Вирус детям не игрушка, не товарищ и не друг!

Антивирусное обозрение "Вирус детям не игрушка, не товарищ и не друг!"
Perlodrom.ru

Трагедия 11 сентября, произошедшая в Америке, не оставила равнодушным никого. Вирусный андеграунд отреагировал появлением новых вирусов, несущих на себе отпечаток случившегося. Как сообщил Американский Национальный Центр Защиты Компьютерной Инфраструктуры (NIPC), появилась новая модификация червя LifeStages, вызвавшего эпидемию в середине прошлого года. В этом варианте вируса изменилось только название файла, присоединяемого к письмам, рассылаемым по почте, — WTC.TXT.VBS. WTC (World Trade Center) — Всемирный торговый центр.
Другой вирус GoDog после небольшой модификации тоже получает вполне определенное название World Trade Center. Хотя эти паразиты не представляют никакой опасности для пользователей из-за того, что практически все антивирусы их распознают, можно предположить, что это только начало. И должны появиться не только модификации, но и совершенно новые, более опасные и разрушительные вирусы... Так и есть! Новоиспеченный червь Win32.Vote.A@mm только призывает голосовать за мир во всем мире, а на самом деле скрывает опасную разрушительную компоненту, удаляющую файлы в системном директории Windows и форматирующую диск С (более подробное описание см. ниже).

Порадовала последняя версия почтового клиента The Bat! 1.54 Beta 09 ( http://download.ritlabs.com/ftp/pub/the_bat/beta/tb154b09.rar ). Теперь в ней изменился диалог при открытии подозрительных файлов, в лучшую сторону. Стоит пользователю попытаться открыть присоединенный к письму файл типа "Договор.doc.pif", "летучая мышь" сообщает: "Подозрительный файл с двойным расширением. Настоящее расширение этого файла — ".pif". HACTOЯTEЛЬHO рекомендуем Вам проверить этот файл прежде, чем Вы откроете его. Вы пo-пpeжнeму хотите открыть этот файл?" При этом пользователю в качестве ответа предлагается нажать одну из двух кнопок — "Да" или "Нет" (раньше их было три, убрали кнопку "Отмена").
Если упрямый пользователь будет и дальше настаивать на открытии файла и выберет "Да", то следующим шагом The Bat! выдаст последнее сообщение всего с одной кнопкой "ОК": "Открывать этот файл не разрешается ни при каких обстоятельствах. Пожалуйста, обратитесь к Вашему системному администратору или в службу технической поддержки, чтобы сделать возможным открытие файлов данного типа". Все! Просто и сердито. Хорошие файлы за двойным расширением никогда не прячутся. Беглого взгляда достаточно, чтобы определить, что перед нами — вирус. Поэтому и нечего пробовать открывать такие файлы.

Почему вирус Nimda вызвал такую быструю и масштабную эпидемию, каких давно не было?
Как определили исследователи из антивирусной корпорации McAfee Corporation ( www.mcafee.com ), невиданная ранее эпидемия вирусом Nimda обусловлена следующими причинами.
Во-первых, вирус использует несколько разнообразных, но чрезвычайно эффективных способов размножения. Помимо массовой почтовой рассылки, червь также распространяется через сетевые общие ресурсы, используя уязвимости Мicrosoft Web Folder Transversal (она известна по вирусу W32/CodeBlue) и Microsoft incorrect MIME Header Vulnerability. Nimda пытается создать новые общие сетевые ресурсы, а также использует черный ход, создаваемый вирусом W32/CodeRed.c. Тема зараженного письма может быть различной, тело письма пустое, имя почтового вложения также варьируется (возможно использование иконки HTML-документа Internet Explorer).
Во-вторых, вирус не может быть удален вручную, потому что удаление червя Nimda требует выполнения определенных шагов, включающих в себя установку соответствующих патчей, отключение сетевых общих ресурсов и использование последних обновлений антивирусных программ.

Mетоды распространения вируса Nimda.
— Почтовые сообщения, создаваемые вирусом, имеют установленный тип содержимого audio/x-wav и включают вложения исполняемого типа. Тем самым, при доступе к письму вложение может быть активизировано без участия пользователя. Даже просто предварительный просмотр письма в Microsoft Outlook or Microsoft Outlook Express может привести к заражению!
— В процессе заражения вирус дополняет файлы INDEX, MAIN, DEFAULT и документы с расширениями .ASP, .HTM, .HTML кодом javascript, содержащим инструкции открыть новое окно интернет-браузера с заражающим содержимым почтового сообщения (взятым из файла README.EML). Таким образом, компьютер заражается при доступе к зараженной странице (локальной или удаленной). Другими словами, простое посещение зараженной HTML-страницы может привести к инфицированию машины.
— В процессе заражения вирус создает общий сетевой ресурс для каждого локального диска в виде %$ (где % — имя диска). На машинах Win9x/ME они всегда предоставляются в полный доступ без пароля. На машинах WinNT/2K даются права на ресурс пользователю Guest, который добавляется в группы Administrators и Guests. Ресурсы активируются после перезагрузки. Когда вирус находит доступный сетевой ресурс, он копирует туда свое тело в формате .EML. Это может включать и папку автоматического запуска.
— Вирус сканирует диапазон IP-адресов в поиске серверов ISS, пытаясь заразить их через уязвимость Web Folder Transversal посылкой специально сформированного запроса GET. Это заставляет уязвимую машину начать сессию TFTP на загрузку файла ADMIN.DLL с атакующей машины. После загрузки удаленная машина получает команду на выполнение данного файла, который и инфицирует машину. В случае если не удается установить сессию TFTP, то в директории TEMP создается большое количество файлов (TFTP*), являющихся копиями вируса. Также для инфицирования вирус пытается использовать черный ход, создаваемый другим вирусом W32/CodeRed.c.
— Вирус записывает свой код в начало .EXE файлов.
— Почтовые адреса извлекаются из MAPI сообщений Microsoft Outlook и Microsoft Outlook Express, а также из HTM и HTML документов. Вирус отсылает свою копию по этим адресам. Тема письма может быть пустой или содержать часть пути ключа реестра.
— Будучи зараженной, машина начинает искать другие жертвы, что создает большое количество сканирований портов и приводит к перегрузке сети. Он также может копировать себя в каталог WINDOWS/SYSTEM под именем LOAD.EXE и создавать запись в файле SYSTEM.INI для автоматического запуска при загрузке: Shell=explorer.exe load.exe -dontrunold.
— Версия вируса в кодировке MIME создается в каждом каталоге машины (зачастую в виде README.EML или DESKTOP.EML, также могут быть файлы .NWS). В некоторых случаях это может привести даже к полному заполнению жесткого диска.
— Имена файлов с вирусами могут включать: ADMIN.DLL, LOAD.EXE, MMC.EXE, README.EXE, RICHED20.DLL, MEP*.TMP.EXE.
— Приложения, которые используют формат rich text, такие как Microsoft Word и WordPad, вызывают файл RICHED20.DLL. Таким образом, вирус выполняется при запуске этих программ.
Симптомы заражения
— Существование файлов C:\ADMIN.DLL, D:\ADMIN.DLL, E:\ADMIN.DLL.
— Существование файла README.EML.
— Неожиданное наличие открытых общих сетевых ресурсов.

Как удалить вирус Nimda?
Для лечения системы от этого вируса корпорация McAfee Corp. предлагает бесплатную утилиту для Win9x/ME/NT/2000, удаляющую активную копию червя W32/Nimda@MM. Он называется NimdaScn.exe v1.0f. Размер — 439 КБ. Брать отсюда: http://download.nai.com/products/mcafee-avert/NimdaScn.zip .
Аналогичная лечилка от антивирусной компании F-Secure, 1398 КБ: http://www.europe.datafellows.com/download-purchase/nimda-fix/fsnimda2.exe .
От компании Computer Associates всего 22 КБ: ftp://ftp.ca.com/pub/InocuLAN/CleanNimda.zip .
Не осталась в стороне и антивирусная корпорация Symantec, известная своим NAV — Norton Antivirus. Лекарство весом 53 КБ брать здесь: http://securityresponse.symantec.com/avcenter/Fixnimda.com .
Если Вы предпочитаете антивирусные утилиты русскоязычных разработчиков, то можете попробовать взять программу удаления Nimda у Лаборатории Каперского: ftp://ftp.kaspersky.ru/utils/AntiNimd.zip . Правда, их сайт, как это обычно бывает, может быть перегружен из-за большого количества обращений.

ПВО — противовирусная оборона
Spytech NetArmor. Разработчик: Spytech Software and Design, США, штат Миннесота (www.spytech-web.com). Дистрибутив: 492 Кб (ZIP-архив). Версия 1.75.00 от 24.02.2001 года.
NetArmor ("Сетевая броня") — это утилита, защищающая персональный компьютер с операционной системой Windows во время его работы в сети Интернет от троянов, утилит удаленного администрирования и других вредных программ. Основная цель NetArmor'а — обнаруживать возможные вторжения хакеров и поднимать тревогу, чтобы пользователь мог безопасно выключить свою машину, выйти или отсоединиться от Сети. NetArmor представляет собой не брандмауэр (сетевой экран, он же firewall), как могло показаться вначале, а специализированную утилиту контроля устанавливаемых соединений с неплохими возможностями мониторинга.
Это идеальное решение как для персональной, так и для корпоративной защиты. NetArmor можно настроить так, чтобы он подавал предупреждения о каждом соединении к Вашему компьютеру или только о возможных злонамеренных атаках. Предупреждающее окно (alert window) показывает IP-адрес атакующего, адрес хоста (host Address), удаленный и локальный порт, состояние соединения и время/дату события.
Все соединения и тревожные сообщения протоколируются и записываются в специальный файл, который можно легко просмотреть встроенными в утилиту просмотрщиками (log viewers) и сохранить как файл в формате HTML или TXT.
Кроме этого, при появлении предупреждающего окна у пользователя также есть возможность сохранить информацию об атаке в отдельный файл. На этот он может в дальнейшем ссылаться, контактируя с провайдером злоумышленника.
NetArmor имеет базу данных троянов, которых пользователь может видеть в виде списка, упорядоченного по портам, ими используемых. По необходимости пользователь может добавлять в список новых троянов или указывать те порты, использование которых ему надо отслеживать. Заметим, что этот список (Основное окно программы, закладка Intruder Settings) может служить кратким справочником по портам, которые используют известные троянские программы.
В NetArmor также встроен администратор процессов (process manager), который позволяет не только увидеть, какие приложения выполняются в данный момент времени на машине пользователя, но и завершить их работу (terminate), если в этом возникнет необходимость.
Еще одна утилита — Просмотр открытых портов (Open Ports Viewer), как видно из названия, показывает порты, которые открыты на компьютере пользователя. Любой открытый порт — это потенциально слабое место машины и означает отправную точку, через которую злоумышленник может атаковать систему.
Следующий инструмент мониторинга за системой — администратор запуска (startup manager). Он позволяет увидеть все программы, которые запускаются при загрузке Windows, и визуально определить, инфицирована система или нет.
NetArmor можно настроить на автоматическую отправку почтовых сообщений о тревожных сообщениях на определенный электронный адрес. Это свойство программы (E-mail Alert) позволяет использовать ее для удаленного мониторинга компьютеров, физически находящихся на больших расстояниях друг от друга, но подсоединенных к одной сети. Можно также организовать сетевую ловушку, удаленно контролируя процесс атаки и выслеживая нападающего в виртуальном и реальном мире.
Среди других возможностей NetArmor: автоматический запуск программы при загрузке Windows, запуск в режиме активного мониторинга, проигрывание звуковых сообщений в случае обнаружения опасной ситуации и прочее. Скачивать отсюда: http:// www.spytech-web.com/Files/netarmor.zip.
Стоимость зарегистрированного продукта: 19.95 USD.

Вирусный ТОП-10.
19-26 сентября 2001г.
Название Число зараженных
компьютеров, %
W32/Nimda.eml 491,293 32.63
W32/Nimda@MM 335,722 22.30
W32/Nimda.htm 154,153 10.24
VBS/LoveLetter@MM 41,356 2.75
W32/Magistr.a@MM 36,409 2.42
W32/SirCam@MM 26,324 1.75
W32/Hai.worm 17,322 1.15
W32/FunLove.gen 13,758 0.91
W32/Ska.dll@M 13,478 0.90
W32/Magistr.b@MM 12,882 0.86
Источник: www.mcafee.com .
Всего заражено 1 505 647 компьютеров.

Вирусы, которые нас поразили
Больше всего нас, конечно, поразил червь Nemida. Но, кроме него, есть и другие вредители информационного пространства.

1. W32/APost@MM (он же I-Worm.Readme, он же W32.Urgent. Worm@mm).
Интернет-червь, размер 24 576 байт. Риск заражения — средний. Червь приходит вместе с почтовым сообщением, имеющим следующие характеристики.
Тема: As per your request! (Ответ на Ваш запрос) Тело: Please find attached file for your review. I look forward to hear from you again very soon. Thank you. (Пожалуйста, просмотрите прилагаемый файл. Я ожидаю получить известие от Вас очень скоро снова. Спасибо.) Присоединенный файл: README.EXE.
Запущенный на выполнение, червь проверяет присутствие файла README.EXE в каталоге WINDOWS. Если он не существуете, то червь копирует себя в эту папку. Затем, это копирует первый попавшийся файл README.EXE, находящийся в каталоге WINDOWS, в корневой директорий всех локальных дисков и создает в системном реестре ключи для загрузки программы при запуске системы.
Червь рассылает копию себя каждому пользователю, чьи данные хранятся в адресной книжке Microsoft Outlook зараженной машины, и затем показывает маленькое диалоговое окно "Срочно!". Это окно содержит одну-единственную большую кнопку "Открыть".
Если эта кнопка будет нажата, то червь рассылает свои копии и затем показывает окно сообщения об ошибках с заголовком "WinZip SelfExtractor: Предупреждение" и содержит запись ""CRC error: 34#".
После закрытия этого окна работа вируса завершается.

2. Win32.Vote.A@mm. Разрушительный интернет-червь. Обнаружен в диком виде. Написан на языке Visual Basic. Размер 55 808 байт.
Проникает на компьютеры пользователей в виде письма со следующими параметрами: Тема: Fwd:Peace BeTweeN AmeriCa And IsLaM! (Мир между Америкой и исламом!) Тело: Hi iS iT A waR Against AmeriCa Or IsLaM!? Let's Vote To Live in Peace! (Здравствуйте. Это война против Америки или ислама!? Давайте голосовать, чтобы жить в мире!) Присоединенный файл: WTC.EXE.
Когда пользователь запускает присоединенный файл, то вирус активизируется. Червь помещает на диск два скрипта — MixDaLaL.vbs (в папку C:\Windows) и ZaCker.vbs (в папку C:\Windows\System), рассылает зараженные письма по всем записям, хранящимся в адресной книжке Microsoft Outlook и пытается загрузить программу удаленного администрирования (backdoor) TimeUpdate.exe. Для этого он устанавливает начальную страницу Microsoft Internet Explorer на один из двух сайтов, содержащих эту программу.
Скрипт MixDaLaL.vbs выполняет поиск файлов, имеющих расширение HTM или HTML, на всех локальных и сетевых дисках. В случае их обнаружения, в эти файлы будет записан следующий текст: AmeRiCa...Few Days WiLL Show You What We Can Do!!! It's Our Turn > > > ZaCkEr is So Sorry For You. (Aмерика... Через несколько дней ты увидишь, что мы можем сделать!!! Пришла наша очередь > > > ЗаКеру вас очень жаль).
Другой скрипт регистрируется в секции автозапуска системного реестра Windows и автоматически активизируется при перезапуске компьютера. В этом случае червь удаляет все файлы из директории Windows и изменяет AUTOEXEC.BAT таким образом, чтобы при следующем запуске был отформатирован диске С. После этого на экране появляется сообщение: "I promiss We WiLL Rule The World Again...By The Way,You Are Captured By ZaCker!!!" ("Я обещаю, мы будем править миром опять...Между прочим, Вы захвачены ЗаКером!!!").
И наконец, червь попытается перезагрузить Windows. Но... безуспешно, потому что нужные файлы им уже удалены.

Доктор М
Вопросы по антивирусной защите принимаются здесь:
macrofag@hotbox.ru


(c) компьютерная газета


Компьютерная газета. Статья была опубликована в номере 37 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2021 Компьютерная газета