Берегись каждого, кому ты сделал добро

Антивирусное обозрение "Берегись каждого, кому ты сделал добро"
Турецкая пословица

Наконец-то я могу сообщить полный список антивирусных программ, которые в сентябре месяце достойно выдержали жесткое тестирование, проводимое известным международным журналом Virus Bulletin ("Вирусный бюллетень" http://www.virusbtn.com, Великобритания). Почему "наконец-то"? Потому что в борьбе с нашествием вируса Nimda (Admin наоборот) просто не хватало времени уделить немного внимания лучшим антивирусным программам. А зря.
В качестве испытательной платформы использовалась операционная система Novell NetWare 5. В последний раз проверка программ в этой среде выполнялась ровно год назад. Тогда среди лучших программ значился и Norton Antivirus от компании Symantec. Теперь его нет. Победителями стали следующие антивирусы (они определили все 100% предложенных им вирусов):
— Computer Associates InoculateIT v4.5 ( http://www.cai.com/ )
— Computer Associates Vet Anti-Virus v10.3.4 ( http://www.vet.com.au/ )
— DialogueScience DrWeb v4.25 ( http://www.dials.ru/ )
— ESET NOD32 v1.99 ( http://www.eset.sk/ )
— Kaspersky Lab KAV v3.06.04 ( http://www.avp.ru/ )
— Norman Virus Control v4.05 ( http://www.norman.no/ )
— Virusbuster VBShield v1.09 ( http://www.virusbuster.hu/ )
Да, компания Symantec потихоньку сдает свои высокие позиции. Так, недавно в антивирусных программах Symantec немецкие хакеры из группы Phenoelit нашли опасную дыру, о которой они сообщили разработчикам 22 сентября. Дыра находится в программе LiveUpdate (версия 1.4 и 1.6), предназначенной для автоматического обновления через Internet антивирусных продуктов. Ошибка в системе защиты позволяет злоумышленнику загрузить на уязвимый компьютер любые программы, среди которых могут быть вирусы, трояны и утилиты удаленного администрирования.
В случае с версией LiveUpdate 1.4 с помощью хакерских атак на DNS-сервер возможно перенаправление соединения не на сервер Symantec, предназначенный для автоматического обновления, а на любой другой. А если каталоги будут совпадать с теми, к которым привык LiveUpdate, то он не заметит подмены и загрузит все, что ему предложат.
А вот версия 1.6 в состоянии отличить подделку от настоящего обновления. Это достигается использованием специального формата данных и шифрованием update-файлов. И хотя компьютерные взломщики не могут заставить ее скачивать что угодно, они в состоянии запретить загрузку обновлений. Казалось бы, пустяк? Да, но в таком случае компьютер становится беззащитным перед новыми вирусами. А как показывает недавняя история с вирусом Nimda, новые паразиты могут быть опаснее старых.
Как сообщалось ранее, известный Интернет-червь SirCam каждый год 16 октября с вероятностью 5% активизирует одну из своих деструктивных функций. Но, как удалось выяснить Лабратории Касперского, во всех известных на сегодняшний день модификациях "SirCam" имеется ошибка, из-за которой вирус не способен уничтожать данные 16 октября. Однако, не стоит забывать о том, что SirCam любит рассыласть случайным образом выбранные файлы на диске по разным адресам, что приводит к утечке важной или секретной информации.

ПВО — противовирусная оборона


5 Антивирусный пакет австрийских вирусологов состоит всего из двух программ (а зачем больше?!): сканирующего модуля — полифага с непростым названием virus utilities WINDOWS 9X (Version 5.02, июль 2001 года) и резидентного сторожа IKARUS Guard 9X (V4.00).

Сразу заметим, что при запуске "вирусных утилит" (virus utilities WINDOWS 9X) пользователю предлагается на выбор один трех возможных языков общения: немецкий, английский и корейский. А вот IKARUS Guard 9X поддерживает только первые два языка! К сожалению, многоязычность исчезает, когда начинаешь обращаться к файлу справки. Помощь предлагается исключительно на немецком языке. По крайней мере, в демонстрационной версии это так.

Что умеет делать резидентный сторож Guard 9X? С его помощью можно задавать вручную направления поиска вирусов: на дискетах, логических дисках винчестеров, CD-ROMах и в локальной сети. Guard 9X ведет статистику по найденным вирусам: имя зараженного файла, маршрут, вирус в файле, дата выявления и прочее. Список обнаруженных резидентным сторожем вирусов можно сохранить в отдельный файл на любой информационный носитель или распечатать на принтере.

Если нет необходимости сканировать все файлы подряд, то можно их ограничить, указав программе проверять файлы с критичными расширениями. Например, это могут быть только программы или только документы, программы и документы, а также файлы, расширения которых задаются самим пользователем.

Guard 9X отслеживает появление новых и измененные файлы на диске, просматривая их на наличие вирусов. В случае обнаружения зараженного файла (если включено оповещение) открывается окно программы со списком найденных вирусов. Удаление вируса из этого списка (выполняется вручную) автоматически удаляет его и с диска.

Разработчики не забыли и про эвристический анализ. Включение этой опции позволяет резидентному сторожу находить новые, еще неизвестные ему и отсутствующие в базе данных вирусы. Антивирус анализирует выполняемый код и в случае обнаружения подозрительных, вирусоподобных действий начинает бить тревогу.

Кроме этого Guard 9X способен выполнять функции планировщика: можно настроить программу на запуск антивируса в определенное время и на регулярность проверки необходимых дисков (ежедневно, еженедельно или ежемесячно).

При установке трехдюймовой стандартной дискеты в дисковод компьютера и обращении к ней, Guard 9X автоматически начинает проверять все файлы, находящиеся на диске. Только тогда, когда антивирус полностью закончит проверку, пользователь может продолжать работу с дискетой. Когда файлов немного, то этот процесс проверки проходит быстро, а если много, то сканирование затягивается. Однако, лучше потерять 2-3 минуты на обследование, чем пропустить в систему опасный вирус.

Сканер-полифаг — это не совсем обычная антивирусная программа, потому что, в отличие от других сканеров, в ней есть такие опции, которых нет в других. Недаром разработчики называют ее "вирусные утилиты". Посудите сами.

Утилита умеет сохранять системные области и данные CMOS в отдельный файл, откуда потом их можно легко восстановить или сравнить друг с другом. А в случае повреждения загрузочных записей на гибком диске или винчестере программа имеет средства для устранения неисправностей.

Только после официальной регистрации сканер-полифаг сможет не только лечить файлы от вирусов, но и удалять, переименовывать или перемещать зараженные файлы. А пока эти опции недоступны. Все, что он может в ознакомительном режиме — это вести отчет о найденных электронных паразитах и записывать его в файл регистрации (log-файл).

Дополнительно следует упомянуть о том, что обе программы поддерживают работу с сетевыми дисками, даже в demo-режиме.

К сожалению, обновления баз данных вирусных сигнатур приходится скачивать вручную с сайта разработчика. При этом они довольно объемистые. Например, обновление от 12 октября 2001 года "потянуло" на 1980 КБ.

Демонстрационную версию скачивать отсюда: http://download.ikarus.at/demo/ger/vuw9x/pak/dw010918.exe . Стоимость годовой лицензии полностью функциональной версии антивируса на один компьютер — 42 USD.

Вирусный ТОП-10. 10-17 октября 2001г.


Название

Число зараженных компьютеров

%
W32/Nimda.eml
123,210

24.22
W32/Nimda@MM
76,689

15.07
W32/Magistr.a@MM
29,670

5.83
VBS/LoveLetter@MM
26,668

5.24
W32/Nimda.htm
22,947

4.51
W32/SirCam@MM
13,674

2.69
W32/Magistr.b@MM
12,818

2.52
VBS/Haptime.a@MM
11,391

2.24
W32/Ska.dll@M
9,666

1.90
W32/FunLove.gen
6,168

1.21
Источник: www.mcafee.com .
Всего заражено 508,722 компьютеров.

Вирусы, которые нас поразили

В российском Интернете появилась троянская программы DLER. В отличие от многих других аналогичных троянов, DLER распространяется по электронной почте, присоединяясь к письму, в котором предлагается очередная схема быстрого разбогащения. Как сообщила "Лаборатория Касперского", 12 октября неизвестными злоумышленниками была произведена массовая рассылка этой троянской программы с адреса freemoney@df.ru .

Виртуальный мир чутко реагирует на все события мира реального. Появилось два новых интернет-червя, распространяющихся с письмами, якобы несущими в себе важную информацию о сибирской язве. Хотите заразиться? Вскрывайте конверты, не глядя!

1. DLER. Троян семейства Trojan Downloader. Распространяется по электронной почте вместе с письмом, имеющим следующие характеристики. Тема: Информация.

Текст письма: "Я хочу поделиться с Вами информацией и особенно с теми из Вас, кто занимается бизнесом или каким-то боком с ним сталкивается. Если у Вас проблемы с поставкой товара или же Вам его хочется купить больше, но не получается — прочтите внимательно прикрепленный к письму файл сами и дайте задание тому человеку, который у Вас отвечает за компьютеры и все что связано с ними...

Внимательно прочитайте прикрепленный файл business.doc. В нем содержится вся необходимая информация. Перед отправкой файл был проверен на наличие вирусов: вирусов нет. ЕСЛИ ВАС ЭТО НЕ ИНТЕРЕСУЕТ — ПРОСЬБА НЕ ОТВЕЧАТЬ НА ЭТО ПИСЬМО!"

Одним из компонентов письма является внедренный EXE-файл, который и содержит троян. Если на компьютере не установлена специальная заплатка для Internet Explorer, то этот файл автоматически запускается при чтении письма.

После активации троян внедряется в систему и незаметно для пользователя загружает с веб-сайта другой троян — Hooker, который собирает все персональные данные о пользователе (имя, адрес, пароли доступа), перехватывает нажатия клавиш и отсылает их взломщикам.

2. VBS.VBSWG.AF@mm (VBS/Anthrax) . Интернет-червь, обнаружен в диком виде. Написан на VBS. Распространяется через почтовые сообщения и IRC. Размер — 6021 байт. Создан с помощью конструктора вирусов VBSWG v1.0, как и вирус "Анна Курникова".

Приходит по почте с письмом (или по каналам IRC), имеющим следующий заголовок (тему): Antrax Info. Тело письма состоит из текста на испанском языке. Присоединяемый файл: antraxinfo.vbs или antrax.jpg.vbs.

После активизации вирус внедряется в систему (копирует себя в системный директорий Windows) и регистрирует себя в реестре, чтобы запускаться каждый раз при включении компьютера. Червь пытается разослать свои копии по всем адресам, содержащимся в адресной книге Outlook. Затем он уничтожают на компьютере все файлы с расширением VBS и VBE, переписывая их своей копией.

Первого января вирус будет показывать окно с сообщением: "Antrax Worm By wAsEk".

К счастью для пользователей, в коде вируса содержатся ошибки, из-за которых червь не может эффективно размножаться.

Доктор М
Вопросы по антивирусной защите присылать сюда:
macrofag@hotbox.ru


(c) компьютерная газета


Компьютерная газета. Статья была опубликована в номере 40 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2024 Компьютерная газета