Берегись каждого, кому ты сделал добро
Антивирусное обозрение "Берегись каждого, кому ты сделал добро"
Турецкая пословица
Наконец-то я могу сообщить полный список антивирусных программ, которые в сентябре месяце достойно выдержали жесткое тестирование, проводимое известным международным журналом Virus Bulletin ("Вирусный бюллетень" http://www.virusbtn.com, Великобритания). Почему "наконец-то"? Потому что в борьбе с нашествием вируса Nimda (Admin наоборот) просто не хватало времени уделить немного внимания лучшим антивирусным программам. А зря.
В качестве испытательной платформы использовалась операционная система Novell NetWare 5. В последний раз проверка программ в этой среде выполнялась ровно год назад. Тогда среди лучших программ значился и Norton Antivirus от компании Symantec. Теперь его нет. Победителями стали следующие антивирусы (они определили все 100% предложенных им вирусов):
— Computer Associates InoculateIT v4.5 ( http://www.cai.com/ )
— Computer Associates Vet Anti-Virus v10.3.4 ( http://www.vet.com.au/ )
— DialogueScience DrWeb v4.25 ( http://www.dials.ru/ )
— ESET NOD32 v1.99 ( http://www.eset.sk/ )
— Kaspersky Lab KAV v3.06.04 ( http://www.avp.ru/ )
— Norman Virus Control v4.05 ( http://www.norman.no/ )
— Virusbuster VBShield v1.09 ( http://www.virusbuster.hu/ )
Да, компания Symantec потихоньку сдает свои высокие позиции. Так, недавно в антивирусных программах Symantec немецкие хакеры из группы Phenoelit нашли опасную дыру, о которой они сообщили разработчикам 22 сентября. Дыра находится в программе LiveUpdate (версия 1.4 и 1.6), предназначенной для автоматического обновления через Internet антивирусных продуктов. Ошибка в системе защиты позволяет злоумышленнику загрузить на уязвимый компьютер любые программы, среди которых могут быть вирусы, трояны и утилиты удаленного администрирования.
В случае с версией LiveUpdate 1.4 с помощью хакерских атак на DNS-сервер возможно перенаправление соединения не на сервер Symantec, предназначенный для автоматического обновления, а на любой другой. А если каталоги будут совпадать с теми, к которым привык LiveUpdate, то он не заметит подмены и загрузит все, что ему предложат.
А вот версия 1.6 в состоянии отличить подделку от настоящего обновления. Это достигается использованием специального формата данных и шифрованием update-файлов. И хотя компьютерные взломщики не могут заставить ее скачивать что угодно, они в состоянии запретить загрузку обновлений. Казалось бы, пустяк? Да, но в таком случае компьютер становится беззащитным перед новыми вирусами. А как показывает недавняя история с вирусом Nimda, новые паразиты могут быть опаснее старых.
Как сообщалось ранее, известный Интернет-червь SirCam каждый год 16 октября с вероятностью 5% активизирует одну из своих деструктивных функций. Но, как удалось выяснить Лабратории Касперского, во всех известных на сегодняшний день модификациях "SirCam" имеется ошибка, из-за которой вирус не способен уничтожать данные 16 октября. Однако, не стоит забывать о том, что SirCam любит рассыласть случайным образом выбранные файлы на диске по разным адресам, что приводит к утечке важной или секретной информации.
ПВО — противовирусная оборона
5 Антивирусный пакет австрийских вирусологов состоит всего из двух программ (а зачем больше?!): сканирующего модуля — полифага с непростым названием virus utilities WINDOWS 9X (Version 5.02, июль 2001 года) и резидентного сторожа IKARUS Guard 9X (V4.00).
Сразу заметим, что при запуске "вирусных утилит" (virus utilities WINDOWS 9X) пользователю предлагается на выбор один трех возможных языков общения: немецкий, английский и корейский. А вот IKARUS Guard 9X поддерживает только первые два языка! К сожалению, многоязычность исчезает, когда начинаешь обращаться к файлу справки. Помощь предлагается исключительно на немецком языке. По крайней мере, в демонстрационной версии это так.
Что умеет делать резидентный сторож Guard 9X? С его помощью можно задавать вручную направления поиска вирусов: на дискетах, логических дисках винчестеров, CD-ROMах и в локальной сети. Guard 9X ведет статистику по найденным вирусам: имя зараженного файла, маршрут, вирус в файле, дата выявления и прочее. Список обнаруженных резидентным сторожем вирусов можно сохранить в отдельный файл на любой информационный носитель или распечатать на принтере.
Если нет необходимости сканировать все файлы подряд, то можно их ограничить, указав программе проверять файлы с критичными расширениями. Например, это могут быть только программы или только документы, программы и документы, а также файлы, расширения которых задаются самим пользователем.
Guard 9X отслеживает появление новых и измененные файлы на диске, просматривая их на наличие вирусов. В случае обнаружения зараженного файла (если включено оповещение) открывается окно программы со списком найденных вирусов. Удаление вируса из этого списка (выполняется вручную) автоматически удаляет его и с диска.
Разработчики не забыли и про эвристический анализ. Включение этой опции позволяет резидентному сторожу находить новые, еще неизвестные ему и отсутствующие в базе данных вирусы. Антивирус анализирует выполняемый код и в случае обнаружения подозрительных, вирусоподобных действий начинает бить тревогу.
Кроме этого Guard 9X способен выполнять функции планировщика: можно настроить программу на запуск антивируса в определенное время и на регулярность проверки необходимых дисков (ежедневно, еженедельно или ежемесячно).
При установке трехдюймовой стандартной дискеты в дисковод компьютера и обращении к ней, Guard 9X автоматически начинает проверять все файлы, находящиеся на диске. Только тогда, когда антивирус полностью закончит проверку, пользователь может продолжать работу с дискетой. Когда файлов немного, то этот процесс проверки проходит быстро, а если много, то сканирование затягивается. Однако, лучше потерять 2-3 минуты на обследование, чем пропустить в систему опасный вирус.
Сканер-полифаг — это не совсем обычная антивирусная программа, потому что, в отличие от других сканеров, в ней есть такие опции, которых нет в других. Недаром разработчики называют ее "вирусные утилиты". Посудите сами.
Утилита умеет сохранять системные области и данные CMOS в отдельный файл, откуда потом их можно легко восстановить или сравнить друг с другом. А в случае повреждения загрузочных записей на гибком диске или винчестере программа имеет средства для устранения неисправностей.
Только после официальной регистрации сканер-полифаг сможет не только лечить файлы от вирусов, но и удалять, переименовывать или перемещать зараженные файлы. А пока эти опции недоступны. Все, что он может в ознакомительном режиме — это вести отчет о найденных электронных паразитах и записывать его в файл регистрации (log-файл).
Дополнительно следует упомянуть о том, что обе программы поддерживают работу с сетевыми дисками, даже в demo-режиме.
К сожалению, обновления баз данных вирусных сигнатур приходится скачивать вручную с сайта разработчика. При этом они довольно объемистые. Например, обновление от 12 октября 2001 года "потянуло" на 1980 КБ.
Демонстрационную версию скачивать отсюда: http://download.ikarus.at/demo/ger/vuw9x/pak/dw010918.exe . Стоимость годовой лицензии полностью функциональной версии антивируса на один компьютер — 42 USD.
Вирусный ТОП-10. 10-17 октября 2001г.
Источник: www.mcafee.com .
Всего заражено 508,722 компьютеров.
Вирусы, которые нас поразили
В российском Интернете появилась троянская программы DLER. В отличие от многих других аналогичных троянов, DLER распространяется по электронной почте, присоединяясь к письму, в котором предлагается очередная схема быстрого разбогащения. Как сообщила "Лаборатория Касперского", 12 октября неизвестными злоумышленниками была произведена массовая рассылка этой троянской программы с адреса freemoney@df.ru .
Виртуальный мир чутко реагирует на все события мира реального. Появилось два новых интернет-червя, распространяющихся с письмами, якобы несущими в себе важную информацию о сибирской язве. Хотите заразиться? Вскрывайте конверты, не глядя!
1. DLER. Троян семейства Trojan Downloader. Распространяется по электронной почте вместе с письмом, имеющим следующие характеристики. Тема: Информация.
Текст письма: "Я хочу поделиться с Вами информацией и особенно с теми из Вас, кто занимается бизнесом или каким-то боком с ним сталкивается. Если у Вас проблемы с поставкой товара или же Вам его хочется купить больше, но не получается — прочтите внимательно прикрепленный к письму файл сами и дайте задание тому человеку, который у Вас отвечает за компьютеры и все что связано с ними...
Внимательно прочитайте прикрепленный файл business.doc. В нем содержится вся необходимая информация. Перед отправкой файл был проверен на наличие вирусов: вирусов нет. ЕСЛИ ВАС ЭТО НЕ ИНТЕРЕСУЕТ — ПРОСЬБА НЕ ОТВЕЧАТЬ НА ЭТО ПИСЬМО!"
Одним из компонентов письма является внедренный EXE-файл, который и содержит троян. Если на компьютере не установлена специальная заплатка для Internet Explorer, то этот файл автоматически запускается при чтении письма.
После активации троян внедряется в систему и незаметно для пользователя загружает с веб-сайта другой троян — Hooker, который собирает все персональные данные о пользователе (имя, адрес, пароли доступа), перехватывает нажатия клавиш и отсылает их взломщикам.
2. VBS.VBSWG.AF@mm (VBS/Anthrax) . Интернет-червь, обнаружен в диком виде. Написан на VBS. Распространяется через почтовые сообщения и IRC. Размер — 6021 байт. Создан с помощью конструктора вирусов VBSWG v1.0, как и вирус "Анна Курникова".
Приходит по почте с письмом (или по каналам IRC), имеющим следующий заголовок (тему): Antrax Info. Тело письма состоит из текста на испанском языке. Присоединяемый файл: antraxinfo.vbs или antrax.jpg.vbs.
После активизации вирус внедряется в систему (копирует себя в системный директорий Windows) и регистрирует себя в реестре, чтобы запускаться каждый раз при включении компьютера. Червь пытается разослать свои копии по всем адресам, содержащимся в адресной книге Outlook. Затем он уничтожают на компьютере все файлы с расширением VBS и VBE, переписывая их своей копией.
Первого января вирус будет показывать окно с сообщением: "Antrax Worm By wAsEk".
К счастью для пользователей, в коде вируса содержатся ошибки, из-за которых червь не может эффективно размножаться.
Доктор М
Вопросы по антивирусной защите присылать сюда:
macrofag@hotbox.ru
(c) компьютерная газета
Турецкая пословица
Наконец-то я могу сообщить полный список антивирусных программ, которые в сентябре месяце достойно выдержали жесткое тестирование, проводимое известным международным журналом Virus Bulletin ("Вирусный бюллетень" http://www.virusbtn.com, Великобритания). Почему "наконец-то"? Потому что в борьбе с нашествием вируса Nimda (Admin наоборот) просто не хватало времени уделить немного внимания лучшим антивирусным программам. А зря.
В качестве испытательной платформы использовалась операционная система Novell NetWare 5. В последний раз проверка программ в этой среде выполнялась ровно год назад. Тогда среди лучших программ значился и Norton Antivirus от компании Symantec. Теперь его нет. Победителями стали следующие антивирусы (они определили все 100% предложенных им вирусов):
— Computer Associates InoculateIT v4.5 ( http://www.cai.com/ )
— Computer Associates Vet Anti-Virus v10.3.4 ( http://www.vet.com.au/ )
— DialogueScience DrWeb v4.25 ( http://www.dials.ru/ )
— ESET NOD32 v1.99 ( http://www.eset.sk/ )
— Kaspersky Lab KAV v3.06.04 ( http://www.avp.ru/ )
— Norman Virus Control v4.05 ( http://www.norman.no/ )
— Virusbuster VBShield v1.09 ( http://www.virusbuster.hu/ )
Да, компания Symantec потихоньку сдает свои высокие позиции. Так, недавно в антивирусных программах Symantec немецкие хакеры из группы Phenoelit нашли опасную дыру, о которой они сообщили разработчикам 22 сентября. Дыра находится в программе LiveUpdate (версия 1.4 и 1.6), предназначенной для автоматического обновления через Internet антивирусных продуктов. Ошибка в системе защиты позволяет злоумышленнику загрузить на уязвимый компьютер любые программы, среди которых могут быть вирусы, трояны и утилиты удаленного администрирования.
В случае с версией LiveUpdate 1.4 с помощью хакерских атак на DNS-сервер возможно перенаправление соединения не на сервер Symantec, предназначенный для автоматического обновления, а на любой другой. А если каталоги будут совпадать с теми, к которым привык LiveUpdate, то он не заметит подмены и загрузит все, что ему предложат.
А вот версия 1.6 в состоянии отличить подделку от настоящего обновления. Это достигается использованием специального формата данных и шифрованием update-файлов. И хотя компьютерные взломщики не могут заставить ее скачивать что угодно, они в состоянии запретить загрузку обновлений. Казалось бы, пустяк? Да, но в таком случае компьютер становится беззащитным перед новыми вирусами. А как показывает недавняя история с вирусом Nimda, новые паразиты могут быть опаснее старых.
Как сообщалось ранее, известный Интернет-червь SirCam каждый год 16 октября с вероятностью 5% активизирует одну из своих деструктивных функций. Но, как удалось выяснить Лабратории Касперского, во всех известных на сегодняшний день модификациях "SirCam" имеется ошибка, из-за которой вирус не способен уничтожать данные 16 октября. Однако, не стоит забывать о том, что SirCam любит рассыласть случайным образом выбранные файлы на диске по разным адресам, что приводит к утечке важной или секретной информации.
5 Антивирусный пакет австрийских вирусологов состоит всего из двух программ (а зачем больше?!): сканирующего модуля — полифага с непростым названием virus utilities WINDOWS 9X (Version 5.02, июль 2001 года) и резидентного сторожа IKARUS Guard 9X (V4.00).
Сразу заметим, что при запуске "вирусных утилит" (virus utilities WINDOWS 9X) пользователю предлагается на выбор один трех возможных языков общения: немецкий, английский и корейский. А вот IKARUS Guard 9X поддерживает только первые два языка! К сожалению, многоязычность исчезает, когда начинаешь обращаться к файлу справки. Помощь предлагается исключительно на немецком языке. По крайней мере, в демонстрационной версии это так.
Что умеет делать резидентный сторож Guard 9X? С его помощью можно задавать вручную направления поиска вирусов: на дискетах, логических дисках винчестеров, CD-ROMах и в локальной сети. Guard 9X ведет статистику по найденным вирусам: имя зараженного файла, маршрут, вирус в файле, дата выявления и прочее. Список обнаруженных резидентным сторожем вирусов можно сохранить в отдельный файл на любой информационный носитель или распечатать на принтере.
Если нет необходимости сканировать все файлы подряд, то можно их ограничить, указав программе проверять файлы с критичными расширениями. Например, это могут быть только программы или только документы, программы и документы, а также файлы, расширения которых задаются самим пользователем.
Guard 9X отслеживает появление новых и измененные файлы на диске, просматривая их на наличие вирусов. В случае обнаружения зараженного файла (если включено оповещение) открывается окно программы со списком найденных вирусов. Удаление вируса из этого списка (выполняется вручную) автоматически удаляет его и с диска.
Разработчики не забыли и про эвристический анализ. Включение этой опции позволяет резидентному сторожу находить новые, еще неизвестные ему и отсутствующие в базе данных вирусы. Антивирус анализирует выполняемый код и в случае обнаружения подозрительных, вирусоподобных действий начинает бить тревогу.
Кроме этого Guard 9X способен выполнять функции планировщика: можно настроить программу на запуск антивируса в определенное время и на регулярность проверки необходимых дисков (ежедневно, еженедельно или ежемесячно).
При установке трехдюймовой стандартной дискеты в дисковод компьютера и обращении к ней, Guard 9X автоматически начинает проверять все файлы, находящиеся на диске. Только тогда, когда антивирус полностью закончит проверку, пользователь может продолжать работу с дискетой. Когда файлов немного, то этот процесс проверки проходит быстро, а если много, то сканирование затягивается. Однако, лучше потерять 2-3 минуты на обследование, чем пропустить в систему опасный вирус.
Сканер-полифаг — это не совсем обычная антивирусная программа, потому что, в отличие от других сканеров, в ней есть такие опции, которых нет в других. Недаром разработчики называют ее "вирусные утилиты". Посудите сами.
Утилита умеет сохранять системные области и данные CMOS в отдельный файл, откуда потом их можно легко восстановить или сравнить друг с другом. А в случае повреждения загрузочных записей на гибком диске или винчестере программа имеет средства для устранения неисправностей.
Только после официальной регистрации сканер-полифаг сможет не только лечить файлы от вирусов, но и удалять, переименовывать или перемещать зараженные файлы. А пока эти опции недоступны. Все, что он может в ознакомительном режиме — это вести отчет о найденных электронных паразитах и записывать его в файл регистрации (log-файл).
Дополнительно следует упомянуть о том, что обе программы поддерживают работу с сетевыми дисками, даже в demo-режиме.
К сожалению, обновления баз данных вирусных сигнатур приходится скачивать вручную с сайта разработчика. При этом они довольно объемистые. Например, обновление от 12 октября 2001 года "потянуло" на 1980 КБ.
Демонстрационную версию скачивать отсюда: http://download.ikarus.at/demo/ger/vuw9x/pak/dw010918.exe . Стоимость годовой лицензии полностью функциональной версии антивируса на один компьютер — 42 USD.
Вирусный ТОП-10. 10-17 октября 2001г.
Название | Число зараженных компьютеров | % |
| W32/Nimda.eml | 123,210 | 24.22 |
| W32/Nimda@MM | 76,689 | 15.07 |
| W32/Magistr.a@MM | 29,670 | 5.83 |
| VBS/LoveLetter@MM | 26,668 | 5.24 |
| W32/Nimda.htm | 22,947 | 4.51 |
| W32/SirCam@MM | 13,674 | 2.69 |
| W32/Magistr.b@MM | 12,818 | 2.52 |
| VBS/Haptime.a@MM | 11,391 | 2.24 |
| W32/Ska.dll@M | 9,666 | 1.90 |
| W32/FunLove.gen | 6,168 | 1.21 |
Всего заражено 508,722 компьютеров.
Вирусы, которые нас поразили
В российском Интернете появилась троянская программы DLER. В отличие от многих других аналогичных троянов, DLER распространяется по электронной почте, присоединяясь к письму, в котором предлагается очередная схема быстрого разбогащения. Как сообщила "Лаборатория Касперского", 12 октября неизвестными злоумышленниками была произведена массовая рассылка этой троянской программы с адреса freemoney@df.ru .
Виртуальный мир чутко реагирует на все события мира реального. Появилось два новых интернет-червя, распространяющихся с письмами, якобы несущими в себе важную информацию о сибирской язве. Хотите заразиться? Вскрывайте конверты, не глядя!
1. DLER. Троян семейства Trojan Downloader. Распространяется по электронной почте вместе с письмом, имеющим следующие характеристики. Тема: Информация.
Текст письма: "Я хочу поделиться с Вами информацией и особенно с теми из Вас, кто занимается бизнесом или каким-то боком с ним сталкивается. Если у Вас проблемы с поставкой товара или же Вам его хочется купить больше, но не получается — прочтите внимательно прикрепленный к письму файл сами и дайте задание тому человеку, который у Вас отвечает за компьютеры и все что связано с ними...
Внимательно прочитайте прикрепленный файл business.doc. В нем содержится вся необходимая информация. Перед отправкой файл был проверен на наличие вирусов: вирусов нет. ЕСЛИ ВАС ЭТО НЕ ИНТЕРЕСУЕТ — ПРОСЬБА НЕ ОТВЕЧАТЬ НА ЭТО ПИСЬМО!"
Одним из компонентов письма является внедренный EXE-файл, который и содержит троян. Если на компьютере не установлена специальная заплатка для Internet Explorer, то этот файл автоматически запускается при чтении письма.
После активации троян внедряется в систему и незаметно для пользователя загружает с веб-сайта другой троян — Hooker, который собирает все персональные данные о пользователе (имя, адрес, пароли доступа), перехватывает нажатия клавиш и отсылает их взломщикам.
2. VBS.VBSWG.AF@mm (VBS/Anthrax) . Интернет-червь, обнаружен в диком виде. Написан на VBS. Распространяется через почтовые сообщения и IRC. Размер — 6021 байт. Создан с помощью конструктора вирусов VBSWG v1.0, как и вирус "Анна Курникова".
Приходит по почте с письмом (или по каналам IRC), имеющим следующий заголовок (тему): Antrax Info. Тело письма состоит из текста на испанском языке. Присоединяемый файл: antraxinfo.vbs или antrax.jpg.vbs.
После активизации вирус внедряется в систему (копирует себя в системный директорий Windows) и регистрирует себя в реестре, чтобы запускаться каждый раз при включении компьютера. Червь пытается разослать свои копии по всем адресам, содержащимся в адресной книге Outlook. Затем он уничтожают на компьютере все файлы с расширением VBS и VBE, переписывая их своей копией.
Первого января вирус будет показывать окно с сообщением: "Antrax Worm By wAsEk".
К счастью для пользователей, в коде вируса содержатся ошибки, из-за которых червь не может эффективно размножаться.
Доктор М
Вопросы по антивирусной защите присылать сюда:
macrofag@hotbox.ru
(c) компьютерная газета
Компьютерная газета. Статья была опубликована в номере 40 за 2001 год в рубрике безопасность :: Антивирусное обозрение
