От врачей и учителей требуют чуда, а если чудо свершится — никто не удивляется.

Антивирусное обозрение
"
От врачей и учителей требуют чуда, а если чудо свершится — никто не удивляется.
Мария фон Эбнер-Эшенбах"


"Красный, желтый, голубой, выбирай себе любой!"
Детская считалочка

Вот и дождались! На смену "Красному коду" пришел "код Синий". Подобно своему предшественнику, он поражает Microsoft IIS-серверы, использует для проникновения на них, правда, другую брешь в системе безопасности — Web Directory Traversal, которая была обнаружена почти год назад, в октябре 2000 г. Пытаясь захватить все ресурсы инфицированного компьютера, "Синий" препятствует стараниям "Красного кода" проникнуть на сервер IIS. Первые сообщения об угрозе эпидемии "Синим" поступили с Китая. Предполагается, что вирус был создан в одном из китайских университетов после анализа кода червя "Красного".

По своим возможностям "Синий" более опасен для пользователей Windows NT и Windows 2000, чем его "учитель", потому что Code Blue более интесивно использует ресурсы компьютера, полностью парализуя его работу. После инсталляции вирус, как и его аналог, производит DoS-атаку (Denial of Service) на сервер http://www.nsfocus.com .

Но и это еще не все! 07 сентября 2001 года стало известно о существовании еще одного Интернет-червя — "Зеленый код" (CodeGreen), который разработан специально для борьбы с "Красным кодом" немецким программистом, назвавшим себя Herbert HexXer.

CodeGreen работает в системе, ожидая атаки Code Red. Когда CodeGreen обнаружит нападение "Красного кода", он запускает механизм контратаки, которая удаляет Code Red и инсталлирует "Зеленый код" в атакующую систему.

Кроме того, CodeGreen определяет установленный язык операционной системы и затем загружает заплату от Microsoft для "Красного кода", чтобы устранить существующую уязвимость. CodeGreen также сканирует другие системы, зараженные "Красным кодом", и тоже пытается их исправлять.

Так же как и "Красный код", "Зеленый" присутствует только в памяти компьютера. Это означает, что обычная перезагрузка системы уничтожит червя. Создатель CodeGreen сказал, что хотя он успешно протестировал свою разработку на немецкой языковой системе, он не гарантирует, что его "добрый гринписовский вирус" будет эффективно работать на других языках.

И все равно "Зеленый" является вирусом, хотя и с хорошими намерениями, потому что его действия подразумевают несанкционированный доступ к другим системам, а так поступают только вредные программы.

Однако, обновляется не только мир вирусов, но и антивирусов.

05 сентября 2001 года вышла очередная версия регулярно обновляемой программы против троянов Trojan Remover 4.3.8. Теперь ее база данных включает 2260 троянов и червей, включая их варианты. Полностью рабочую копию программы на 30 дней пробного использования брать отсюда: http://www.simplysup.com/private/trj/trjsetup.exe .

08 сентября вышла бета-версия еще одной антитроянской утилиты PC DoorGuard 2.12. Теперь, как уверяют разработчики, программа стала полностью совместима с новой операционной системой Windows XP. Немного улучшен интерфейс, устранено множество ошибок, исправлена проблема, связанная с деинсталляцией. Как обычно, первые пять лучших бета-тестеров смогут получить лицензию на PC DoorGuard бесплатно. Скачивать отсюда: http://www.astonsoft.com/downloads/pdg.2.12.beta.exe .

Вирусы, которые нас поразили

1. CodeBlue. Интернет-червь, размером 14336 байт (сжат с помощью утилиты UPX). Поражает IIS-системы, используя для распространения дыру в защите под названием "IIS directory traversal". Червь создает в корневой директории три файла: SVCHOST.EXE, HTTPEXT.DLL и D.VBS. SVCHOST.EXE записывается в раздел автозагрузки системного реестра Windows [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] и активизируется при каждом запуске системы.

D.VBS обеспечивает удаление из памяти активных копий червя Code Red ("Красный код") и создает от него защиту.

Вирус также ищет процесс inetinfo.exe и в случае обнаружения завершает его.

Для своего распространения червь создает 100 активных процессов для сканирования IP-адресов и пытается внедрить свои копии на обнаруженные удаленные компьютеры.

В каждом процессе проверяется текущее системное время, и если оно находится между 10 и 11 часами утра, вирус, как и его аналог Code Red, производит DoS-атаку (Denial of Service) на китайский сайт http://www.nsfocus.com (211.99.196.135), связанный с сетевой безопасностью.

Если текущее время отличается от указанного, то вирус распространяет себя, занимаясь поиском уязвимых серверов. IP-адрес искомых серверов генерируется случайным образом.

Для получения дополнительной информации и выгрузки патча обращаться сюда: Microsoft Security Bulletin (MS00-078) http://www.microsoft.com/technet/security/bulletin/ms00-078.asp/

2. W32/Creepy@MM ( Win32.Creep.A@mm). Интернет-червь, написан на Дельфи. Размер: 336896 байт. Распространяет свои копии по электронной почте, используя все адреса из адресной книги Microsoft Outlook зараженного компьютера. Червь меняет стартовую страницу в Microsoft Internet Explorer на http://www.de-isp.nl.

При активизации червь выводит на дисплей DOS-окно с текстом и Windows-окно Outlook, предлагающее создать новый адрес. Когда пользователь нажимает CANCEL, то оба окна (и Outlook, и DOS) исчезают. Затем червь начинает рассылку своих сообщений. Тема письма: Leuk programmaatje! Копия: All recipients in the MS Outlook address book. Тело:

Hallo, dit is een heel gaaf programmaatje wat ik van Bert gekregen heb.

Opstarten en gedurende 5 minuten naar de stip kijken en daarna naar je hand. Creepy!!

Ik heb het op virussen gecheckt dus dat zit wel snor.

Groetjes...

К каждому письму присоединяется запускаемый файл EXE. При запуске этого файла и происходит заражение системы.

Creepy дополняет Рабочий стол и папку WINDOWS FAVORITES дополнительными ярлыками со ссылками на Web-сайты.

Червь создает в секции автозапуска системного реестра два ключа, и при каждом перезапуске системы вирус будет автоматически активизироваться.

ПВО — противовирусная оборона


NetAlert Personal Firewall. Разработчик: The Really Good Software Company, Мельбурн, Австралия (http://www.reallygood-software.com/ <http://www.tinysoftware.com/>). Дистрибутив: 655 KB. Версия V5.1.5.11 от 09.08.2001г.



NetAlert представляет собой персональный сетевой экран (брандмауэр), устанавливаемый на домашних и офисных компьютерах пользователей, имеющих выход в Интернет или работающих в Интранет-сетях. NetAlert широко применяется в Национальном аэрокосмическом агентстве США (NASA). Брандмауэр разработан для раннего обнаружения взломщиков (хакеров), пытающихся получить несанкционированный доступ к компьютерам, а также вирусов и троянов, активно работающих в системе.

Программа инсталлируется быстро, просит только указать папку на диске, в которой будет располагаться. В отличие от брандмауэра Agnitum Outpost, который требует обязательной перезагрузки, в нашем случае этого не требуется. После установки NetAlert будет постоянно находиться в памяти Вашего компьютера, выполняя мониторинг IP-портов для защиты от хакеров и деятельности троянских программ и Интернет-червей.

В правом нижнем углу экрана (системном трее) появляется пиктограмма с двумя буквами — NA (NetAlert). Кроме этого, в самом верху экрана будет видна небольшая полоска синего цвета, в которой в виде текста показывается последнее Интернет-соединение с указанием IP-адреса и времени его установления.

Чтобы увидеть главный экран программы, нужно нажать правую кнопку мыши, когда ее курсор находится над пиктограммой NetAlert в системном трее. Выбрав пункт Show (Показать) из небольшого меню, состоящего из четырех пунктов (Regist, About, Show, Close), перед нами откроется в центре экрана основное окно программы. Оно состоит из семи закладок: Results (Результаты), Log Options (настройка файла протоколирования работы), Options (Настройка), Known Serviсes (Известные сервисы), Known Intruders (Известные трояны и другие объекты, пытающиеся получить несанкционированный доступ), Extras (Дополнения) и Notify Me (Известить меня).

В закладке "Результаты" отображено шесть колонок, в которых показываются характеристики установленного соединения: время, категория (WWW, POP3, SMTP, FTP, Telnet, NNTP и INTRUDER), имя удаленного компьютера или его IP-адрес, удаленный и локальный порт, а также тип соединения (входящее/исходящее).

Регистрационный файл, в который записываются все обнаруженные программой соединения и другие события, можно поместить в директорий, который более удобен для пользователя, чем предлагаемый по умолчанию (закладка Log Options). Учитывая, что этот файл имеет тенденцию стремительно вырастать в размерах, разработчики подумали об его архивировании. Создание архива можно проводить ежедневно, еженедельно или ежемесячно.

По умолчанию NetAlert отслеживает все порты. Но если пользователь не хочет выполнять мониторинг общеизвестных портов, то в закладке "Настройка" он может указать программе, какие сервисы не контролировать. Среди них — почтовые сервисы — pop3(110) и smtp (25); протокол передачи данных — ftp (21); telnet (23), используемый для инициации соединений с удаленными узлами; www (80) и новостные группы nntp (119).

Кроме этого, здесь можно настроить интервал проверки соединений (от 250 мс до 2с). Для машины с процессором 300 МГц рекомендуется устанавливать значение не выше 500 мс. Также пользователь может включить или отключить подачу звукового сигнала, показ последнего соединения, разрешить или запретить режим всплывающего окна и автоматическое преобразование IP-адресов в имена удаленных компьютеров (Auto Resolve DNS).

NetAlert показывает список всех известных сервисов, которые используют порты TCP / IP на Вашем компьютере (закладка Known Serviсes). Список позволит Вам точно определять, является ли обнаруженное подключение нападением или результатом действия от Вашего имени. Например, если Вы передаете файлы по протоколу ftp, у Вас будет установлено соединение через порты 20 (ftp-data) и 21(ftp).

В закладке Known Intruders также показывается список хорошо известных троянов и других программ, которые могут вторгнуться в Вашу систему. Если NetAlert обнаружил несанкционированное соединение, то рекомендуется отсоединиться от Сети для того, чтобы минимизировать возможные повреждения, которые могут быть нанесены Вашему компьютеру.

Однако, не все IP-адреса и порты необходимо отслеживать. Учитывая это, разработчики в закладке Extras внесли возможность создавать список объектов, которые нужно игнорировать. А в последней закладке Notify me настраиваются параметры электронной почты, на который следует высылать уведомления о произошедших нападениях. Эта функция позволяет администратору удаленно контролировать подчиненные ему компьютерные системы.

Для того чтобы изменения, сделанные пользователем, стали учитываться программой, необходимо перезапустить NetAlert.

Для ознакомления с программой и принятия решения об ее приобретении предлагается для скачивания бесплатная версия, которой можно пользоваться в течение 15 дней. Брать отсюда: http://gt.onlinedown.net/down/nasetup.exe. Стоимость регистрации — 45USD.

Вирусный ТОП-10. 05-12 сентября 2001г.

НазваниеЧисло зараженных компьютеров% W32/Magistr@MM36,97513.93W32/SirCam@MM20,6557.78VBS/LoveLetter@MM20,3147.65W32/FunLove.gen10,8554.09VBS/Haptime@MM7,4022.79W32/Hybris.gen@MM6,7562.55W32/Hai.worm5,5312.08W32/SirCam@dat3,6511.38W95/CIH.1003a3,3771.27BackDoor-NK.svr3,3051.25

Источник: www.mcafee.com .

Всего проверено 265406 компьютеров.


Доктор М
macrofag@hotbox.ru

(c) компьютерная газета


Компьютерная газета. Статья была опубликована в номере 35 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2021 Компьютерная газета