Начинающий врач выписывает по двадцать лекарств для каждой болезни; опытный врач — одно лекарство на двадцать болезней.
Антивирусное обозрение Начинающий врач выписывает по двадцать лекарств для каждой болезни; опытный врач — одно лекарство на двадцать болезней.
Уильям Ослер
Компания FRISK Software International улучшила один из самых известных и эффективных антивирусных продуктов, существующих на компьютерном рынке. Речь идет о пакете F-Prot Antivirus version 3.10b. Новая версия антивируса (о предыдущей версии 3.09а мы писали в КГ №25 от 10.07.01г.) разработана специально для работы в компьютерных системах, на которых установлена операционная система Windows 95, 98, ME, NT, 2000 и уже хорошо знакомая многим Windows XP.
F-Prot Antivirus for Windows — это идеальный инструмент для всех пользователей. Он может удовлетворить высокие требования профессионалов и в то же время с ним без труда может разобраться и начинающий пользователь. Антивирусный пакет легок в использовании, имеет простой, понятный интерфейс, который предлагает большие возможности по гибкой настройке нужных программ. В то же самое время антивирус может быть запущен и в режиме командной строки. Компьютерный пользователь может сканировать гибкие дискеты, локальные и сетевые диски, а также избирательно необходимые папки и файлы. Программа может быть установлена как на отдельных компьютерах домашних пользователей, так и на рабочих станциях локальной сети.
Пакет F-Prot Antivirus for Windows имеет ряд компонентов, которые помогут пользователям держать их систему недоступной для вирусов, backdoors, троянов и других вредных кодов.
Продукт состоит из следующих программ:
— OnDemand Scanner — основная программа для доступа к другим компонентам антивируса.
— RealTime Protector — монитор (резидентный сторож), который постоянно наблюдает за всеми процессами, происходящими в системе.
— Updater — утилита для обновления баз данных вирусных сигнатур (virus definition files).
— Scheduler — планировщик для запуска по расписанию программ OnDemand Scanner и Updater.
— F-Prot Antivirus for DOS — антивирус для DOS.
— Integrity Checker — ведет базу данных и отслеживает изменения, произведенные пользователем.
F-Prot Antivirus for Windows может обнаружить и удалить не только все файловые вирусы, но и загрузочные, а также макровирусы, троянов, червей и другие вредные и разрушительные коды. Антивирус F-Prot Antivirus for Windows версии 3.10b обнаруживает около 55 800 различных вредных программ. Пользователь может быть всегда уверен, что появившийся вирус будет незамедлительно добавлен в базу данных F-Prot для обнаружения лечения. Тестовую версию этого антивируса можно бесплатно скачать отсюда: ftp://ftp.frisk.is/pub/fp-win_trial.zip .
Другая антивирусная компания-разработчик из Индии — Cat Computer Services (P) Ltd, Индия ( http://www.quickheal.com ) — спустя полгода после выхода последней версии своего продукта Quick Heal AntiVirus for Windows 95/98/NT (см. КГ №13 от 03.04.01г.), также порадовала своих пользователей обновленным вариантом антивируса. В новую версию Quick Heal 6.02 внесено более десятка значительных изменений. Благодаря этому антивирус стал еще более надежным и удобным в работе.
Среди новых свойств программы следует отметить Sensor ("Датчик") — технологию, разработанную для борьбы с угрозами, исходящими от новых троянов, червей и утилит удаленного администрирования. Sensor проверяет самые опасные места системы и в случае обнаружения вредного кода обезвреживает его раньше, чем тот успеет нанести какой-либо вред. Пользователи Outlook Express 5.0 могут спокойно доверить свой почтовый ящик антивирусу Quick Heal 6.02, который не только умеет декодировать присоединенные файлы в формате UUENCODE/MIME/BinHex(Base 64), но и удаляет найденные вирусы из файлов *.DBX (почтовые файлы Outlook Express). При этом паразиты, аналогичные Kak Worm, которые прячутся внутри писем, будут 100% выявлены.
Кроме этого, антивирус Quick Heal 6.02 годится для пользователей почтовых клиентов Eudora, Outlook 2000/XP, а также офисного продукта MS Office 2000/XP. Всесторонняя и полная защита электронных документов, таблиц и презентаций гарантируется разработчиками. Не обошли они вниманием и формат *.SHS. В нем могут находиться исполняемые коды, которые могут нанести непоправимый вред компьютеру. Антивирус сканирует несколько объектов, вложенных в этот файл. В новом Quick Heal 6.02 добавилась возможность изолирования подозрительного файла — функция Карантина. Появилась кнопка для автоматического обновления баз данных вирусных сигнатур. Обновления, по желанию пользователя, можно делать ежедневно, еженедельно или ежемесячно.
И, самое главное, значительно улучшены механизмы сканирования памяти и файлов на диске. А проверка макросов ускорилась почти в 2 раза. Все это делает Quick Heal 6.02 одним из самых быстрых антивирусов в мире. Пробную версию Quick Heal 6.02 на 30 дней можно скачать отсюда: ftp://ftp.ip.pt/pub/tucows/files4/qh32v602.exe .
Наверное, у многих могло сложиться не совсем верное мнение о том, что для проверки компьютера на вирусы обязательно надо что-то скачивать с Интернета и инсталлировать в систему. Это не так! Чтобы проверить компьютер на наличие каких-либо вредных программ, можно воспользоваться бесплатным онлайновым сервисом, который предлагают многие Web-сайты, ориентированные на борьбу с вирусной заразой. Одним из таких сайтов является PC Flank, предлагающий на странице http://www.pcflank.com/test.htm всем желающим протестировать свою компьютерную систему на безопасность онлайнового соединения. Тест выявляет все уязвимые места компьютера, которыми могут воспользоваться злоумышленники и вредные программы для проникновения в систему. Проверка также показывает, заражена ли машина каким-нибудь трояном или нет и обеспечивает ли браузер полную анонимность пользователя, когда тот работает в сети Интернет. Тест PC Flank занимает не более пяти минут.
И, по традиции, предлагаю очередное средство от вируса SirCam. Червь прописывается в реестр, и в результате любая EXE-программа запускается через зараженный файл scam32.exe. Бесплатная утилита от Константина Нехорошкова ( constant@jenpc.nstu.nsk.su ) — ftp://ftp.km.ru/pub/v01/Soft/Antivirus/anti_i_worm_scam_c.zip (размер файла после распаковки составляет 310 КБ) дело свое знает хорошо: освобождает реестр от меток вируса SirCam. После этого самое время запустить нормальный антивирус, чтобы завершить лечение.
Вирусный ТОП-10. 22-29 августа 2001г.
Источник: www.mcafee.com .
Всего проверено 110590 компьютеров.
ПВО — противовирусная оборона
Tiny Personal Firewall для Win 9x, ME, 2000 и NT. Разработчик: Tiny Software, Inc. ( http://www.tinysoftware.com/ ). Дистрибутив: 1 392 KB. Версия 2.0.14 от 15.06.2001г.
Tiny Personal Firewall представляет собой простой в применении персональный межсетевой экран (брандмауэр) с широкими интеллектуальными возможностями, обеспечивающий абсолютную защиту персональных компьютеров от хакеров, а также от работы троянских программ, логических бомб, утилит удаленного администрирования, рекламно-шпионских модулей и других вредных кодов.
Разработанный на основе технологии, сертифицированной Международной ассоциацией по защите вычислительных систем (ICSA), персональный межсетевой экран является составной частью системы централизованной защиты настольных ПК (ЦЗНС), обеспечивающей безопасность компьютерного парка ВВС США, который состоит примерно из полумиллиона машин. При инсталляции Tiny Personal Firewall по умолчанию активизируется несколько предустановленных правил фильтрации, упрощающих управление межсетевым экраном. В дальнейшем эти правила можно удалить, за исключением правила Loopback, не подлежащего удалению по той причине, что оно обеспечивает связь программы TPF с операционной системой. Это правило удалять нельзя, иначе потом невозможно будет войти в управляющий модуль программы.
В Tiny Personal Firewall реализована поддержка сигнатур MD5. Разрешая или запрещая тем или иным приложениям доступ к аппаратным коммуникационным средствам, механизм обеспечения безопасности настольных систем (DSE — Desktop Security Engine) может одновременно проверять сигнатуры сообщений профиля 5 (MD5) тех приложений, которым этот доступ разрешен. Это перекрывает доступ к коммуникационным средствам так называемым "троянским коням", замаскированным под приложения, обладающим полномочиями доступа. Настройка конфигурации выполняется с применением средств криптографии. Заметим, что если пароль на вход в управляющий модуль утерян, то из этой ситуации можно выйти следующим образом: закрыть программу, войти в каталог установки Tiny Personal Firewall и удалить файл persfw.conf. Но следует учесть, что при этом все персональные настройки будут также удалены и заменены правилами безопасности по умолчанию.
При установке на компьютер, который уже использует программный комплекс WinRoute компании Tiny Software или средства коллективного подключения к Интернету (Internet Connection Sharing) компании Microsoft, возможны сбои в функционировании Tiny Personal Firewall. Поэтому не рекомендуется их использовать одновременно. Для сравнения возможностей Tiny Personal Firewall и других сетевых экранов разработчики предлагают ознакомиться с таблицей, в которой отражены основные технические характеристики брандмауэров. Для домашних пользователей программа бесплатна. Все остальные могут испытывать программу в течение 30 дней. Скачивать отсюда: http://www.tinysoftware.com/ftp/pf/pf2.exe . Для предприятий, учреждений и коммерческого использования цена лицензии от 39USD и ниже, в зависимости от количества пользователей.
Вирусы, которые нас поразили
1. Trojan.JS.Offensive (Tro-jan.Offensive). Троян, который приходит вместе с html-файлом. Этот файл может находиться на каком-нибудь Web-сайте в Интернете. Вирус написан на JavaScript. Троян использует уязвимость в ActiveX control, позволяющую запускать любые скрипты на инфицированной машине. В случае заражения этим трояном необходимо обратиться к специалисту или переустановить Windows.
Очень опасный по своим последствиям троян. После его выполнения в системном реестре Windows создаются и модифицируются десятки ключей, которые блокируют нормальную работу в системе — пользователь не может запустить никакой программы, включая антивирусные средства.
2. WM97/CopyMe-A. Макровирус для Microsoft Word 97. Использует два способа заражения документов. Если документ уже содержит макрос с кодом Document_Open, то вирус будет выполнять инфицирование, вставляя код CopyMe в существующий модуль. Если документ не содержит соответствующий макрос, то вирус создаст его сам, в данном случае — ThisDocument.
3. Marker-JG. Новая модификация макровируса Marker для Microsoft Word 97. Ежемесячно, первого числа, вирус отправляет персональную информацию о пользователе по ftp-протоколу на Web-сайт хакерской группы Codebreakers. Эту информацию вирус вставляет в макрос как комментарий.
Новости
• В Интернете появился новый "троян" — Offensive, который прячется в HTML-файле. Вирус ругает японское правительство и японцев. По данным "Лаборатории Касперского" (www.kaspersky.ru), JS_OFFENSIVE.A (aka FLUG, JS@Juck) — троянская программа, внедренная в HTML-файл, написана на JavaScript. Использует ошибку в ActiveX control, что позволяет выполнять злонамеренные скрипты на пользовательской машине. При открытии инфицированного HTML-файла "троян" создает на компьютере пользователя ActiveX-объект, который запускает на выполнение зловредный скрипт, модифицирующий определенные ключи системного реестра, в результате чего ограничивает пользовательский доступ к компьютеру. Некоторые ограничения, сделанные "трояном":
— отключает/удаляет меню Run;
— делает невозможными изменения в меню Start;
— отключает автозапуск CD-ROM;
— удаляет Favorites из меню Start;
— удаляет меню File из Explorer;
— отключает меню Find;
— удаляет меню Folder-> Options;
— удаляет иконку Internet Explorer с Рабочего Стола и из Windows Explorer;
— отключает документы из меню Documents;
— отключает/удаляет меню LogOff;
— отключает Active Desktop;
— отключает вызов Taskbar по правой кнопке мыши;
— удаляет Windows Update из меню Start;
— отключает desktop (правый клик мыши перестает работать);
— удаляет сетевое окружение;
— отключает любые утилиты для редактирования системного реестра, например REGEDIT;
— удаляет "закладки" в окнах Display Settings и System Properties.
Скрипт также изменяет следующие установки в Internet Explorer:
— заменяет в главном заголовке "Microsoft Internet Explorer" на "If you have any trouble please email:findlu@21cn.com note: not for japanese&dog&pig";
— изменяет кнопку "Related To" в Internet Explorer на "FUCK Japanese" и помещает ее на Toolbar (по умолчанию она имеет атрибут hidden).
В окне Windows Logon "троян" меняет заголовок и текст на следующий: "If you have any trouble please email:findlu@21cn.com note: not for japanese&dog&pig".
"Троян" добавляет вхождение в меню по правому клику мышки на диске: "how to fuck japan".
Также изменяет свойства файлов со следующими расширениями, тем самым не позволяя им работать должным образом: EXE, REG, HTM, HTML, TXT, INF, INI, DLL, SYS, COM, BAT.
Изменяет ключи в секции автозапуска системного реестра, чтобы после каждого старта Windows деинсталлировались следующие программы:
— INTERNAT.EXE
— SCANREG.EXE
— TASKMON.EXE
— SYSTRAY.EXE
— POWPROF.DLL
"Троян" также изменяет два ключа в реестре (LoadPowerProfile и SchedulingAgent), в результате чего Windows выводит сообщения: "fuck japanese" и "fuck japanese government". 29.08.01
• "Лаборатория Касперского" объявила о выпуске бета-версии своей антивирусной программы для SMTP-шлюзов. ПО предназначено для корпоративных сетей. Как отмечают создатели нового продукта, разработка специальной версии антивирусной программы для каждого из сотен существующих типов почтовых серверов — практически невыполнимая задача. Поэтому "Лаборатория Касперского" предлагает универсальное решение — антивирусный SMTP-шлюз, который может работать с любым почтовым сервером.
Фильтрация данных на уровне протокола SMTP позволяет перехватывать все зараженные письма до того, как они попадут на почтовый сервер или уйдут с него. Антивирус проверяет входящий и исходящий SMTP-трафик. Система, встраиваемая между внешней средой и внутренним почтовым сервером, позволяет также предотвращать DoS-атаки по SMTP-протоколу.
Таким образом, локальная сеть будет защищена от попадания "вредоносных кодов всех типов", передаваемых по электронной почте. Проверку проходят сообщения любого уровня вложенности, в том числе вложенные файлы, включая архивированные и сжатые. Внедренная система эвристического анализа защищает даже от неизвестных вирусов.
Представленная программа имеет систему удаленного сетевого управления, модули автоматической загрузки и подключения обновлений антивирусной базы и создания подробных статистических отчетов. Зараженные письма могут, в зависимости от настроек, игнорироваться, блокироваться или сразу удаляться. Кроме того, ПО от Касперского не требует перенастройки почтового сервера.
Выпуск полнофункциональной версии продукта намечен на октябрь 2001 года. Тестовая версия, представленная в настоящее время, работает под управлением операционной системы Linux. В дальнейшем будет введена поддержка FreeBSD, OpenBSD и Solaris (Intel/Sparc). 28.08.01
Антивирус Sophos выбран компанией IP Engine для программ, обслуживающих электронную почту
Британская корпорация Sophos, мировой лидер в корпоративной антивирусной защите, сообщила о том, что 20 августа 2001 года ее программное обеспечение было выбрано компанией IP Engine, разработчиком современных почтовых служб, для интегрирования в свои продукты. IP Engine собирается использовать технологию корпорации Sophos как антивирусный компонент для Mail Warden, — своего решения для электронной почты.
Механизм антивирусной защиты Sophos будет неотъемлемой частью законченной системы защиты электронной почты, предлагаемой Mail Warden. Этот сервис будет обеспечивать не только антивирусную защиту, но и уникальную защиту против спама, фильтрование опасного содержимого и присоединенных файлов.
"Sophos Anti-Virus сочетает в себе отличную скорость проверки и легкость интеграции с исключительной надежностью, что делает его очевидным выбором для продуктов Mail Warden, — объяснил Брайан Филипсон (Brian Philipson), управляющий директор IP Engine. — Это сотрудничество позволит нам разработать антивирусную защиту высшего уровня в составе законченной службы безопасности".
"Недавние события, связанные с такими вирусами, как Sircam и Magistr, ясно показали, что угроза пострадать от вирусов, приходящих с электронной почтой, все еще остается высокой, — комментирует Грехам Клюлей (Graham Cluley), старший консультант по технологии антивируса Sophos. — Установка защиты на уровне Интернет образовывает значительную часть любой стратегии по компьютерной безопасности, и мы рады, что именно наша технология была выбрана для формирования антивирусного компонента этих продуктов".
Существуют две версии этого продукта: Mail Warden Unlimited, в котором все свойства можно конфигурировать, и Mail Warden Lite, где будет предлагаться защита против вирусов и спама. Пользователям не потребуется менять своего текущего Интернет-сервис провайдера (ISP) для эффективного применения этих продуктов. Технология антивируса Sophos будет обеспечивать элемент антивирусной защиты в этих двух программах.
Компания IP Engine образована в 2000 году группой профессионалов, работавших ранее на одного из самых крупных Интернет-провайдеров Великобритании. Цель компании — разрабатывать новые инструментальные средства для контроля над глобальной электронной почтой для сохранения ценного времени пользователей, которое может быть потрачено на борьбу с вирусами, спамом и прочее. 20.08.2001
Доктор М macrofag@hotbox.ru
(c) компьютерная газета
Уильям Ослер
Компания FRISK Software International улучшила один из самых известных и эффективных антивирусных продуктов, существующих на компьютерном рынке. Речь идет о пакете F-Prot Antivirus version 3.10b. Новая версия антивируса (о предыдущей версии 3.09а мы писали в КГ №25 от 10.07.01г.) разработана специально для работы в компьютерных системах, на которых установлена операционная система Windows 95, 98, ME, NT, 2000 и уже хорошо знакомая многим Windows XP.
F-Prot Antivirus for Windows — это идеальный инструмент для всех пользователей. Он может удовлетворить высокие требования профессионалов и в то же время с ним без труда может разобраться и начинающий пользователь. Антивирусный пакет легок в использовании, имеет простой, понятный интерфейс, который предлагает большие возможности по гибкой настройке нужных программ. В то же самое время антивирус может быть запущен и в режиме командной строки. Компьютерный пользователь может сканировать гибкие дискеты, локальные и сетевые диски, а также избирательно необходимые папки и файлы. Программа может быть установлена как на отдельных компьютерах домашних пользователей, так и на рабочих станциях локальной сети.
Пакет F-Prot Antivirus for Windows имеет ряд компонентов, которые помогут пользователям держать их систему недоступной для вирусов, backdoors, троянов и других вредных кодов.
Продукт состоит из следующих программ:
— OnDemand Scanner — основная программа для доступа к другим компонентам антивируса.
— RealTime Protector — монитор (резидентный сторож), который постоянно наблюдает за всеми процессами, происходящими в системе.
— Updater — утилита для обновления баз данных вирусных сигнатур (virus definition files).
— Scheduler — планировщик для запуска по расписанию программ OnDemand Scanner и Updater.
— F-Prot Antivirus for DOS — антивирус для DOS.
— Integrity Checker — ведет базу данных и отслеживает изменения, произведенные пользователем.
F-Prot Antivirus for Windows может обнаружить и удалить не только все файловые вирусы, но и загрузочные, а также макровирусы, троянов, червей и другие вредные и разрушительные коды. Антивирус F-Prot Antivirus for Windows версии 3.10b обнаруживает около 55 800 различных вредных программ. Пользователь может быть всегда уверен, что появившийся вирус будет незамедлительно добавлен в базу данных F-Prot для обнаружения лечения. Тестовую версию этого антивируса можно бесплатно скачать отсюда: ftp://ftp.frisk.is/pub/fp-win_trial.zip .
Другая антивирусная компания-разработчик из Индии — Cat Computer Services (P) Ltd, Индия ( http://www.quickheal.com ) — спустя полгода после выхода последней версии своего продукта Quick Heal AntiVirus for Windows 95/98/NT (см. КГ №13 от 03.04.01г.), также порадовала своих пользователей обновленным вариантом антивируса. В новую версию Quick Heal 6.02 внесено более десятка значительных изменений. Благодаря этому антивирус стал еще более надежным и удобным в работе.
Среди новых свойств программы следует отметить Sensor ("Датчик") — технологию, разработанную для борьбы с угрозами, исходящими от новых троянов, червей и утилит удаленного администрирования. Sensor проверяет самые опасные места системы и в случае обнаружения вредного кода обезвреживает его раньше, чем тот успеет нанести какой-либо вред. Пользователи Outlook Express 5.0 могут спокойно доверить свой почтовый ящик антивирусу Quick Heal 6.02, который не только умеет декодировать присоединенные файлы в формате UUENCODE/MIME/BinHex(Base 64), но и удаляет найденные вирусы из файлов *.DBX (почтовые файлы Outlook Express). При этом паразиты, аналогичные Kak Worm, которые прячутся внутри писем, будут 100% выявлены.
Кроме этого, антивирус Quick Heal 6.02 годится для пользователей почтовых клиентов Eudora, Outlook 2000/XP, а также офисного продукта MS Office 2000/XP. Всесторонняя и полная защита электронных документов, таблиц и презентаций гарантируется разработчиками. Не обошли они вниманием и формат *.SHS. В нем могут находиться исполняемые коды, которые могут нанести непоправимый вред компьютеру. Антивирус сканирует несколько объектов, вложенных в этот файл. В новом Quick Heal 6.02 добавилась возможность изолирования подозрительного файла — функция Карантина. Появилась кнопка для автоматического обновления баз данных вирусных сигнатур. Обновления, по желанию пользователя, можно делать ежедневно, еженедельно или ежемесячно.
И, самое главное, значительно улучшены механизмы сканирования памяти и файлов на диске. А проверка макросов ускорилась почти в 2 раза. Все это делает Quick Heal 6.02 одним из самых быстрых антивирусов в мире. Пробную версию Quick Heal 6.02 на 30 дней можно скачать отсюда: ftp://ftp.ip.pt/pub/tucows/files4/qh32v602.exe .
Наверное, у многих могло сложиться не совсем верное мнение о том, что для проверки компьютера на вирусы обязательно надо что-то скачивать с Интернета и инсталлировать в систему. Это не так! Чтобы проверить компьютер на наличие каких-либо вредных программ, можно воспользоваться бесплатным онлайновым сервисом, который предлагают многие Web-сайты, ориентированные на борьбу с вирусной заразой. Одним из таких сайтов является PC Flank, предлагающий на странице http://www.pcflank.com/test.htm всем желающим протестировать свою компьютерную систему на безопасность онлайнового соединения. Тест выявляет все уязвимые места компьютера, которыми могут воспользоваться злоумышленники и вредные программы для проникновения в систему. Проверка также показывает, заражена ли машина каким-нибудь трояном или нет и обеспечивает ли браузер полную анонимность пользователя, когда тот работает в сети Интернет. Тест PC Flank занимает не более пяти минут.
И, по традиции, предлагаю очередное средство от вируса SirCam. Червь прописывается в реестр, и в результате любая EXE-программа запускается через зараженный файл scam32.exe. Бесплатная утилита от Константина Нехорошкова ( constant@jenpc.nstu.nsk.su ) — ftp://ftp.km.ru/pub/v01/Soft/Antivirus/anti_i_worm_scam_c.zip (размер файла после распаковки составляет 310 КБ) дело свое знает хорошо: освобождает реестр от меток вируса SirCam. После этого самое время запустить нормальный антивирус, чтобы завершить лечение.
Вирусный ТОП-10. 22-29 августа 2001г.
Название | Число зараженных компьютеров | % |
| W32/Magistr@MM | 9561 | 8.65 |
| W32/SirCam@MM | 6518 | 5.89 |
| VBS/LoveLetter@MM | 5272 | 4.77 |
| W32/SirCam@dat | 3287 | 2.97 |
| PornDial9 | 3195 | 2.89 |
| W32/Hybris.gen@MM | 2768 | 2.50 |
| W32/FunLove.gen | 2451 | 2.22 |
| BackDoor-NK.svr | 1310 | 1.18 |
| W32/Hai.worm | 1111 | 1.00 |
| W32/Kriz.4050 | 1075 | 0.97 |
Всего проверено 110590 компьютеров.
ПВО — противовирусная оборона
Tiny Personal Firewall для Win 9x, ME, 2000 и NT. Разработчик: Tiny Software, Inc. ( http://www.tinysoftware.com/ ). Дистрибутив: 1 392 KB. Версия 2.0.14 от 15.06.2001г.
Tiny Personal Firewall представляет собой простой в применении персональный межсетевой экран (брандмауэр) с широкими интеллектуальными возможностями, обеспечивающий абсолютную защиту персональных компьютеров от хакеров, а также от работы троянских программ, логических бомб, утилит удаленного администрирования, рекламно-шпионских модулей и других вредных кодов.
Разработанный на основе технологии, сертифицированной Международной ассоциацией по защите вычислительных систем (ICSA), персональный межсетевой экран является составной частью системы централизованной защиты настольных ПК (ЦЗНС), обеспечивающей безопасность компьютерного парка ВВС США, который состоит примерно из полумиллиона машин. При инсталляции Tiny Personal Firewall по умолчанию активизируется несколько предустановленных правил фильтрации, упрощающих управление межсетевым экраном. В дальнейшем эти правила можно удалить, за исключением правила Loopback, не подлежащего удалению по той причине, что оно обеспечивает связь программы TPF с операционной системой. Это правило удалять нельзя, иначе потом невозможно будет войти в управляющий модуль программы.
В Tiny Personal Firewall реализована поддержка сигнатур MD5. Разрешая или запрещая тем или иным приложениям доступ к аппаратным коммуникационным средствам, механизм обеспечения безопасности настольных систем (DSE — Desktop Security Engine) может одновременно проверять сигнатуры сообщений профиля 5 (MD5) тех приложений, которым этот доступ разрешен. Это перекрывает доступ к коммуникационным средствам так называемым "троянским коням", замаскированным под приложения, обладающим полномочиями доступа. Настройка конфигурации выполняется с применением средств криптографии. Заметим, что если пароль на вход в управляющий модуль утерян, то из этой ситуации можно выйти следующим образом: закрыть программу, войти в каталог установки Tiny Personal Firewall и удалить файл persfw.conf. Но следует учесть, что при этом все персональные настройки будут также удалены и заменены правилами безопасности по умолчанию.
При установке на компьютер, который уже использует программный комплекс WinRoute компании Tiny Software или средства коллективного подключения к Интернету (Internet Connection Sharing) компании Microsoft, возможны сбои в функционировании Tiny Personal Firewall. Поэтому не рекомендуется их использовать одновременно. Для сравнения возможностей Tiny Personal Firewall и других сетевых экранов разработчики предлагают ознакомиться с таблицей, в которой отражены основные технические характеристики брандмауэров. Для домашних пользователей программа бесплатна. Все остальные могут испытывать программу в течение 30 дней. Скачивать отсюда: http://www.tinysoftware.com/ftp/pf/pf2.exe . Для предприятий, учреждений и коммерческого использования цена лицензии от 39USD и ниже, в зависимости от количества пользователей.
Разработчик | Tiny Software | Aladdin | Zone Labs | Network Ice | McAfee | Symantec | Sybergen Networks |
Продукт: | Personal Firewall | eSafe | Zone Alarm | Black Ice v2.1 | Firewall | Desktop Firewall | Sygate Personal Firewall |
ФУНКЦИИ | |||||||
Поддержка сигнатур MD5 | ДА | НЕТ | ДА | НЕТ | НЕТ | НЕТ | НЕТ |
Удаленное администрирование | ДА | ДА | НЕТ | НЕТ | НЕТ | НЕТ | НЕТ |
Протоколирование через системный сервер | ДА | НЕТ | НЕТ | НЕТ | НЕТ | НЕТ | НЕТ |
Временные интервалы | ДА | ДА | НЕТ | НЕТ | НЕТ | НЕТ | НЕТ |
Авторизация входа в систему | ДА | ДА | ДА | НЕТ | ДА | НЕТ | ДА |
Размер дистрибутива | 1324 Kб | 9840 Kб | 1920 Kб | 2910 Kб | 7650 Kб | 43377 Kб | 2690 Kб |
Цена для дома | Бесплатно | Бесплатно | Бесплатно | $ 39.95 | $ 39.95 | $ 49.95 | Бесплатно |
1. Trojan.JS.Offensive (Tro-jan.Offensive). Троян, который приходит вместе с html-файлом. Этот файл может находиться на каком-нибудь Web-сайте в Интернете. Вирус написан на JavaScript. Троян использует уязвимость в ActiveX control, позволяющую запускать любые скрипты на инфицированной машине. В случае заражения этим трояном необходимо обратиться к специалисту или переустановить Windows.
Очень опасный по своим последствиям троян. После его выполнения в системном реестре Windows создаются и модифицируются десятки ключей, которые блокируют нормальную работу в системе — пользователь не может запустить никакой программы, включая антивирусные средства.
2. WM97/CopyMe-A. Макровирус для Microsoft Word 97. Использует два способа заражения документов. Если документ уже содержит макрос с кодом Document_Open, то вирус будет выполнять инфицирование, вставляя код CopyMe в существующий модуль. Если документ не содержит соответствующий макрос, то вирус создаст его сам, в данном случае — ThisDocument.
3. Marker-JG. Новая модификация макровируса Marker для Microsoft Word 97. Ежемесячно, первого числа, вирус отправляет персональную информацию о пользователе по ftp-протоколу на Web-сайт хакерской группы Codebreakers. Эту информацию вирус вставляет в макрос как комментарий.
Новости
• В Интернете появился новый "троян" — Offensive, который прячется в HTML-файле. Вирус ругает японское правительство и японцев. По данным "Лаборатории Касперского" (www.kaspersky.ru), JS_OFFENSIVE.A (aka FLUG, JS@Juck) — троянская программа, внедренная в HTML-файл, написана на JavaScript. Использует ошибку в ActiveX control, что позволяет выполнять злонамеренные скрипты на пользовательской машине. При открытии инфицированного HTML-файла "троян" создает на компьютере пользователя ActiveX-объект, который запускает на выполнение зловредный скрипт, модифицирующий определенные ключи системного реестра, в результате чего ограничивает пользовательский доступ к компьютеру. Некоторые ограничения, сделанные "трояном":
— отключает/удаляет меню Run;
— делает невозможными изменения в меню Start;
— отключает автозапуск CD-ROM;
— удаляет Favorites из меню Start;
— удаляет меню File из Explorer;
— отключает меню Find;
— удаляет меню Folder-> Options;
— удаляет иконку Internet Explorer с Рабочего Стола и из Windows Explorer;
— отключает документы из меню Documents;
— отключает/удаляет меню LogOff;
— отключает Active Desktop;
— отключает вызов Taskbar по правой кнопке мыши;
— удаляет Windows Update из меню Start;
— отключает desktop (правый клик мыши перестает работать);
— удаляет сетевое окружение;
— отключает любые утилиты для редактирования системного реестра, например REGEDIT;
— удаляет "закладки" в окнах Display Settings и System Properties.
Скрипт также изменяет следующие установки в Internet Explorer:
— заменяет в главном заголовке "Microsoft Internet Explorer" на "If you have any trouble please email:findlu@21cn.com note: not for japanese&dog&pig";
— изменяет кнопку "Related To" в Internet Explorer на "FUCK Japanese" и помещает ее на Toolbar (по умолчанию она имеет атрибут hidden).
В окне Windows Logon "троян" меняет заголовок и текст на следующий: "If you have any trouble please email:findlu@21cn.com note: not for japanese&dog&pig".
"Троян" добавляет вхождение в меню по правому клику мышки на диске: "how to fuck japan".
Также изменяет свойства файлов со следующими расширениями, тем самым не позволяя им работать должным образом: EXE, REG, HTM, HTML, TXT, INF, INI, DLL, SYS, COM, BAT.
Изменяет ключи в секции автозапуска системного реестра, чтобы после каждого старта Windows деинсталлировались следующие программы:
— INTERNAT.EXE
— SCANREG.EXE
— TASKMON.EXE
— SYSTRAY.EXE
— POWPROF.DLL
"Троян" также изменяет два ключа в реестре (LoadPowerProfile и SchedulingAgent), в результате чего Windows выводит сообщения: "fuck japanese" и "fuck japanese government". 29.08.01
• "Лаборатория Касперского" объявила о выпуске бета-версии своей антивирусной программы для SMTP-шлюзов. ПО предназначено для корпоративных сетей. Как отмечают создатели нового продукта, разработка специальной версии антивирусной программы для каждого из сотен существующих типов почтовых серверов — практически невыполнимая задача. Поэтому "Лаборатория Касперского" предлагает универсальное решение — антивирусный SMTP-шлюз, который может работать с любым почтовым сервером.
Фильтрация данных на уровне протокола SMTP позволяет перехватывать все зараженные письма до того, как они попадут на почтовый сервер или уйдут с него. Антивирус проверяет входящий и исходящий SMTP-трафик. Система, встраиваемая между внешней средой и внутренним почтовым сервером, позволяет также предотвращать DoS-атаки по SMTP-протоколу.
Таким образом, локальная сеть будет защищена от попадания "вредоносных кодов всех типов", передаваемых по электронной почте. Проверку проходят сообщения любого уровня вложенности, в том числе вложенные файлы, включая архивированные и сжатые. Внедренная система эвристического анализа защищает даже от неизвестных вирусов.
Представленная программа имеет систему удаленного сетевого управления, модули автоматической загрузки и подключения обновлений антивирусной базы и создания подробных статистических отчетов. Зараженные письма могут, в зависимости от настроек, игнорироваться, блокироваться или сразу удаляться. Кроме того, ПО от Касперского не требует перенастройки почтового сервера.
Выпуск полнофункциональной версии продукта намечен на октябрь 2001 года. Тестовая версия, представленная в настоящее время, работает под управлением операционной системы Linux. В дальнейшем будет введена поддержка FreeBSD, OpenBSD и Solaris (Intel/Sparc). 28.08.01
Антивирус Sophos выбран компанией IP Engine для программ, обслуживающих электронную почту
Британская корпорация Sophos, мировой лидер в корпоративной антивирусной защите, сообщила о том, что 20 августа 2001 года ее программное обеспечение было выбрано компанией IP Engine, разработчиком современных почтовых служб, для интегрирования в свои продукты. IP Engine собирается использовать технологию корпорации Sophos как антивирусный компонент для Mail Warden, — своего решения для электронной почты.
Механизм антивирусной защиты Sophos будет неотъемлемой частью законченной системы защиты электронной почты, предлагаемой Mail Warden. Этот сервис будет обеспечивать не только антивирусную защиту, но и уникальную защиту против спама, фильтрование опасного содержимого и присоединенных файлов.
"Sophos Anti-Virus сочетает в себе отличную скорость проверки и легкость интеграции с исключительной надежностью, что делает его очевидным выбором для продуктов Mail Warden, — объяснил Брайан Филипсон (Brian Philipson), управляющий директор IP Engine. — Это сотрудничество позволит нам разработать антивирусную защиту высшего уровня в составе законченной службы безопасности".
"Недавние события, связанные с такими вирусами, как Sircam и Magistr, ясно показали, что угроза пострадать от вирусов, приходящих с электронной почтой, все еще остается высокой, — комментирует Грехам Клюлей (Graham Cluley), старший консультант по технологии антивируса Sophos. — Установка защиты на уровне Интернет образовывает значительную часть любой стратегии по компьютерной безопасности, и мы рады, что именно наша технология была выбрана для формирования антивирусного компонента этих продуктов".
Существуют две версии этого продукта: Mail Warden Unlimited, в котором все свойства можно конфигурировать, и Mail Warden Lite, где будет предлагаться защита против вирусов и спама. Пользователям не потребуется менять своего текущего Интернет-сервис провайдера (ISP) для эффективного применения этих продуктов. Технология антивируса Sophos будет обеспечивать элемент антивирусной защиты в этих двух программах.
Компания IP Engine образована в 2000 году группой профессионалов, работавших ранее на одного из самых крупных Интернет-провайдеров Великобритании. Цель компании — разрабатывать новые инструментальные средства для контроля над глобальной электронной почтой для сохранения ценного времени пользователей, которое может быть потрачено на борьбу с вирусами, спамом и прочее. 20.08.2001
Доктор М macrofag@hotbox.ru
(c) компьютерная газета
Компьютерная газета. Статья была опубликована в номере 33 за 2001 год в рубрике безопасность :: Антивирусное обозрение
