, так и неизвестных вирусов, включая все вирусы из списка "in the wild". ServerProtect также использует технологию MacroTrap — модуль для сканирования макро-вирусов компании Trend Micro, который обнаруживает и удаляет известные и неизвестные макро-вирусы. ServerProtect сканирует рекурсивно сжатые файлы с помощью следующих алгоритмов: ARJ, Diet, LZEXE, LZH, PKLITE, PKZIP и Microsoft Compress. Он также декодирует и сканирует вложенные файлы формата UUENCODE и MIME.
Программа распознает и удаляет известные и неизвестные вирусы "на лету" и может работать с несколькими серверами и доменами. Среди других функций продукта — автоматическое обновление сигнатур вирусов, протоколирование и возможность конфигурирования через удаленный Windows- или веб-интерфейс.
Рекомендованная цена ServerProtect for NT Version 5.2 для лицензии на 50 пользователей составляет 1 265 USD.
Спустя почти месяц после первого появления червя "Красный код" и начала вирусной эпидемии, Microsoft наконец-то вышла из шокового состояния и извлекла необходимые уроки. Компания выпустила две новых программы, чтобы помочь системным администраторам и пользователям держать их системы всегда обновленными и защищенными. Червь "Красный кода" был разработан специально для того, чтобы вывести из строя компьютеры, работающие как WEB-сереверы с программным обеспечением от Microsoft — Microsoft Internet Information Servers (IIS).
Почему червь смог заразить сотни тысяч серверов по всему миру? Это объясняется тем, что в этих системах не был установлен соответствующий патч, устраняющий дыру в безопасности. Оказывается, большое количество администраторов не следили за своевременной установкой патчей (заплаток). Видимо, люди не успевали справляться с этой непосильной задачей: патчей появляется много, да и выпускаются они не регулярно, не все связаны с безопасностью, а если машин много, то за всем уследить довольно трудно. На этом и сыграли неизвестные вирусописатели, выпустившие в Интернет "Красный код".
Корпорация Microsoft в сотрудничестве с Shavlik Technologies LLC ( http://www.shavlik.com/security ) разработала две бесплатных утилиты: HFNetChk и Microsoft Personal Security Advisor (MPSA). Они призваны помочь компьютерным пользователям в оперативном определении и получении тех заплат, в которых они нуждаются.
HFNetChk — это инструмент, который просматривает состояние всех компьютеров в сети, проверяя их на установленные (и неустановленные!) заплаты. По результатам проверки утилита генерирует отчет, в котором перечисляются заплаты, которые должны быть установлены на каждой из проверенных машин. Файл Nshc.exe (Hfnetchk), протестированный для англоязычных операционных систем, скачивать отсюда: http://www.microsoft.com/downloads/release.asp?releaseid=31154 .
Программа MPSA разработана специально для домашних пользователей и малого бизнеса. MPSA — это сканирующий скрипт (сценарий), который постоянно находится на WEB-сайте ( http://www.microsoft.com/technet/mpsa/start.asp ) и не требует загрузки.
Для того чтобы проверить безопасные патчи, пользователи должны просто зайти на WEB-сайт MPSA и нажать кнопку Scan Now ("Сканировать немедленно"). Утилита показывает не только список доступных заплаток, но и дает необходимые рекомендации о том, как улучшить защиту. Программа проверяет компьютерные системы только на Windows NT 4.0 и Windows 2000.
И на прощание предлагаю очередную бесплатную утилита для удаления вируса SirCam с Вашего компьютера. На этот раз от Symantec Corp. Скачивать отсюда: http://www.sarc.com/avcenter/FixSirc.com . Всего 73 КБ!
Единственное условие, о котором просит разработчик перед использованием этого антивирусного фага, — закрыть все программы, особенно антивирусные мониторы (резидентные сторожа).
А вот пользователям Windows Me, которых с каждым днем все больше и больше, дополнительно следует отключить функцию System Restore.
Вирусный ТОП-10.15-22 августа 2001г.
Всего проверено 138334 компьютеров.
Вирусы, которые нас поразили
Червь I-Worm.Newpic успел заразить отдельных пользователей Интернет-пейджера MSN Messenger. Массовой эпидемии не предвидится — эта служба передачи мгновенных сообщений не так популярна, как ICQ, да передача исполняемого файла от одного пользователя к другому под видом фотографии вызовет явные подозрения у любого. Но хочется отметить следующий факт: этот паразит, кроме вредного кода, записывает на инфицированный компьютер еще и инструкцию по удалению самого себя! Где Вы такое еще видели?!
1. I-Worm.Newpic (он же: W32/Jerrym,Worm.JerryMsg.A, W32.Annoying.Worm, Win32. Annoying, TROJ_NEWPIC.A, W32/ Choke.b.worm). Червь, распространяющийся через службу мгновенных сообщений MSN Messenger, используя файл с именем PIC1324.EXE (около 50 КБ). Изначально червь написан на языке программирования Visual Basic, а потом уже скомпилирован в EXE-файл. I-Worm.Newpic создает ключ в реестре для автоматического старта при каждом запуске системы, а также папку C:\Messenger1234\Brain, в которую помещает файл 1ReadMe.txt, содержащий инструкции по его удалению.
Червь следит за поступлением сообщений по MSN Messenger и в ответ на них от имени владельца зараженного компьютера предлагает принять файл-носитель червя, якобы содержащий самые последние фотографии. Для этого он спрашивает: "hey, want me to send my new pic? i took it yesterday " (Привет, хочешь, чтобы я выслал тебе свою новую фотку? Я сделал ее вчера). Если в ответ он получает что-нибудь из следующих фраз: sure, yes, yea, guess, ok, send, maybe или go, то червь передает EXE-файл.
В инструкции по удалению записано следующее: "Я пришел с миром. Меня зовут Джерри (Jerry). Моя цель заключается в том, чтобы распространяться. Я не надоедливый и не опасный. Как меня удалить:
1) Нажать Start, выбрать Run. На экране появится диалоговое окно Run.
2) Набрать: msconfig. Появится утилита конфигурации системы.
3) Щелкнуть сверху закладку Startup (Автозапуск). В появившемся списке найти MsgSprd, Messenger, или pic1324, снять галочку с него, нажать Apply, а затем — Ok.
4) Перезапустить Ваш компьютер или нажать Ctrl+Alt+Del, выбрать MsgSprd из списка и нажать End Task.
Вы можете спокойно удалить файлы или каталог C:\Messenger1324".
2. Win32.Modnar.A@mm (он же DOCPIF, он же MODNAR). Интернет-червь, написан на языке Visual C++. Размер — 33КБ, риск заражения — низкий. Работоспособен в системах Win32. Исполняемый файл запакован (сжат) утилитой UPX 1.07. Полный размер червя составляет 176 КБ. Деструктивных действий не совершает.
Когда червь выполняется, он проверяет адресную книгу Windows (WAB — Windows Address Book), читая из системного реестра значение ключа HKCU\Software\Microsoft\WAB\WAB4\Wab File Name. Для того чтобы воспользоваться этой информацией, MODNAR загружает WAB API — файл wab32.dll. Затем вирус копирует себя в директорий, откуда он запускался, в файл со случайным именем, созданным из восьми строчных латинских букв, с двойным расширением — *.doc.pif.
После этого червь использует Mailing API (MAPI) для рассылки этого файла. Тема и тело почтового сообщения заполняются случайным образом бессвязной комбинацией букв латинского алфавита. Но тема и текст письма всегда заканчиваются знаками "!?".
Используя MAPI, этот вирус будет загружать Microsoft Outlook (или Outlook Express) рассылкой электронных сообщений. Если пользователь не работает с Outlook, Outlook Express или не имеет WAB, то вирус не сможет распространиться. Вирус не копирует себя и пытается оставаться активным при каждом запуске так же, как и другие вирусы его класса.
ПВО — противовирусная оборона
PestPatrol. Разработчик: SaferSite.com, Inc., США, штат Пенсильвания ( http://www.safersite.com ). Дистрибутив (ознакомительная версия): 1 434 KB. Версия 2.0 от 23 июля 2001 года. Распознает и удаляет более 20 000 вредных программ, среди которых: трояны, хакерские утилиты, Spyware и тому подобное. Работает одновременно с антивирусной программой и персональным защитным экраном (брандмауэром).
Название PestPatrol можно перевести как "Патруль над вредителями". Под вредителями утилита понимает целый ряд программ, существование которых "отравляет" жизнь и работу компьютерных пользователей.
Как только я установил у себя PestPatrol, так он тут же дал о себе знать ужасными сообщениями "Pest Found!" (Вредитель найден!). Такими вредителями оказались программы класса Spyware: Radiate, в файле c:\windows\system\msipcsv.exe (а я все гадал, что это за файл и зачем он нужен системе), а также Aureate, Conducent, Gator и Web3000, ссылки на которые находились в реестре Windows.
Что такое Spyware? Это рекламно-шпионские утилиты, собирающие информацию о пользователе втайне от него и отсылающие собранное на специальные сайты. Причем, никто не знает, какого рода эта информация — конфигурация компьютера, почтовые адреса, предпочтения пользователя по посещению любимых страниц в Сети или все его пароли вместе с логами открываемых файлов вместе и нажатиями клавиатуры. И хотя корпорации уверяют, что приватность пользователя сохраняется, но кто сейчас верит заявлениям больших компаний? К тому же, Spyware иногда подменяют системные файлы (*.DLL) своими собственными версиями, что может приводить к частым зависаниям и сбоям Windows и падению производительности.
PestPatrol — не единственная программа, отстаивающая права пользователя за чистое небо над головой и свободный от шпионских жучков компьютер. Известна еще одна программа, бесплатно удаляющая Spyware, — Ad-aware v5.2 (www.lavasoft.de/aaw). Но Ad-aware кроме шпионских модулей ничего не знает, в то время как PestPatrol борется с троянами, червями и прочими компьютерными паразитами.
Таким образом, при каждом своем запуске "Патруль" проверяет все места системы, из которых возможен автозапуск вредных программ, то есть реестр, файлы *.INI и *.BAT.
К сожалению, та версия PestPatrol, которой я пользовался, была предназначена только для ознакомительного пользования (evaluation version), поэтому она только сообщала о найденных вредителях. А вот лицензионная версия могла бы автоматически (или по запросу) удалять любых вредителей. Или, если Вам так хочется, отправлять их в зону карантина, где вредителя можно безопасно исследовать под любым "микроскопом".
В качестве объектов для проверки можно задавать любые директории (папки) на локальных сетевых дисках (закладка Scan). Если мы хотим проанализировать подозрительный файл, то это можно сделать в закладке Scan — Analyze a File. PestPatrol разберет файл "по косточкам", а результаты проверки можно вывести на печать. Это позволяет использовать "Патруль" в качестве одного из инструментов для проверки тестируемого ПО на наличие вредных кодов.
Данная программа, кроме вышеперечисленных Spyware, также самостоятельно распознает и некоторые другие: Cydoor, DoubleClick, DSS Agent и OfferCompanion. А вот список шпионских компаний пока состоит из одной строки, но зато какой! Оказывается, это Go!zilla — известный во всем мире download-менеджер. Впрочем, если Вы считаете, что эти Spyware Вам нужны, например, для пожирания рекламных баннеров, то Вы можете дать указание "Патрулю" их не трогать. В остальном, PestPatrol проверяет файлы все подряд или те из них, расширения которых находятся в списке проверки. Этот список можно изменять: дополнять, удалять расширения файлов или устанавливать список по умолчанию.
Кстати, временные директории и мусорные корзины изначально не проверяются, но пользователь может легко исправить этот недостаток.
Какие же программы PestPatrol относит к вредителям? Я насчитал целых 44 класса! Среди них, как и следовало ожидать, находятся Интернет-черви, трояны, утилиты удаленного администрирования, вирусные, троянские конструкторы (программы для автоматического генерирования вирусов и троянов) и руководства для создания вирусов. Но кроме этого, PestPatrol совершенно не переносит и "инструменты для хакерства": программы-спуфферы, скрывающие истинный IP-адрес, снифферы, рипперы, сканеры безопасности, клавиатурные шпионы, взломщики паролей, эксплоиты и многое другое.
Замечу, что в базе данных вредных программ "Патруля" есть черви "Красный код" и Outlook.PDFWorm.
В программе предусмотрена возможность для автоматического обновления исполняемых файлов и пополнения базы данных вредных программ. Чаще всего это бывают трояны, черви, эксплоиты и утилиты удаленного администрирования. Если Вы находитесь в онлайне, то при запуске PestPatrol тут же начинает проверять наличие новой версии на своем родном сайте и в случае нахождения скачивает и инсталлирует ее.
Программа работает на всех платформах Windows: 95,98, NT, 2000 и Me. Ознакомительную версию на 30 дней пользования скачивать отсюда: http://safersite.com/Downloads/Eval/SetupPestPatrolEval.EXE . А вообще-то PestPatrol выпускается в двух вариантах: для корпоративных пользователей (стоимость лицензии — 29.95USD) и для домашнего использования (стоимость — 9.95USD).
• В сети появился довольно необычный вирус-червь, который маскируется под утилиту для очистки от вирусов, хотя кое-какие антивирусные действия он все же производит. Этот вирус называется All3gro. К числу его достоинств можно отнести малую скорость распространения и то, что он не наносит никакого ущерба компьютерам.
Однако опасен он хотя бы тем, что использует новую "дыру" в психологии пользователя, чтобы заставить его открыть файл с вирусом. All3gro приходит по электронной почте в письме с заголовком New antivirus tool ("Новое антивирусное средство") и присоединенным файлом Antivirus.exe, в котором и содержится вирус. Если открыть этот файл, то вирус разошлет себя по адресам из адресной книги пользователя. В зависимости от дня недели All3gro может произвести и кое-какие антивирусные действия, например, очистить компьютер от вируса Sircam или удалить вирус Pretty Park, но себя он с компьютера не удаляет. Заражает All3gro только компьютеры с ОС Windows. Обладатели Mac'ов и Linux-компьютеров могут не беспокоиться. 22.08.01
McAfee объявила охоту на зомби
Антивирусное подразделение корпорации Network Associates компания McAfee объединилась с тремя фирмами, специализирующимися на проблемах распределенных DDoS-атак, для борьбы с зомби-агентами, заполонившими глобальную Сеть. В содружество вошли McAfee, Arbor, Asta и Mazu.
Они намереваются объединить свои технологии для разработки средств обнаружения и борьбы с компьютерами-зомби, которые хакеры используют для осуществления DDoS-атак на различные сетевые ресурсы.
Распределенные атаки типа "отказ от обслуживания" (distributed denial of service) за последние полтора года получили среди хакеров широкую популярность. Под их ударами падали крупнейшие ресурсы, такие как Yahoo!, CNN.com, Amazon, eBay. Последний случай связан с августовским нашествием червя Code Red, который превратил в зомби десятки тысяч компьютеров по всему миру, устроив атаку на сайт Белого дома.
Для организации DDoS-атаки злоумышленник с помощью специальных вирусов, червей или троянских коней заражает (зомбирует) как можно большее количество компьютеров в Сети. Затем по единой команде он активизирует на зараженных компьютерах-зомби запросы на атакуемый сайт. Как правило, сервер-жертва не выдерживает огромного количества одновременных обращений и выдает отказ от обслуживания, становясь недоступным. Компьютеры-зомби могут использоваться злоумышленником и в дальнейшем для атак на другие сайты. При этом сам владелец зомбированного компьютера может ничего не замечать. Поэтому эффективная технология обнаружения зомби приобретает чрезвычайно важное значение. Компании Mazu и Arbor располагают программно-аппаратными средствами интеллектуального анализа трафика и распознавания DDoS-атак по характерной совокупности аномальных отклонений. Asta также располагает своими методами быстрого обнаружения распределенных атак на уровне провайдера. McAfee вносит в общее дело разработанные недавно методы обнаружения зомби-серверов. 23.08.01
Доктор М
macrofag@hotbox.ru
(c) компьютерная газета
"Следствие Кона из закона Мерфи"
По календарю ясно видно, что лето 2001 года заканчивается, а это значит, что уже пора выпускать антивирусные продукты для следующего, 2002 года. Известная корпорация Symantec ( www.symantec.com ) 20 августа анонсировала очередную версию своего популярного антивирусного продукта — Norton AntiVirus 2002. Теперь антивирус совместим с Windows XP. Эта программа, в течение многих лет зарекомендовавшая себя только с лучшей стороны, находит своих поклонников не только на Западе, но и у русскоязычных пользователей. Оно и понятно — утилита обеспечивает максимальную защиту компьютерных систем, автоматически обнаруживая вирусы и корректно удаляя их из системы. Кроме этого, антивирус сканирует входящие и исходящие электронные сообщения на наличие в них вирусов и выполняет блокировку выполняемых скриптов, что обеспечивает защиту от любых новых угроз.
Norton AntiVirus 2002 имеет одну из самых больших в мире баз данных вирусных сигнатур. Программа легко интегрируется в Проводник Windows и поддерживает режим Live Update — установка в онлайновом режиме необходимого обновления без какого-либо вмешательства пользователя.
Стоимость продукта составляет 49.95USD. Триальную версию антивируса можно бесплатно скачать с сайта отсюда: ftp://ftp.symantec.com/misc/sabu/nav2002beta/NAV8Beta3.exe . Но предупреждаю сразу — он "весит" 26 343 КБ.
15 августа этого года стало известно о том, что программный продукт ServerProtect компании Trend Micro стал первым (и пока единственным) серверным антивирусом, сертифицированным для платформы Windows 2000 Server. Независимая лаборатория VeriTest, проводившая тестирование, вручила сертификат Microsoft этому антивирусному пакету. Версия 5.2 пакета Trend Micro ServerProtect успешно прошла проверку на соответствие стандартам Application Specification для Windows 2000 и получила соответствующий сертификат.
Пакет ServerProtect позволяет проверять на вирусы корпоративные файл-серверы, работающие под управлением Windows NT, Windows 2000 и Novell NetWare. ServerProtect соответствует всем требованиям, предъявляемым компанией Microsoft к продуктам, сертифицируемым для Windows 2000 Server, одно лишь перечисление этих требований занимает не менее ста страниц! Это говорит о том, что получить сертификат Microsoft было очень непросто. ServerProtect не требует больших усилий на настройку, внедрение, управление и обновление.
ServerProtect использует технологию опознавания вирусов на основе правил и сигнатур для обнаружения и удаления как известных, так и неизвестных вирусов, включая все вирусы из списка "in the wild". ServerProtect также использует технологию MacroTrap — модуль для сканирования макро-вирусов компании Trend Micro, который обнаруживает и удаляет известные и неизвестные макро-вирусы. ServerProtect сканирует рекурсивно сжатые файлы с помощью следующих алгоритмов: ARJ, Diet, LZEXE, LZH, PKLITE, PKZIP и Microsoft Compress. Он также декодирует и сканирует вложенные файлы формата UUENCODE и MIME.
Программа распознает и удаляет известные и неизвестные вирусы "на лету" и может работать с несколькими серверами и доменами. Среди других функций продукта — автоматическое обновление сигнатур вирусов, протоколирование и возможность конфигурирования через удаленный Windows- или веб-интерфейс.
Рекомендованная цена ServerProtect for NT Version 5.2 для лицензии на 50 пользователей составляет 1 265 USD.
Спустя почти месяц после первого появления червя "Красный код" и начала вирусной эпидемии, Microsoft наконец-то вышла из шокового состояния и извлекла необходимые уроки. Компания выпустила две новых программы, чтобы помочь системным администраторам и пользователям держать их системы всегда обновленными и защищенными. Червь "Красный кода" был разработан специально для того, чтобы вывести из строя компьютеры, работающие как WEB-сереверы с программным обеспечением от Microsoft — Microsoft Internet Information Servers (IIS).
Почему червь смог заразить сотни тысяч серверов по всему миру? Это объясняется тем, что в этих системах не был установлен соответствующий патч, устраняющий дыру в безопасности. Оказывается, большое количество администраторов не следили за своевременной установкой патчей (заплаток). Видимо, люди не успевали справляться с этой непосильной задачей: патчей появляется много, да и выпускаются они не регулярно, не все связаны с безопасностью, а если машин много, то за всем уследить довольно трудно. На этом и сыграли неизвестные вирусописатели, выпустившие в Интернет "Красный код".
Корпорация Microsoft в сотрудничестве с Shavlik Technologies LLC ( http://www.shavlik.com/security ) разработала две бесплатных утилиты: HFNetChk и Microsoft Personal Security Advisor (MPSA). Они призваны помочь компьютерным пользователям в оперативном определении и получении тех заплат, в которых они нуждаются.
HFNetChk — это инструмент, который просматривает состояние всех компьютеров в сети, проверяя их на установленные (и неустановленные!) заплаты. По результатам проверки утилита генерирует отчет, в котором перечисляются заплаты, которые должны быть установлены на каждой из проверенных машин. Файл Nshc.exe (Hfnetchk), протестированный для англоязычных операционных систем, скачивать отсюда: http://www.microsoft.com/downloads/release.asp?releaseid=31154 .
Программа MPSA разработана специально для домашних пользователей и малого бизнеса. MPSA — это сканирующий скрипт (сценарий), который постоянно находится на WEB-сайте ( http://www.microsoft.com/technet/mpsa/start.asp ) и не требует загрузки.
Для того чтобы проверить безопасные патчи, пользователи должны просто зайти на WEB-сайт MPSA и нажать кнопку Scan Now ("Сканировать немедленно"). Утилита показывает не только список доступных заплаток, но и дает необходимые рекомендации о том, как улучшить защиту. Программа проверяет компьютерные системы только на Windows NT 4.0 и Windows 2000.
И на прощание предлагаю очередную бесплатную утилита для удаления вируса SirCam с Вашего компьютера. На этот раз от Symantec Corp. Скачивать отсюда: http://www.sarc.com/avcenter/FixSirc.com . Всего 73 КБ!
Единственное условие, о котором просит разработчик перед использованием этого антивирусного фага, — закрыть все программы, особенно антивирусные мониторы (резидентные сторожа).
А вот пользователям Windows Me, которых с каждым днем все больше и больше, дополнительно следует отключить функцию System Restore.
Вирусный ТОП-10.15-22 августа 2001г.
Название Число зараженных компьютеров % W32/Magistr@MM 12820 9.27 W32/SirCam@MM 10872 7.86 VBS /LoveLetter@MM 10266 7.42 W32/FunLove.gen 9323 6.74 PornDial9 5272 3.81 W32/SirCam@dat 4683 3.39 W32 /Hybris.gen@MM 3805 2.75 W32/Choke.worm 2661 1.92 W32/Choke.a.worm 1974 1.43 W32/Hai.worm 1941 1.40Источник: www.mcafee.com .
Всего проверено 138334 компьютеров.
Вирусы, которые нас поразили
Червь I-Worm.Newpic успел заразить отдельных пользователей Интернет-пейджера MSN Messenger. Массовой эпидемии не предвидится — эта служба передачи мгновенных сообщений не так популярна, как ICQ, да передача исполняемого файла от одного пользователя к другому под видом фотографии вызовет явные подозрения у любого. Но хочется отметить следующий факт: этот паразит, кроме вредного кода, записывает на инфицированный компьютер еще и инструкцию по удалению самого себя! Где Вы такое еще видели?!
1. I-Worm.Newpic (он же: W32/Jerrym,Worm.JerryMsg.A, W32.Annoying.Worm, Win32. Annoying, TROJ_NEWPIC.A, W32/ Choke.b.worm). Червь, распространяющийся через службу мгновенных сообщений MSN Messenger, используя файл с именем PIC1324.EXE (около 50 КБ). Изначально червь написан на языке программирования Visual Basic, а потом уже скомпилирован в EXE-файл. I-Worm.Newpic создает ключ в реестре для автоматического старта при каждом запуске системы, а также папку C:\Messenger1234\Brain, в которую помещает файл 1ReadMe.txt, содержащий инструкции по его удалению.
Червь следит за поступлением сообщений по MSN Messenger и в ответ на них от имени владельца зараженного компьютера предлагает принять файл-носитель червя, якобы содержащий самые последние фотографии. Для этого он спрашивает: "hey, want me to send my new pic? i took it yesterday " (Привет, хочешь, чтобы я выслал тебе свою новую фотку? Я сделал ее вчера). Если в ответ он получает что-нибудь из следующих фраз: sure, yes, yea, guess, ok, send, maybe или go, то червь передает EXE-файл.
В инструкции по удалению записано следующее: "Я пришел с миром. Меня зовут Джерри (Jerry). Моя цель заключается в том, чтобы распространяться. Я не надоедливый и не опасный. Как меня удалить:
1) Нажать Start, выбрать Run. На экране появится диалоговое окно Run.
2) Набрать: msconfig. Появится утилита конфигурации системы.
3) Щелкнуть сверху закладку Startup (Автозапуск). В появившемся списке найти MsgSprd, Messenger, или pic1324, снять галочку с него, нажать Apply, а затем — Ok.
4) Перезапустить Ваш компьютер или нажать Ctrl+Alt+Del, выбрать MsgSprd из списка и нажать End Task.
Вы можете спокойно удалить файлы или каталог C:\Messenger1324".
2. Win32.Modnar.A@mm (он же DOCPIF, он же MODNAR). Интернет-червь, написан на языке Visual C++. Размер — 33КБ, риск заражения — низкий. Работоспособен в системах Win32. Исполняемый файл запакован (сжат) утилитой UPX 1.07. Полный размер червя составляет 176 КБ. Деструктивных действий не совершает.
Когда червь выполняется, он проверяет адресную книгу Windows (WAB — Windows Address Book), читая из системного реестра значение ключа HKCU\Software\Microsoft\WAB\WAB4\Wab File Name. Для того чтобы воспользоваться этой информацией, MODNAR загружает WAB API — файл wab32.dll. Затем вирус копирует себя в директорий, откуда он запускался, в файл со случайным именем, созданным из восьми строчных латинских букв, с двойным расширением — *.doc.pif.
После этого червь использует Mailing API (MAPI) для рассылки этого файла. Тема и тело почтового сообщения заполняются случайным образом бессвязной комбинацией букв латинского алфавита. Но тема и текст письма всегда заканчиваются знаками "!?".
Используя MAPI, этот вирус будет загружать Microsoft Outlook (или Outlook Express) рассылкой электронных сообщений. Если пользователь не работает с Outlook, Outlook Express или не имеет WAB, то вирус не сможет распространиться. Вирус не копирует себя и пытается оставаться активным при каждом запуске так же, как и другие вирусы его класса.
ПВО — противовирусная оборона
PestPatrol. Разработчик: SaferSite.com, Inc., США, штат Пенсильвания ( http://www.safersite.com ). Дистрибутив (ознакомительная версия): 1 434 KB. Версия 2.0 от 23 июля 2001 года. Распознает и удаляет более 20 000 вредных программ, среди которых: трояны, хакерские утилиты, Spyware и тому подобное. Работает одновременно с антивирусной программой и персональным защитным экраном (брандмауэром).
Название PestPatrol можно перевести как "Патруль над вредителями". Под вредителями утилита понимает целый ряд программ, существование которых "отравляет" жизнь и работу компьютерных пользователей.
Как только я установил у себя PestPatrol, так он тут же дал о себе знать ужасными сообщениями "Pest Found!" (Вредитель найден!). Такими вредителями оказались программы класса Spyware: Radiate, в файле c:\windows\system\msipcsv.exe (а я все гадал, что это за файл и зачем он нужен системе), а также Aureate, Conducent, Gator и Web3000, ссылки на которые находились в реестре Windows.
Что такое Spyware? Это рекламно-шпионские утилиты, собирающие информацию о пользователе втайне от него и отсылающие собранное на специальные сайты. Причем, никто не знает, какого рода эта информация — конфигурация компьютера, почтовые адреса, предпочтения пользователя по посещению любимых страниц в Сети или все его пароли вместе с логами открываемых файлов вместе и нажатиями клавиатуры. И хотя корпорации уверяют, что приватность пользователя сохраняется, но кто сейчас верит заявлениям больших компаний? К тому же, Spyware иногда подменяют системные файлы (*.DLL) своими собственными версиями, что может приводить к частым зависаниям и сбоям Windows и падению производительности.
PestPatrol — не единственная программа, отстаивающая права пользователя за чистое небо над головой и свободный от шпионских жучков компьютер. Известна еще одна программа, бесплатно удаляющая Spyware, — Ad-aware v5.2 (www.lavasoft.de/aaw). Но Ad-aware кроме шпионских модулей ничего не знает, в то время как PestPatrol борется с троянами, червями и прочими компьютерными паразитами.
Таким образом, при каждом своем запуске "Патруль" проверяет все места системы, из которых возможен автозапуск вредных программ, то есть реестр, файлы *.INI и *.BAT.
К сожалению, та версия PestPatrol, которой я пользовался, была предназначена только для ознакомительного пользования (evaluation version), поэтому она только сообщала о найденных вредителях. А вот лицензионная версия могла бы автоматически (или по запросу) удалять любых вредителей. Или, если Вам так хочется, отправлять их в зону карантина, где вредителя можно безопасно исследовать под любым "микроскопом".
В качестве объектов для проверки можно задавать любые директории (папки) на локальных сетевых дисках (закладка Scan). Если мы хотим проанализировать подозрительный файл, то это можно сделать в закладке Scan — Analyze a File. PestPatrol разберет файл "по косточкам", а результаты проверки можно вывести на печать. Это позволяет использовать "Патруль" в качестве одного из инструментов для проверки тестируемого ПО на наличие вредных кодов.
Данная программа, кроме вышеперечисленных Spyware, также самостоятельно распознает и некоторые другие: Cydoor, DoubleClick, DSS Agent и OfferCompanion. А вот список шпионских компаний пока состоит из одной строки, но зато какой! Оказывается, это Go!zilla — известный во всем мире download-менеджер. Впрочем, если Вы считаете, что эти Spyware Вам нужны, например, для пожирания рекламных баннеров, то Вы можете дать указание "Патрулю" их не трогать. В остальном, PestPatrol проверяет файлы все подряд или те из них, расширения которых находятся в списке проверки. Этот список можно изменять: дополнять, удалять расширения файлов или устанавливать список по умолчанию.
Кстати, временные директории и мусорные корзины изначально не проверяются, но пользователь может легко исправить этот недостаток.
Какие же программы PestPatrol относит к вредителям? Я насчитал целых 44 класса! Среди них, как и следовало ожидать, находятся Интернет-черви, трояны, утилиты удаленного администрирования, вирусные, троянские конструкторы (программы для автоматического генерирования вирусов и троянов) и руководства для создания вирусов. Но кроме этого, PestPatrol совершенно не переносит и "инструменты для хакерства": программы-спуфферы, скрывающие истинный IP-адрес, снифферы, рипперы, сканеры безопасности, клавиатурные шпионы, взломщики паролей, эксплоиты и многое другое.
Замечу, что в базе данных вредных программ "Патруля" есть черви "Красный код" и Outlook.PDFWorm.
В программе предусмотрена возможность для автоматического обновления исполняемых файлов и пополнения базы данных вредных программ. Чаще всего это бывают трояны, черви, эксплоиты и утилиты удаленного администрирования. Если Вы находитесь в онлайне, то при запуске PestPatrol тут же начинает проверять наличие новой версии на своем родном сайте и в случае нахождения скачивает и инсталлирует ее.
Программа работает на всех платформах Windows: 95,98, NT, 2000 и Me. Ознакомительную версию на 30 дней пользования скачивать отсюда: http://safersite.com/Downloads/Eval/SetupPestPatrolEval.EXE . А вообще-то PestPatrol выпускается в двух вариантах: для корпоративных пользователей (стоимость лицензии — 29.95USD) и для домашнего использования (стоимость — 9.95USD).
• В сети появился довольно необычный вирус-червь, который маскируется под утилиту для очистки от вирусов, хотя кое-какие антивирусные действия он все же производит. Этот вирус называется All3gro. К числу его достоинств можно отнести малую скорость распространения и то, что он не наносит никакого ущерба компьютерам.
Однако опасен он хотя бы тем, что использует новую "дыру" в психологии пользователя, чтобы заставить его открыть файл с вирусом. All3gro приходит по электронной почте в письме с заголовком New antivirus tool ("Новое антивирусное средство") и присоединенным файлом Antivirus.exe, в котором и содержится вирус. Если открыть этот файл, то вирус разошлет себя по адресам из адресной книги пользователя. В зависимости от дня недели All3gro может произвести и кое-какие антивирусные действия, например, очистить компьютер от вируса Sircam или удалить вирус Pretty Park, но себя он с компьютера не удаляет. Заражает All3gro только компьютеры с ОС Windows. Обладатели Mac'ов и Linux-компьютеров могут не беспокоиться. 22.08.01
McAfee объявила охоту на зомби
Антивирусное подразделение корпорации Network Associates компания McAfee объединилась с тремя фирмами, специализирующимися на проблемах распределенных DDoS-атак, для борьбы с зомби-агентами, заполонившими глобальную Сеть. В содружество вошли McAfee, Arbor, Asta и Mazu.
Они намереваются объединить свои технологии для разработки средств обнаружения и борьбы с компьютерами-зомби, которые хакеры используют для осуществления DDoS-атак на различные сетевые ресурсы.
Распределенные атаки типа "отказ от обслуживания" (distributed denial of service) за последние полтора года получили среди хакеров широкую популярность. Под их ударами падали крупнейшие ресурсы, такие как Yahoo!, CNN.com, Amazon, eBay. Последний случай связан с августовским нашествием червя Code Red, который превратил в зомби десятки тысяч компьютеров по всему миру, устроив атаку на сайт Белого дома.
Для организации DDoS-атаки злоумышленник с помощью специальных вирусов, червей или троянских коней заражает (зомбирует) как можно большее количество компьютеров в Сети. Затем по единой команде он активизирует на зараженных компьютерах-зомби запросы на атакуемый сайт. Как правило, сервер-жертва не выдерживает огромного количества одновременных обращений и выдает отказ от обслуживания, становясь недоступным. Компьютеры-зомби могут использоваться злоумышленником и в дальнейшем для атак на другие сайты. При этом сам владелец зомбированного компьютера может ничего не замечать. Поэтому эффективная технология обнаружения зомби приобретает чрезвычайно важное значение. Компании Mazu и Arbor располагают программно-аппаратными средствами интеллектуального анализа трафика и распознавания DDoS-атак по характерной совокупности аномальных отклонений. Asta также располагает своими методами быстрого обнаружения распределенных атак на уровне провайдера. McAfee вносит в общее дело разработанные недавно методы обнаружения зомби-серверов. 23.08.01
Доктор М
macrofag@hotbox.ru
(c) компьютерная газета
Компьютерная газета. Статья была опубликована в номере 32 за 2001 год в рубрике безопасность :: Антивирусное обозрение