Фирма IBM разработала одноразовый персональный компьютер — самое надежное средство от компьютерных вирусов.

Антивирусное обозрение "Фирма IBM разработала одноразовый персональный компьютер — самое надежное средство от компьютерных вирусов". Анекдот

Вот и кончилось лето. Жаль. Но даже летом количество вирусов не убавилось, а даже наоборот — возросло. Это говорит о том, что вирмейкеры не загорали на пляжах, отдыхая от своих черных дел. Они готовили для миллионов компьютерных пользователей, не подозревающих ничего плохого, свои новые вирусы, более изощренные и коварные.
Недавно "Лаборатория Касперского" сообщила об обнаружении Интернет-червя Lara — первой вредоносной программы, распространяющейся в файлах оформления рабочего стола (Desktop Themes). Теперь любители украшать свой рабочий стол всякими красивыми картинками и темами должны быть более бдидетельны.
Lara распространяется исключительно по каналам IRC (Internet Relay Chat), передавая на удаленные компьютеры файл-носитель червя "LaraCroft.theme". Имя файла вводит пользователей в заблуждение, маскируясь под схему оформления рабочего стола Windows по сюжету популярного фильма с одноименной героиней в главной роли. В действительности, после запуска инфицированного файла "Lara" сканирует доступные диски, определяет местонахождение программы для общения по IRC (mIRC-клиента) и модифицирует ее системные файлы. В результате червь посылает свои копии всем пользователям, подключившимся к тем же каналам, что и зараженный компьютер.
Евгений Касперский, руководитель антивирусных исследований компании, так прокомментировал это событие: "Мы классифицируем "Lara" как, скорее, концептуальный вредоносный код. Простота его обнаружения и удаления, а также относительно низкая популярность IRC-каналов определяют невозможность возникновения глобальной вирусной эпидемии".
Была также обнаружена новая модификация опасного вируса Magistr. В Magistr.b используется переработанный алгоритм шифрования кода вируса, изменены процедуры распространения по локальной сети и электронной почте и появились новые деструктивные компоненты.
Что делает "умный" червь? Он отключает программу ZoneAlarm, очищает содержимое памяти CMOS, уничтожает все файлы на всех дисках, портит содержимое микросхемы FLASH BIOS и перезаписывает файлы-загрузчики операционной системы win.com и ntldr. Последнее приводит к тому, что при последующих перезагрузках компьютера все данные на локальных и сетевых дисках будут удалены.
В дополнение к файлам форматов .DOC и .TXT, вирус может прикреплять к рассылаемым им зараженным письмам файлы .GIF. Magistr.b последовательно перебирает следующие имена сетевых ресурсов для внедрения на них копии вируса: "WINNT", "WINDOWS", "WIN95", "WIN98", "WINME", "WIN2000", "WIN2K", "WINXP". Все это делает процесс распространения вируса гораздо более эффективным и значительно увеличивает его успешность.
Впрочем, не стоит думать, что эти летом только вирусописатели сидели за компьютерами. Разработчики антивирусных программ тоже не прохлаждались.
Так, например, появилась новая версия антитроянской утилиты Anti-Trojan 5.5.357. Скачивать бесплатную версию на две недели пробного использования отсюда (5288КБ): http://www.pizzamen.de/download/english/ATro55en.exe . Австрийские программисты усилили свой продукт новыми возможностями. Теперь Anti-Trojan можно запускать из командной строки, что позволяет выполнить тонкую настройку программы для ее запуска по расписанию в удобное для пользователя время.
Кроме этого, утилита обеспечивает защиту в фоновом режиме, а плагин "закрыть порт" позволяет закрыть (блокировать) некоторые порты по желанию пользователя. Расширилась поддержка архивных форматов (RAR, SFX).

Вирусы, которые нас поразили
С каждым днем компьютерные вирусы становятся все хитрее, умнее и изобретательнее. Некоторые из них, как, например, полиморфный вирус Cuerpo, меняют свое "лицо" (программный код), стремясь стать менее заметными и трудными для опознавания. Другие, как червь Invalid, маскируются под антивирусные заплатки. Но, что бы они ни делали, на самом деле для своего распространения вирусы используют только две основные вещи: известные уязвимости в защите программного обеспечения и наивность пользователей, бездумно открывающих все файлы подряд, пришедшие по почте. Стоит лишь установить все необходимые "заплатки" (задача программистов и администраторов компьютерных систем) и обучить пользователей основам безопасной работы за компьютером (которые обычно ничего не хотят знать), как все вирусные эпидемии сразу станут событиями далекого прошлого.

1. VBS.Cuerpo.A@mm (он же I-Worm.Cuervo). Интернет-червь, распространяется по электронной почте. Степень опасности низкая. Приходит в теле зараженного сообщения и использует дыру в Scriptlet.TypeLib.
Червь инфицирует компьютеры под управлением операционной системы MS Windows 95/98/ME с установленным браузером Internet Explorer 5.0. Вирус не имеет постоянных признаков ни в письме, с которым он приходит ("Тема", тело сообщения и имя присоединенного файла), ни в своем коде.
Вирус содержится в двух частях письма: в HTML-скрипте и вложенном файле. Если на компьютере не установлена "заплатка", устраняющая уязвимость в Scriptlet.TypeLib, то вирусный HTML-скрипт выполняется сразу в момент чтения письма. Для активизации червя из присоединенного файла необходимо, чтобы пользователь запустил его на выполнение.
Cuerpo использует одновременно два способа массовой рассылки с зараженной машины: непосредственно через почтовую программу Outlook и с помощью отсылки найденных баз данных электронных адресов (просматривает файлы с расширениями txt, na2, wab, mbx, dbx, dat) на удаленный Web-сайт, откуда и происходит рассылка вируса в автоматическом режиме.
Кроме этого, червь изменяет стартовый адрес браузера Internet Explorer на пустую страницу, чтобы через 4 дня установить его на "http://www.freedonation.com".

2. I-Worm.Invalid (он же Win32.Invalid.A@mm, W32.https.worm). Интернет-червь, распространяется по электронной почте. Степень опасности средняя. Написан на ассемблере. Размер вируса — 12 288 байт. Приходит в виде сообщения на английском языке.

В случае обнаружения Интернет-соединения вирус начинает поиск файлов *.HT* в папке "Мои документы". В каждом файле он ищет строку "mailto:" и в случае ее нахождения червь использует обнаруженный электронный адрес и отсылает сам себя через соединение с сервером "mail.bezeqint.net", используя протокол SMTP.
От кого: "Microsoft Support" support@microsoft.com
Тема: Invalid SSL Certificate
Присоединенный файл: sslpatch.exe
В тексте письма говорится о том, что корпорации "Майкрософт" стало известно об ошибке в сертификате SSL, который обычно устанавливается для использования защищенного протокола https.
Во время инсталляции якобы возникает ошибка переполнения буфера в Microsoft Internet Explorer, что позволяет злоумышленникам получить доступ к компьютеру пользователя. Чтобы избежать этого, необходимо установить (очень рекомендуется) патч, который находится в присоединенном файле.
Надо ли говорить о том, что, вместо антивирусной заплатки от программного монополиста, беспечные пользователи получают опасный вирус? После удачной (или неудачной) рассылки зараженных сообщений червь шифрует все EXE-файлы в текущем и родительских каталогах, используя стандарт Windows crypto API.

ПВО — противовирусная оборона
Active Email Monitor (AEM). Разработчик: VCW, Victor Sazhin aka VicMan (VicMan software) ( www.emailmon.com ). Дистрибутив: 770 KB. Версия 2.05 от 27.08.2001г.
Active Email Monitor — это программа, предназначенная для автоматической проверки одного и более ящиков электронной почты (через определенные промежутки времени) и фильтрации нежелательных сообщений. Использование фильтров позволяет AEM, в отличие от обычных почтовых клиентов, автоматически удалять ненужные письма, не скачивая их с сервера.
Впрочем, если письмо прошло все фильтры и оказалось Вам не нужно, вы тоже можете его удалить, не загружая каналы Интернета ненужным трафиком. В качестве примеров в AEM приводятся следующие фильтры: для почтовых адресов, откуда идет спам; для больших сообщений (допустим, бандероль весом более 500 КБ до Вас не дойдет, да она Вам и ни к чему); для писем, в которых могут прятаться известные вирусы, черви, почтовые бомбы, трояны, часто пересылаемые по почте; прочие бесполезные сообщения.
Следует заметить, что программа легко может защитить Ваши почтовые ящики от таких вирусов, как Melissa, I LOVE YOU и аналогичных.
Для настройки программы на обнаружение конкретного вируса нужно вписать в поля фильтра "От", "Кому", "Тема" и прочее ключевые слова, которые будут однозначно идентифицировать входящее письмо, как содержащее вирус. А что, если по ошибке программа удалит какое-нибудь важное, но безвредное письмо, если условия фильтра вдруг совпадут? Не стоит беспокоиться. Вы можете выставить параметр "Удалять письмо по запросу" и перед тем, как сделать непоправимое, Active Email Monitor будет всегда спрашивать разрешение пользователя.
В программе существует 3 типа фильтров: запрашивающий об удалении сообщений, удаляющий сообщения и удаляющий дубликаты сообщений. Дубликаты — это два сообщения, имеющие одинаковый размер, тему, отправителя и адресата. При этом они теоретически могут содержать различную информацию. Поэтому рекомендуется работать с этим фильтром аккуратно и включать его лишь в исключительных случаях, когда пользователь точно уверен в своих действиях.
Фильтрация происходит следующим образом: вначале сообщения проходят через фильтры 2-го типа, потом 3-го и оставшиеся — через фильтры 1-го типа. Если сообщение не прошло хотя бы один из фильтров 2-го или 3-го типа, которых может быть почти неограниченное число, то оно будет стерто без предупреждения.
AEM комплектуется обновляемой базой фильтров по вирусам и спаммерам. Когда пользователь фильтрует свой почтовый ящик, то сообщения проходят не только внешние, настраиваемые фильтры, но и внутренние фильтры программы.
По умолчанию AEM каждые 180 секунд выполняет автообновление — опрашивает отмеченные ящики на наличие новых сообщений, но это значение легко может быть изменено пользователем, как в сторону увеличения, так и уменьшения. Во время автообновления нельзя производить никаких действий. После получения заголовков всех сообщений, появляется вкладка "Сообщения".
В списке сообщений высвечиваются их темы, а также другие параметры, по которым можно выполнять сортировку.
Если что-либо написано непонятно в ошибочной кодировке или текст не умещается в поле, то, наведя мышь на проблемное поле, можно будет увидеть в виде подсказки список возможных вариантов.
Чтобы стереть сообщения, надо отметить их с помощью флажков слева в списке и нажать кнопку "Стереть отмеченные".
Программа может находиться в системном трее и оповещать пользователя о новых письмах, показывать отправителя, получателя, размер и тему сообщения.
Скачивать отсюда: http://www.vicman.net/soft/vemerins.exe . Программа платная — регистрация стоит 19.95 USD. Для отечественных покупателей (из бывшего СССР) установлена специальная цена — 100 рублей. Зарегистрированные пользователи могут автоматически проверять неограниченное число ящиков, а также получают возможность обновлять базу антивирусных фильтров, бесплатно получать техническую поддержку и все следующие версии программы.

Вирусный ТОП-10. Август 2001г.


Название Позиция Количество сообщений, % W32/Sircam-A 1 48.9% W32/Magistr-A 2 13.0% U
nix/SadMind и W32/Hybris-B 3 и 4 по 3.6% W32/Apology-B 5 2.6% W32/Flcss 6 2.3% VBS/Kakworm 7 2.1% WM
97/Ethan 8 1.4% W32/CodeRed-II 9 1.2% VBS/Haptime-A 10 1.1% Все остальные 11... 20.2%
"Два месяца подряд лидирует в вирусном рейтинге вирус Sircam. Червь Magistr, занимавший первую строку в списке самых опасных вирусов за полгода, продолжает оставаться в нем, перейдя лишь на вторую позицию, — комментирует Грэм Клюлей (Graham Cluley), старший консультант по технологии антивируса Sophos. — Оба червя используют похожие уловки — никто из них не применяет фиксированное имя файла или строку в теме письма, что мешает пользователям точно узнать, с чем они имеют дело. Беззаботное кликанье может привести к катастрофе. Необходимо обновлять свои антивирусные программы и не открывать нежелательные присоединенные файлы".

В августе 2001 года в базу данных антивируса Sophos добавились сигнатуры 1051 нового вируса, и их общее количество составило 67221.
Источник: www.sophos.com

В Китае обнаружен новый сетевой вирус под названием Code Blue
Китайские специалисты по компьютерным технологиям из города Тянцзинь обнаружили в китайских сетях новый вирус-червь, схожий со знаменитым вирусом Code Red ("красный код") — он называется Code Blue.
По данным Reuters, о новом вирусе известно только то, что он самостоятельно распространяется по Интернету и использует "иные дефекты программного обеспечения", нежели Code Red.
Кроме того, со ссылкой на агентство "Синьхуа" сообщается, что зараженные вирусом компьютеры замедляют работу, что может привести к остановке работы операционной системы.
Китайский полицейский эксперт, отказавшийся назвать свое имя, заявил, что их организация изучает проблему, а примерное количество зараженных систем пока неизвестно.
Как сообщалось ранее, вирус Code Red в ходе своей деятельности нанес ущерб на сумму около 2,5 миллиардов долларов.
Накануне был также обнаружен червь Code Green, который устраняет следы деятельности Code Red и его более опасной модификации Code Red II. 07.09.01

Стоимость ущерба, нанесенного вирусами, достигла $10,7 млрд
В этом году стоимость ущерба, нанесенного компьютерными вирусами, достигла уже $10,7 млрд против 17,1 млрд в 2000 и 12,1 млрд в 1999 г. Как показало исследование, проведенное Computer Economics, ущерб от Code Red достиг $2,6 млрд, причем 1,1 млрд стоили работы по восстановлению компьютеров и 1,5 млрд — производственные потери.
Другой вирус — Sircam — нанес ущерб в размере $1,035 млрд. Ущерб, нанесенный Love Bug, достиг в этом году 8,7 млрд. Вице-президент Computer Economics по исследованиям Майкл Эрбшлоу (Michael Erbschloe) считает, что к концу 2001 г. ущерб достигнет $15 млрд, и это при условии, что не появится новых разрушительных вирусов. 03.09.01

Доктор М macrofag@hotbox.ru

(c) компьютерная газета


Компьютерная газета. Статья была опубликована в номере 34 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2024 Компьютерная газета