А кофе на клавиатуру тоже вирус пролил?

Антивирусное обозрение "А кофе на клавиатуру тоже вирус пролил?"
Perlodrom.ru

В сентябре 2001 года популярный международный журнал Virus Bulletin ("Вирусный бюллетень" http://www.virusbtn.com) в очередной раз протестировал антивирусные программы. В качестве испытательной платформы была выбрана операционная система Novell NetWare. Как обычно, проверялась способность антивирусов обнаруживать вирусы из тестовой коллекции журнала Virus Bulletin как в режиме работы сканера (т.е. "по вызову", или on-demand), так и в режиме работы резидентного сторожа (т.е. "на лету", или on-access).
Среди антивирусов, показавших самые высокие результаты, отличились Doctor Web (www.dials.ru) и Антивирус Касперского (www.kav.ru).
Они были единственными, показавшими 100% результат не только по вирусам из категории "In the Wild", но и по всем остальным категориям — макрокомандным, полиморфным и обычным (стандартным) вирусам. Это относится как к сканеру, так и к резидентному сторожу (антивирусному монитору).
При этом Doctor Web получил 8 раз престижную награду журнала — VB100%. Это является абсолютно высоким результатом и лишний раз демонстрирует эффективность этого антивируса.
Редакция журнала Virus Bulletin особо отметила простоту установки антивируса Doctor Web, надежность и высокую скорость работы среди всех антивирусов, принимавших участие в тестировании.
Для антивирусной программы, которая работает на файловых серверах Novell NetWare, эти технические характеристики являются важными показателями.
Известная исследовательская компания International Data Corporation (IDC) недавно опубликовала отчет по мировому рынку антивирусного ПО. Согласно этому отчету среди серверных решений безусловным лидером является антивирусная корпорация Trend Micro, занимающая первые места по объемам продаж в сегментах антивирусного ПО для Интернет-шлюзов (Web-серверов) и для систем поддержки коллективной работы. Опубликованный IDC отчет называется "Рынок антивирусного ПО: деление на сегменты" (Antivirus Software: A Segmentation of the Market). Он является логическим продолжением предыдущей работы исследователей этой компании, опубликованной в июле этого года "Мировой рынок антивирусного ПО: анализ и прогноз на 2000-2001 гг. (Worldwide Anti-virus Software Market Forecast and Analysis, 2000-2001). В этой работе фирма Trend Micro названа наиболее стремительно развивающимся производителем антивирусного ПО (прирост 51% за 2000 г.). По итогам прошлого 2000 года Trend Micro занимает первые места в следующих сегментах мировой индустрии производства антивирусного ПО:
— Первое место на совокупном рынке антивирусного ПО серверного базирования — 33%.
— Первое место на рынке антивирусного ПО для систем поддержки коллективной работы — 31%.
— Первое место на рынке антивирусного ПО для Интернет-шлюзов (серверов Web) — 63%.

Вирусы, которые нас поразили
Вы думаете, что Магистр или SirCam — это самый распространенный на сегодня вирус? Может быть, Вы и правы. Но на подходе новый "зверь" — Nimda, которому "светит большое будущее". Встречать его следует внимательным чтением антивирусного обозрения, установкой последних заплаток к почтовым программам и обновлением антивирусных программ.

Теперь у вирусописателей стала пользоваться популярностью программа автоматизации бухгалтерского, складского и прочего учета 1С: Предприятие 7.7. Именно под нее сейчас стало модно писать не только бухгалтерские базы данных и налоговые отчеты, но и вирусы. А почему бы и нет, если встроенный в 1С 7.7. макроязык позволяет это делать?
Это Вам не макроязык из 1С 6.0. Хотите создать файл или обратиться к другим программам (модулям, данным и т.д.) так, чтобы пользователь об этом не знал? Нет проблем! "Будет все, как ты захочешь..."
Любителям пиратского софта, в частности, новой операционной системы Windows XP, наверняка надолго запомнится троян TROJ_WHISTLER.A., генерирующий к ней серийные номера. Правда, дополнительно к этому он старательно перемещает все файлы на локальных и сетевых дисках в отдельный директорий, приводя систему в нерабочее состояние.

1. W32/Nimda.A (Win32.Nim-da.A@mm). Интернет-червь, распространяющийся по электронной почте как присоединенный файл readme.exe, а также через общие ресурсы (как W32/CodeBlue). Степень заражения — высокая. Написан на языке Visual C. Размер — 57 344 байт.
Само тело пришедшего зараженного письма выглядит пустым, но на самом деле содержит вирусный код, который выполняется, когда пользователь только просматривает сообщение (даже не открывая письмо!). Вирус использует уязвимость, называемую Microsoft content-type spoofing vulnerability, устраненную в последних сервис-паках и патчах для Microsoft Outlook или Outlook Express.
Вирус добавляет код JavaScript к документам HTML, который открывает новое окно браузера, содержащее зараженное сообщение электронной почты, полученной от файла README.EML. Когда к этому инфицированному окну происходит обращение, машина, на которой просматривается эта страница, заражается.
Инфицированная система будет использоваться для поиска и заражения других систем в Сети. Так как вирус выполняет сканирование большого количества портов, это может вызвать падение сетевого трафика.
Червь содержит следующий авторский текст: Concept Virus(CV) V.5, Copyright(C)2001 R.P.China.

2. Bonny.a, Bonny.b. Два вируса (пока два!), распространяющиеся в бухгалтерских программах 1С: Предприятие 7.7 и поражающие файлы внешних отчетов *.ERT. Срабатывают при открытии зараженного отчета. Данные вирусы никак не проявляют себя в системе и не выполняют серьезных деструктивных действий. Вероятность заражения крайне низкая, потому что внешние отчеты сами по себе не распространяются и по электронной почте не рассылаются.
Bonny.a — вирус, записывающий себя вместо заражаемых файлов. При заражении полностью уничтожает содержимое файла-жертвы.
Bonny.a — вирус-компаньон. При активизации ищет в текущем каталоге .ERT-файлы, переименовывает их в .ERT.ERT, добавляя к имени файла еще одно расширение .ERT, и копирует себя вместо оригинального файла. После заражения всех файлов в каталоге вирус открывает файл-жертву (.ERT.ERT-файл).
Вирусы содержат авторские строки:
Trivial.1Cv77 by BKNY0NNX
Companion.1Cv77 by BKNY0NNX

3. TROJ_WHISTLER.A.
Троян, маскирующийся под генератор серийных номеров Windows XP. Написан на языке C++.
После выполнения троян генерирует ложный серийный номер Windows XP и сохраняет его во временном файле в temp-директории Windows.
Затем, используя Notepad, открывает этот файл, копирует в него себя и сохраняет под именем WHISTMNG.EXE в системном каталоге Windows. Содержит деструктивную процедуру, опасную для жестких дисков зараженной машины и всех подключенных сетевых дисков.
Троян перемещает файлы в специально созданный каталог, что может вызвать непоправимые изменения на зараженном компьютере. Для автоматической загрузки при каждом старте системы троян записывает в реестре ключ:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Whistler" = "C:\\whistmng.exe -next"
При последующем после заражения запуске системы троян создает на диске C:\ инфицированного компьютера каталог "WXP". Затем анализирует содержимое каталогов, начиная с диска C:\, и перемещает каждый найденный файл в директорию "WXP", включая файлы из системного каталога Windows, что разрушает инфицированную систему.

ПВО — противовирусная оборона
Net-Commando 2000. Разработчик: Delta Design UK, Великобритания (www.deltadesignuk.com/). Дистрибутив: 3 976 KB. Версия 2.0.0.2645 от 04.01.2001г.
Самый большой компьютерный миф, широко распространенный среди большинства пользователей, как начинающих, так уже и "со стажем", связан с антивирусными программами и безопасностью в целом.
Почему-то пользователи считают, что обычный антивирусный сканер вроде Mcafee VS, Norton AV или AVP может надежно защитить их компьютер от любой напасти или угрозы.
Увы, как показывает опыт эксплуатации компьютерных систем, это далеко не так, потому что антивирусные программы требуют постоянного обновления (еженедельного, и порой ежедневного) баз данных по вирусным сигнатурам.
При этом одни пользователи даже и не подозревают, что антивирусы нуждаются в обновлениях, другие считают, что можно обновлять раз в месяц, а то и реже, третьи...
Третьи так свято верят в магическое сияние, исходящее от антивирусных программ, что уже только одно их присутствие (неважно каких и какого года выпуска!) на их винчестере в неограниченном количестве (чем больше, тем лучше!) должно за километр отпугивать любые вирусы.
Net-Commando 2000 ("Сетевой коммандос 2000") — это антитроянская утилита. Подобно резидентному сторожу, она следит за выполняющимися в машине процессами и открытыми портами, обнаруживая активных троянов, червей и попытки несанкционированного доступа (взлома) извне.
В отличие от своих "коллег" — антивирусов, Net-Commando не требует никакого обновления баз данных, за исключением установки новых версий самой программы. Каким бы хитрым и сложным ни был бы паразит, встроенная в утилиту система обнаружения вирусов (Virus Detection Systems) сможет обнаружить вредителя и предупредить о нем пользователя.
Даже если Вы используете для своей работы Интернет всего 1-2 часа в день, не стоит думать, что Вашему компьютеру не грозит нападение злоумышленников. На самом деле Вы будете удивлены тем, как много существует желающих заглянуть в чужую замочную скважину. Сотни и тысячи компьютеров по всему миру занято сканированием всех диапазонов IP-адресов Сети в поисках открытых ресурсов и уязвимых систем. 90% всех случаев взлома — это беспечность самих пользователей и халатность администраторов компьютерных систем, пренебрегающих компьютерной безопасностью.
Основные возможности программы:
— Обнаружение вторжения (Intrusion Detection) — мониторинг 12 TCP-портов, детектирование факта сканирования портов или хакеров, атакующих систему. Возможные действия — игнорирование, автоматическое отключение, автоматический просмотр ISP и прочее.
— Обнаружение вирусов (Virus Detection) на основе уникальной технологии Virus-IDENT. Выявляет троянов. Встроенные методы обнаружения, предотвращения, идентификации и удаления троянов обеспечивают 100% эффективность в нахождении вредных программ.
— Контроль целостности (Integrity Monitoring) — мониторинг директория Windows\System (или аналогичного) на предмет создания/удаления файлов EXE/DLL. Также позволяет обнаруживать троянского коня во всех 100 случаях из 100.
— Блокировка системы (Lock System). Обеспечивает защиту на доступ к компьютеру с помощью пароля (аналогично паролю на экранную заставку).
Что делать, если у пользователя уже имеется установленный какой-нибудь пакет по сетевой безопасности и он не желает менять его на другой?
Не стоит беспокоиться. Net-Commando просто великолепно работает с другими программами, не вызывая никаких конфликтов. К тому же, как утверждают разработчики, опросы, проведенные среди пользователей, показали, что эта Net-Commando обнаруживает и успешно удаляет значительно больше троянов, чем любая другая существующая программа.
Конечно, все знают, что "всяк кулик свое поле хвалит", но чтобы убедиться в правдивости какого-либо утверждения, надо его проверить на практике. Тем более, что никаких препятствий для этого нет.
Желающие бесплатно испытать программу в течение 28 календарных дней могут скачать ее отсюда: http://www.deltadesignuk. com/IRDC/NCINST4.exe. Стоимость лицензии для одного пользователя — 29.95 USD (срок неограничен).
Зарегистрированные пользователи получают полный набор всех возможностей программы, бесплатную техническую поддержку, обновления продукта, а также спокойствие и уверенность в том, что их компьютеры будут надежно защищены от проникновения вредных программ.
В программе предусмотрена функция автоматического обновления исполняемого кода (Check for new version), позволяющая получать новые версии Net-Commando прямо с сайта разработчика.
Работает под всеми операционными системами Windows, начиная с 95-й, за исключением NT3.X и NT4.
Несколько слов о разработчике. Компания Delta Design UK была основана в 1997 году. Это команда, состоящая из настоящих специалистов своего дела: инженеров-программистов и системных аналитиков.
Компания сертифицирована корпорацией "Майкрософт" как Solution Provider. В Delta Design UK работает знающая и быстрая служба технической поддержки, готовая отвечать на любой вопрос зарегистрированных пользователей в любое время 7 дней в неделю круглый год. Фирма также является разработчиком других программных продуктов, связанных с сетевой безопасностью: NetSpy, Net-Wormer и Net-Scope.
Вирусный ТОП-10. 12-19 сентября 2001г.

Название Число зараженных компьютеров, % W32/Magistr.b@MM 40,230 14.82 VBS/LoveLetter@MM 28,60
3 10.54 W32/Nimda@MM.eml 17,369 6.40 W32/SirCam@MM 14,117 5.20 VBS/Haptime@MM 6,792 2.50 W32/Nimda@M
M 6,739 2.48 W32/Nimda@MM.htm 6,701 2.47 W32/Hybris.gen@MM 5,612 2.07 W32/Magistr@MM 3,747 1.38 W32/
Hai.worm 3,538 1.30
Источник: www.mcafee.com . Всего проверено 271484 компьютеров.

Доктор М macrofag@hotbox.ru

Червь поражает ПК и серверы
Червь Nimda, появившийся 18 сентября утром, распространяется посредством многонаправленных атак и заражает как ПК, так и серверы под Windows 95, 98, Me и 2000. Он рассылает сообщение e-mail с вложенной программой-вирусом, а затем разыскивает и поражает уязвимые серверы, проникает на общедоступные сетевые диски и рассылает свою копию всем, чей браузер запрашивает веб-страницы через зараженный сервер. По словам экспертов, подобный универсальный способ заражения беспрецедентен.
Однако наибольшего эффекта червь добивается, создавая огромное количество данных. Масса запросов, которые он генерирует при попытках распространения, доставила неприятности многим компаниям. Большинство заказчиков компании Counterpane Internet Security, которая занимается мониторингом сетей клиентов и предупреждает их о возможном проникновении вирусов, сообщили о замедлении работы с Интернетом из-за червя. Координационный центр организации Computer Emergency Response Team (CERT) при Университете Карнеги-Меллона предупредил своих членов об эпидемии. Антивирусная компания Symantec присвоила червю вторую категорию опасности "Уровень 4 — серьезная", а F-Secure — наивысший рейтинг.
Хотя червь заражает компьютеры под Microsoft Windows 98, Windows Me и Windows 2000, некоторые сообщения указывают на то, что Unix-серверы с установленным на них популярным ПО веб-сервера Apache при сканировании червем выходят из строя. Например, в результате этого побочного эффекта "упало" несколько серверов службы веб-хостинга EarthLink.
Однако червь поражает не всех. Наблюдающая за производительностью сети компания Keynote Systems, которая следит за работой 40 крупных веб-сайтов, не заметила во вторник никаких проблем. Представители аукционного дома eBay, портала Yahoo и крупнейшего в стране сервиса широкополосного доступа Excite@Home заявили, что червь нисколько не помешал работе их служб. Тем не менее, Тина Берд из Counterpane считает, что эпидемия на подъеме и угроза остается значительной. 18.09.01

Создателю вируса Annakournikova грозит 240 часов общественно-полезных работ
Прокурор потребовал осудить автора вируса Annakournikova на 240 часов общественно-полезных работ. 20-летний голландец по фамилии де Вит создал этот вирус и распространил его в Интернете в феврале этого года, что посеяло панику среди владельцев компьютеров во всем мире. "Я программист, и я не хотел никому доставлять неприятности", — заявил де Вит. По его словам, он хотел лишь показать, что программа для отправления и получения электронной почты, созданная Microsoft, "сравнима с решетом". Адвокат де Вита требует, чтобы молодой человек был отпущен. Голландский суд вынесет свое решение 27 сентября. 17.09.01

(c) компьютерная газета


Компьютерная газета. Статья была опубликована в номере 36 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2021 Компьютерная газета