Предвидеть — значит управлять
Антивирусное обозрение "Предвидеть — значит управлять"
Блез Паскаль
530 миллионов долларов. Таков материальный ущерб, который нанес вирус Nimda менее чем за неделю с 18 по 22 сентября 2001 года. Такие данные приводятся в исследовании, подготовленном калифорнийской аналитической компанией Computer Economics www.computereconomics.com которая считает, что вскоре этот ущерб превысит отметку в 2,6 млрд долларов. Именно такая сумма потребовалась на нейтрализацию разрушений, нанесенных в июле и августе этого года другим вирусом — Соde Red. Из этой суммы 1,1 млрд стоили работы по восстановлению компьютеров, а 1,5 млрд — потери от снижения производительности труда.
Общая стоимость ущерба, нанесенного компьютерными вирусами, достигла уже 11,8 млрд долларов (на 22.09.01г). И это — не предел, потому что до конца года — еще целых три месяца. Вице-президент Computer Economics по исследованиям Майкл Эрбшлоу (Michael Erbschloe) еще до появления супер-вируса Nimda сообщил, что если не появится новых разрушительных вирусов, то к концу 2001 г. ущерб достигнет 15 млрд долларов США. Но новые вирусы появились...
Для сравнения — в 2000 ущерб составил 17,1 млрд, а в 1999 г. — 12,1 млрд.
Ущерб от вируса Sircam составил 1,05 млрд долларов США, от Love Bug — 8,75 млрд (учитываются потери и этого года тоже). Love Bug (I Love You) — это самый "любимый и дорогой" вирус за всю компьютерную историю. Появившись в мае 2000 года, он заразил более 40 миллионов компьютеров, мутировав при этом более чем 50 раз. На втором месте — червь Code Red — 2.62 млрд дол., третьим идет вирус Melissa — 1,1 млрд дол., а за ним — вирус SirCam.
Какие из этого можно сделать выводы? А вот какие: в 2008 году Интернет погибнет от компьютерных вирусов. Вот так. Не больше и не меньше. И именно в 2008 году, а не в 2009 или в 2007! Кто же берет на себя смелость давать такие ужасные прогнозы? Отвечаю. Это британская компания MessageLabs (www.messagelabs.com). В своем статистическом исследовании, результаты которого опубликованы в пресс-релизе 24 сентября, она предсказывает, что к 2008 году использование Интернета станет просто невозможным из-за постоянных вирусных эпидемий. Через 7 лет вирус будет находиться в каждом десятом электронном письме!
По данным MessageLabs, в 1999 г. один вирус приходился на 1400 писем, в 2000 г. — уже на 700, а сейчас вирус находится в каждом 300-м письме. Экстраполируя эти результаты, специалисты MessageLabs отмечают, что в 2004 г. будет заражена каждая сотня электронных посланий, а в 2015 г. вирусы будут контролировать 3 письма из четырех.
Что делать в такой ситуации?
Еще совсем недавно ответ на этот вопрос казался простым и ясным: применять антивирусные программы, а если Вы работаете в Интернет или интранет, то дополнительно установить еще брандмауэры (сетевые экраны или firewalls).
Обеспечивая достаточно высокий уровень внешней защиты, брандмауэры подходили любой компании. Однако, сегодня ситуация меняется. Алексей Лукацкий ("Журнал сетевых решений /LAN" №4/2001. "Доверьте свою безопасность профессионалам") отмечает: "Как показывает практика, только межсетевых экранов уже недостаточно. Необходимо применение и средств анализа защищенности, и систем обнаружения атак и т.д. Кроме того, создавая систему защиты на предприятии, важно привлечь высококвалифицированных специалистов, которые, условно говоря, не только знают, на какие кнопки надо нажимать, но и понимают, когда нажимать и к чему может привести то или иное действие" ( http://www.idg.ru/lan/2001/04/088.htm ).
Давно отмечено, что уровень знаний и опыта компьютерных вирусописателей и взломщиков таков, что позволяет им проникать через любые преграды и защиты.
А вот уровень подготовки администраторов компьютерных сетей, специалистов по защите информации, не говоря уже об обычных пользователях, порой оставляет желать лучшего. Вывод один — учиться, учиться и еще раз учиться. Или прибегать к помощи профессионалов.
Тем не менее, не все так уж и плохо. Осень — это не только пора дождей и появления новых вирусов. Осенью многие разработчики антивирусных программ обновляют свои программы и выпускают новые версии.
Так, например, компания McAfee, подразделение Network Associates, Inc., выпустила новую версию сканирующего механизма для антивирусных продуктов версий 4.5 и 5.0 — 4.1.50.
Вот основные возможности сканирующего механизма 4.1.50:
— Полная поддержка VirusScan 4.5 95/98/NT/2000/ME, NetShield NT/2000 4.5, GroupShield Exchange 4.5, GroupShield Domino 5.0, VirusScan TC 6.0, WebShield SMTP 4.5.
— Полная поддержка сканирующих механизмов 4.1.x.
— Поддержка архивов ACE (WinACE), BZIP, Zcompress, PKLITE32, ELiTeWrap, Joiner, PEBundle, PEBundle Write-To-Disk, tElock.
— Сканирование файлов, упакованных новыми версиями архиваторов Petite, ASPack, UPX, NeoLite, and PECompact.
— Сканирование файлов, упакованных архиватором LHA в форматах LH6 и LH7.
— Сканирование файлов Adobe Acrobat PDF 5.0.
— Сканирование файлов в формате MIME осуществляется по умолчанию.
— Сканирование VBS- и Java-скриптов в формате Unicode и Unicode big-endian.
— Сканирование компилированных файлов справки HTML (.CHM).
— Сканирование электронных сообщений MS Exchange в формате Transport-Neutral Encapsulation Format (TNEF).
— Сканирование почтовых архивов в формате Internet Message Connector (IMC).
— Сканирование несжатых VBA-скриптов в файлах Visio.
— Усовершенствован эвристический анализатор 32-битных Windows-приложений.
— Сканирование сжатых RTF- и HTML-файлов в среде Microsoft Outlook и Exchange.
— Сканирование файлов сообщений электронной почты Outlook Express (.EML) по умолчанию.
— Сканирование файлов .HTA (Script Component Type Libraries).
— Поддержка NTFS-потоков.
Не осталась в стороне и компания Symantec, которая 5 октября выпустила на рынок новую программу обеспечения безопасности Symantec Web Security2.0. Она предназначена для корпоративных пользователей, позволяет фильтровать информацию и анализировать поступающие данные на наличие вирусов. Программа, по словам разработчиков, полностью решает проблемы борьбы с вирусами и поступлением ненужной информации. Продукт совместим с ОС Windows и Solaris.
Вирусы, которые нас поразили
Remote Shell. Троян для Linux-компьютеров. Вирус обнаружен в Великобритании, по своим характеристикам он аналогичен вирусу Back Orifice, который "работает" с Windows-компьютерами. В вирусе отсутствует механизм самокопирования, поэтому он не будет представлять большой опасности для информационного сообщества.
Распространяется через электронную почту. Заразив Linux-компьютер, троян устанавливает в системе "черный ход", через который злоумышленник может подключаться к UDP-порту с номером 5503 и получать контроль над системой. После заражения компьютера Remote Shell посылает сообщение об этом на английский хакерский сайт, где хакеры получают списки зараженных компьютеров, подготовленных к вторжению. Пользователи могут проверить компьютеры на наличие трояна Remote Shell и удалить его в случае обнаружения. Для этого необходимо просто скачать бесплатную программу, предлагаемую на сайте американской компании Qualys, заполнив небольшую форму на странице https://www.qualys.com/form_remoteshell.html .
ПВО — противовирусная оборона
RAV AntiVirus Desktop v8. Разработчик: GeCAD Software, Румыния, Бухарест ( www.gecadsoftware.com ). Дистрибутив: 11 820 КБ. Версия 8.2.1.12 от 09.04.01 года с сигнатурами вирусов от 02.10.01 обнаруживает 61 971 вирусов и деструктивных программ.
RAV AntiVirus Desktop v.8 — довольно эффективный интегрированный антивирусный набор, рекомендуемый как для домашних пользователей так и больших профессионалов.
Установочная программа румынского антивируса чем-то напоминает установку Microsoft Office 2000 (-02). Инсталлятор разработан на основе бесплатного, но очень мощного инструмента Wise Installation System. Это позволяет пользователю выбирать для установки не только те компоненты, которые он желает (или не желает) инсталлировать, но и те, которые могут быть установлены по первому требованию человека.
Что предлагается нам установить или из каких частей состоит RAV Desktop?
1. RAV for Windows. Это основной компонент RAV Desktop. Он содержит конфигурационный центр и антивирусный сканер. При установке этого компонента пользователь может отключить следующие параметры инсталлятора, включенные по умолчанию: добавление на Рабочий стол ярлыка для запуска RAV Desktop, автозапуск RAV Desktop при включении компьютера, автоматическое сканирование всех жестких дисков при первом запуске антивируса.
2. RAV for DOS. Версия антивируса для DOS. Работает из командной строки. Бесплатен для домашнего использования.
3. RAV Monitor. Антивирусный монитор (резидентный сторож). Проверяет файлы в тот момент, когда к ним происходит обращение.
4. RAV Update Reminder. Самый простой способ узнать о проявлении новой версии антивируса RAV. Для работы требуется соединение с Интернетом.
5. RAV for Office 2000. Плагин (plugin) для Microsoft Office 2000, позволяющий антивирусу проверять все открываемые объекты офисными программами.
6. RAV for Outlook. Плагин для Microsoft Outlook, проверяющий входящие и исходящие почтовые сообщения.
7. RAV for Internet Browsers. Набор плагинов для Microsoft Internet Explorer (начиная с версии 4 и выше), Netscape Navigator Messenger (версия 4 и выше), Opera (версия 4 и выше).
В состав антивируса RAV входит библиотека по имеющимся вирусам (Virus Info). Все вирусы и деструктивные коды отсортированы и разделены на несколько категорий: по операционным системам, в которых они паразитируют (Windows, DOS, Linux), по языку реализации (макро- и скрипт-вирусы) и прочие категории (трояны, help, интернет-черви и multi).
Правда, описания вредителей, имеющиеся в энциклопедии, настолько коротки, что портят все впечатление от справочника.
Одна из довольно интересных функций антивируса называется "Мой советник" (My Advisor). Советник представляет из себя кнопку программы, нажав на которую пользователь попадает на специализированную web-страницу.
Там он может узнать о последних вирусных новостях, получить совет о том, как защитить свой компьютер и скачать последние обновления баз данных по вирусным сигнатурам.
Антивирус RAV все выполняемые действия записывает в особый файл регистраций (log file) и показывает очень подробную статистику (число проверенных файлов, папок, архивов, упакованных, зараженных, подозрительных, скорость сканирования и прочее).
Не забыли разработчики и про карантин.
В карантинной панели (Quarantine Panel) отображается имя файла, размер, чем заражен и место его расположения. Структура карантинной папки напоминает почтовый электронный ящик: удаленные файлы помещаются в папку "Удаленные", а отправленные в компанию GeCAD — в папку "Отосланные".
Обновления вирусных сигнатур ежедневные.
Системные требования: Windows 95/98/NT или Windows2000.
Скачивать отсюда: ftp://ftp.ge-cadsoftware.com/pub/GeCAD/rav8/rav8win32eng.exe . Разрешается использовать бесплатно в течение 30 дней после установки на компьютер. Стоимость зарегистрированного продукта: 29USD (1 лицензия).
Вирусный ТОП-10. Сентябрь 2001г.
"Убедитесь, что в Вашей системе установлены все патчи и обновления. Это так же важно, как своевременное обновление антивирусных программ", — продолжает Купер.
В сентябре 2001 года корпорация Sophos обнаружила и нашла защиту против 890 новых вирусов. Их общее количество в базе данных антивируса Sophos Anti-Virus составило 68111.
Источник: www.sophos.com.
Доктор М
Вопросы по антивирусной защите принимаются здесь:
macrofag@hotbox.ru
(c) компьютерная газета
Блез Паскаль
530 миллионов долларов. Таков материальный ущерб, который нанес вирус Nimda менее чем за неделю с 18 по 22 сентября 2001 года. Такие данные приводятся в исследовании, подготовленном калифорнийской аналитической компанией Computer Economics www.computereconomics.com которая считает, что вскоре этот ущерб превысит отметку в 2,6 млрд долларов. Именно такая сумма потребовалась на нейтрализацию разрушений, нанесенных в июле и августе этого года другим вирусом — Соde Red. Из этой суммы 1,1 млрд стоили работы по восстановлению компьютеров, а 1,5 млрд — потери от снижения производительности труда.
Общая стоимость ущерба, нанесенного компьютерными вирусами, достигла уже 11,8 млрд долларов (на 22.09.01г). И это — не предел, потому что до конца года — еще целых три месяца. Вице-президент Computer Economics по исследованиям Майкл Эрбшлоу (Michael Erbschloe) еще до появления супер-вируса Nimda сообщил, что если не появится новых разрушительных вирусов, то к концу 2001 г. ущерб достигнет 15 млрд долларов США. Но новые вирусы появились...
Для сравнения — в 2000 ущерб составил 17,1 млрд, а в 1999 г. — 12,1 млрд.
Ущерб от вируса Sircam составил 1,05 млрд долларов США, от Love Bug — 8,75 млрд (учитываются потери и этого года тоже). Love Bug (I Love You) — это самый "любимый и дорогой" вирус за всю компьютерную историю. Появившись в мае 2000 года, он заразил более 40 миллионов компьютеров, мутировав при этом более чем 50 раз. На втором месте — червь Code Red — 2.62 млрд дол., третьим идет вирус Melissa — 1,1 млрд дол., а за ним — вирус SirCam.
Какие из этого можно сделать выводы? А вот какие: в 2008 году Интернет погибнет от компьютерных вирусов. Вот так. Не больше и не меньше. И именно в 2008 году, а не в 2009 или в 2007! Кто же берет на себя смелость давать такие ужасные прогнозы? Отвечаю. Это британская компания MessageLabs (www.messagelabs.com). В своем статистическом исследовании, результаты которого опубликованы в пресс-релизе 24 сентября, она предсказывает, что к 2008 году использование Интернета станет просто невозможным из-за постоянных вирусных эпидемий. Через 7 лет вирус будет находиться в каждом десятом электронном письме!
По данным MessageLabs, в 1999 г. один вирус приходился на 1400 писем, в 2000 г. — уже на 700, а сейчас вирус находится в каждом 300-м письме. Экстраполируя эти результаты, специалисты MessageLabs отмечают, что в 2004 г. будет заражена каждая сотня электронных посланий, а в 2015 г. вирусы будут контролировать 3 письма из четырех.
Что делать в такой ситуации?
Еще совсем недавно ответ на этот вопрос казался простым и ясным: применять антивирусные программы, а если Вы работаете в Интернет или интранет, то дополнительно установить еще брандмауэры (сетевые экраны или firewalls).
Обеспечивая достаточно высокий уровень внешней защиты, брандмауэры подходили любой компании. Однако, сегодня ситуация меняется. Алексей Лукацкий ("Журнал сетевых решений /LAN" №4/2001. "Доверьте свою безопасность профессионалам") отмечает: "Как показывает практика, только межсетевых экранов уже недостаточно. Необходимо применение и средств анализа защищенности, и систем обнаружения атак и т.д. Кроме того, создавая систему защиты на предприятии, важно привлечь высококвалифицированных специалистов, которые, условно говоря, не только знают, на какие кнопки надо нажимать, но и понимают, когда нажимать и к чему может привести то или иное действие" ( http://www.idg.ru/lan/2001/04/088.htm ).
Давно отмечено, что уровень знаний и опыта компьютерных вирусописателей и взломщиков таков, что позволяет им проникать через любые преграды и защиты.
А вот уровень подготовки администраторов компьютерных сетей, специалистов по защите информации, не говоря уже об обычных пользователях, порой оставляет желать лучшего. Вывод один — учиться, учиться и еще раз учиться. Или прибегать к помощи профессионалов.
Тем не менее, не все так уж и плохо. Осень — это не только пора дождей и появления новых вирусов. Осенью многие разработчики антивирусных программ обновляют свои программы и выпускают новые версии.
Так, например, компания McAfee, подразделение Network Associates, Inc., выпустила новую версию сканирующего механизма для антивирусных продуктов версий 4.5 и 5.0 — 4.1.50.
Вот основные возможности сканирующего механизма 4.1.50:
— Полная поддержка VirusScan 4.5 95/98/NT/2000/ME, NetShield NT/2000 4.5, GroupShield Exchange 4.5, GroupShield Domino 5.0, VirusScan TC 6.0, WebShield SMTP 4.5.
— Полная поддержка сканирующих механизмов 4.1.x.
— Поддержка архивов ACE (WinACE), BZIP, Zcompress, PKLITE32, ELiTeWrap, Joiner, PEBundle, PEBundle Write-To-Disk, tElock.
— Сканирование файлов, упакованных новыми версиями архиваторов Petite, ASPack, UPX, NeoLite, and PECompact.
— Сканирование файлов, упакованных архиватором LHA в форматах LH6 и LH7.
— Сканирование файлов Adobe Acrobat PDF 5.0.
— Сканирование файлов в формате MIME осуществляется по умолчанию.
— Сканирование VBS- и Java-скриптов в формате Unicode и Unicode big-endian.
— Сканирование компилированных файлов справки HTML (.CHM).
— Сканирование электронных сообщений MS Exchange в формате Transport-Neutral Encapsulation Format (TNEF).
— Сканирование почтовых архивов в формате Internet Message Connector (IMC).
— Сканирование несжатых VBA-скриптов в файлах Visio.
— Усовершенствован эвристический анализатор 32-битных Windows-приложений.
— Сканирование сжатых RTF- и HTML-файлов в среде Microsoft Outlook и Exchange.
— Сканирование файлов сообщений электронной почты Outlook Express (.EML) по умолчанию.
— Сканирование файлов .HTA (Script Component Type Libraries).
— Поддержка NTFS-потоков.
Не осталась в стороне и компания Symantec, которая 5 октября выпустила на рынок новую программу обеспечения безопасности Symantec Web Security2.0. Она предназначена для корпоративных пользователей, позволяет фильтровать информацию и анализировать поступающие данные на наличие вирусов. Программа, по словам разработчиков, полностью решает проблемы борьбы с вирусами и поступлением ненужной информации. Продукт совместим с ОС Windows и Solaris.
Вирусы, которые нас поразили
Remote Shell. Троян для Linux-компьютеров. Вирус обнаружен в Великобритании, по своим характеристикам он аналогичен вирусу Back Orifice, который "работает" с Windows-компьютерами. В вирусе отсутствует механизм самокопирования, поэтому он не будет представлять большой опасности для информационного сообщества.
Распространяется через электронную почту. Заразив Linux-компьютер, троян устанавливает в системе "черный ход", через который злоумышленник может подключаться к UDP-порту с номером 5503 и получать контроль над системой. После заражения компьютера Remote Shell посылает сообщение об этом на английский хакерский сайт, где хакеры получают списки зараженных компьютеров, подготовленных к вторжению. Пользователи могут проверить компьютеры на наличие трояна Remote Shell и удалить его в случае обнаружения. Для этого необходимо просто скачать бесплатную программу, предлагаемую на сайте американской компании Qualys, заполнив небольшую форму на странице https://www.qualys.com/form_remoteshell.html .
ПВО — противовирусная оборона
RAV AntiVirus Desktop v8. Разработчик: GeCAD Software, Румыния, Бухарест ( www.gecadsoftware.com ). Дистрибутив: 11 820 КБ. Версия 8.2.1.12 от 09.04.01 года с сигнатурами вирусов от 02.10.01 обнаруживает 61 971 вирусов и деструктивных программ.
RAV AntiVirus Desktop v.8 — довольно эффективный интегрированный антивирусный набор, рекомендуемый как для домашних пользователей так и больших профессионалов.
Установочная программа румынского антивируса чем-то напоминает установку Microsoft Office 2000 (-02). Инсталлятор разработан на основе бесплатного, но очень мощного инструмента Wise Installation System. Это позволяет пользователю выбирать для установки не только те компоненты, которые он желает (или не желает) инсталлировать, но и те, которые могут быть установлены по первому требованию человека.
Что предлагается нам установить или из каких частей состоит RAV Desktop?
1. RAV for Windows. Это основной компонент RAV Desktop. Он содержит конфигурационный центр и антивирусный сканер. При установке этого компонента пользователь может отключить следующие параметры инсталлятора, включенные по умолчанию: добавление на Рабочий стол ярлыка для запуска RAV Desktop, автозапуск RAV Desktop при включении компьютера, автоматическое сканирование всех жестких дисков при первом запуске антивируса.
2. RAV for DOS. Версия антивируса для DOS. Работает из командной строки. Бесплатен для домашнего использования.
3. RAV Monitor. Антивирусный монитор (резидентный сторож). Проверяет файлы в тот момент, когда к ним происходит обращение.
4. RAV Update Reminder. Самый простой способ узнать о проявлении новой версии антивируса RAV. Для работы требуется соединение с Интернетом.
5. RAV for Office 2000. Плагин (plugin) для Microsoft Office 2000, позволяющий антивирусу проверять все открываемые объекты офисными программами.
6. RAV for Outlook. Плагин для Microsoft Outlook, проверяющий входящие и исходящие почтовые сообщения.
7. RAV for Internet Browsers. Набор плагинов для Microsoft Internet Explorer (начиная с версии 4 и выше), Netscape Navigator Messenger (версия 4 и выше), Opera (версия 4 и выше).
В состав антивируса RAV входит библиотека по имеющимся вирусам (Virus Info). Все вирусы и деструктивные коды отсортированы и разделены на несколько категорий: по операционным системам, в которых они паразитируют (Windows, DOS, Linux), по языку реализации (макро- и скрипт-вирусы) и прочие категории (трояны, help, интернет-черви и multi).
Правда, описания вредителей, имеющиеся в энциклопедии, настолько коротки, что портят все впечатление от справочника.
Одна из довольно интересных функций антивируса называется "Мой советник" (My Advisor). Советник представляет из себя кнопку программы, нажав на которую пользователь попадает на специализированную web-страницу.
Там он может узнать о последних вирусных новостях, получить совет о том, как защитить свой компьютер и скачать последние обновления баз данных по вирусным сигнатурам.
Антивирус RAV все выполняемые действия записывает в особый файл регистраций (log file) и показывает очень подробную статистику (число проверенных файлов, папок, архивов, упакованных, зараженных, подозрительных, скорость сканирования и прочее).
Не забыли разработчики и про карантин.
В карантинной панели (Quarantine Panel) отображается имя файла, размер, чем заражен и место его расположения. Структура карантинной папки напоминает почтовый электронный ящик: удаленные файлы помещаются в папку "Удаленные", а отправленные в компанию GeCAD — в папку "Отосланные".
Обновления вирусных сигнатур ежедневные.
Системные требования: Windows 95/98/NT или Windows2000.
Скачивать отсюда: ftp://ftp.ge-cadsoftware.com/pub/GeCAD/rav8/rav8win32eng.exe . Разрешается использовать бесплатно в течение 30 дней после установки на компьютер. Стоимость зарегистрированного продукта: 29USD (1 лицензия).
Вирусный ТОП-10. Сентябрь 2001г.
1.W32/Nimda А 71.2% 2 W32/Sircam-A 11.4% 3 W32/Magistr-A 3.7% 4 W32/Magistr-B 3.0% 5 W32/Hybri s-B 1.5% 6,7,8 W32/Apology-B, VBS/Kakworm, W32/Flcss по 0.7% 9 W32/Bymer-A 0.5% 10 W32/Badtrans-A 0. 4% Все остальные 6.2%"Вирус Nimda атакует со всех сторон. Он использует ряд известных уязвимых мест в безопасности, — отметил Питер Купер (Peter Cooper), менеджер по поддержке антивируса Sophos Anti-Virus в Великобритании. — Несмотря на высокий приоритет предупреждений о вирусе, он продолжает заражать тех людей, которые не сумели обновить свои антивирусы".
"Убедитесь, что в Вашей системе установлены все патчи и обновления. Это так же важно, как своевременное обновление антивирусных программ", — продолжает Купер.
В сентябре 2001 года корпорация Sophos обнаружила и нашла защиту против 890 новых вирусов. Их общее количество в базе данных антивируса Sophos Anti-Virus составило 68111.
Источник: www.sophos.com.
Доктор М
Вопросы по антивирусной защите принимаются здесь:
macrofag@hotbox.ru
(c) компьютерная газета
Компьютерная газета. Статья была опубликована в номере 38 за 2001 год в рубрике безопасность :: Антивирусное обозрение