Ничего не потеряно, пока не потеряно все

Антивирусное обозрение "Ничего не потеряно, пока не потеряно все"
Афоризм программистов.
Чаще всего в компьютерной и обычной прессе встречаются заметки о новых вирусах. Это и понятно: во-первых, сенсация (читатели это любят), во-вторых, прямое предупреждение пользователям не зевать, а усилить безопасность (обновить антивирусные базы). В-третьих, писать о вирусах не просто, а очень просто ("супервредный, такого еще не было, эпидемия растет прямо на глазах, Интернет вот-вот будет парализован, миллиардные убытки" и прочее). К счастью, читатели уже попривыкли к подобным сообщениям и встречают их по большей части спокойно, без истерики. Возможно, сказывается тот факт, что новыми вирусами сегодня уже никого не удивишь. "Кто не знает Любочку? Любу знают все". Знают и привыкли к ним так, как больной СПИДом свыкается с неизбежностью и старается не обращать на болезнь внимания, а просто насладиться оставшимися днями.

Впрочем, не все потеряно. И хотя число вредных программ в мире увеличивается на несколько десятков в день, антивирусные и антитроянские утилиты уверенно продолжают сдерживать полчища электронных паразитов.
Хотите установить антивирусную защиту? Любой знает, что для этого надо просто поставить хороший антивирус. А на всякий случай — два! Такой совет совсем недавно давал онлайновый журнал по безопасности PC Flank ( http://www.pcflank.com/ ): вполне возможно, что один антивирус не сможет обнаружить вирус, а другой — сможет. Что ж, доля правды в этом утверждении имеется, однако... Однако, во-первых, эти две антивирусные программы могут конфликтовать друг с другом (если два разных антивирусных монитора будут работать вместе). Во-вторых, двойное сканирование в реальном времени может замедлить работу компьютера или привести к зависанию. В-третьих, и пользователь вынужден будет делать двойную работу, обновляя антивирусные базы двух программ и запуская их по очереди.
Я бы порекомендовал, повторяю, установить всего один, но хороший антивирус. И вот тут-то и появляется проблема. Проблема выбора. Какой антивирус предпочесть? Вопрос простой и понятный. А ответ... Можно сказать: выбирайте антивирус, который по сравнительным тестам среди всех антивирусов мира обнаружил наибольшее число вирусов. И это правильный ответ, потому что в общем случае всемирно признанный антивирус сможет защитить Ваш компьютер. Но он может не учитывать местных особенностей той страны, где Вы проживаете, или просто не знать "в лицо" тех паразитов, которые любят именно этот клочок суши именно этого государства, а не какого-нибудь другого. Местные модификации известных вирусов могут пройти защиту хваленого антивируса и попасть на компьютер пользователя. Что делать? Ответ напрашивается очевидный — воспользоваться национальными антивирусными программами. И такие программы есть практически в каждой стране.

В России самые известные — DrWeb (v4.26b, www.drweb.ru/ftp/web_pub/drweb32.zip ) и Антивирус Касперского. Лабораторией Касперского представлено целое семейство антивирусов для различных операционных систем и случаев. Могу порекомендовать для домашних пользователей Personal Pro, версия 3.5.5.4 ftp://ftp.kaspersky.com/products/kav_win32/kavpersonalprorus.exe ). На Украние — Украинский национальный антивирус (УНА — http://www.unasoft.com.ua/download/una100.exe ). В Беларуси — Vba32 (3.007 Beta 3 for Windows 95/98/ME www.vba.com.by/download/Vba32_3007_Beta3.zip ). В Польше — MkS_vir ( www.mks.com.pl/files/mks98dem.exe ). И так далее.

Вирусы, которыенас поразили
1. Dayumi (VBS.Dayumi). Примитивный троян, который изменяет стартовую страницу браузера Internet Explorer. Длина — 1076 байт. При активизации вирус копирует себя в каталог C:\Windows\System\ под именем Mskernel32.vbs. Также он создает в папке Избранное и на Рабочем столе ярлык, который указывает на домашнюю страницу автора трояна. Присваивает значение MSKernel32 ключу реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run для автоматического запуска трояна при каждой загрузке компьютера. В определенных языковых версиях Windows удаляет файл Office200.hta.

2. Toal (W32.Toal.A@mm или W32/AntiWar).
Интернет-червь. Распространяется в виде файла Binladen_brasil.exe, присоединенного к письму электронной почты. При этом тема сообщения может быть на разных языках и выбирается случайным образом со ссылкой на текущую ситуации в Афганистане. Само сообщение (тело письма) будет отсутствовать.
Червь использует уязвимость в почтовых программах Microsoft Outlook и Outlook Express. Он пытается активизироваться, когда пользователь открывает или просматривает пришедшее сообщение. Информация об этом и патч для устранения данной дыры доступны на странице: http://www. micro-soft.com/technet/security/bulletin/MS01-020.asp. Червь создает файл Invictus.dll, который используется для заражения исполняемых файлов в системе, а также открывает для общего доступа диск C:\, чтобы украсть сетевые пароли.
Для того чтобы вирус мог запускаться каждый раз при загрузке Windows, он изменяет файл System.ini. Строка shell=Explorer.exe модифицируется на shell=Explorer.exe [3 случайных символа].exe.
Червь собирает адреса электронной почты, просматривая ICQ White Pages. При отправке письма вирусный файл hh.exe будет присоединен как Binladen_brasil.exe. Кроме этого, вирус пытается отключить антивирусные программы. В зависимости от времени, которое прошло с момента первого запуска червя, он выводит сообщение о ситуации в Афганистане.

ПВО — противовирусная оборона
MkS_Vir dla WINDOWS 98. Разработчик: MkS Sp. z o.o., Польша ( www.mks.com.pl ). Дистрибутив: 3 642 КБ. Версия 1.4.1005.
Антивирусный пакет MkS, получивший свое название, видимо, от имени одного из разработчиков — Marek Sell, включает в себя набор самых различных антивирусных утилит.
Все они предназначены для борьбы с вирусами, троянскими конями, интернет-червями и другими вредными программами, деятельность которых может поставить под угрозу нормальную работу компьютера и целостность данных, хранимых на жестких дисках.
Первые версии этих антивирусных программ были выпущены в 1988 году, и за более чем десятилетний срок своего существования антивирус MkS смог вобрать большой опыт программистов-вирусологов по обнаружению вирусов (и их модификаций), поиску и выработке противоядия к ним. Кроме этого, последние версии программы используют информацию по вирусам, полученную разработчиками благодаря их широким связям по всему миру. Благодаря этому MkS может обнаруживать и удалять достаточно много различных вирусов, троянских коней и интернет-червей. База данных от 09 октября 2001 года содержит список сигнатур от 31010 вирусов.
Антивирусный пакет разработан только для польского пользователя. Цель программы заключается в обеспечении самой лучшей защиты против вирусов, распространяющихся по территории Польши.
Одна из особенностей многих вирусов заключается в том, что они имеют местные разновидности. Это означает, что в выборке вирусов для конкретной страны будут иметься образцы не только характерные для многих стран мира, но и местные вирусы, едва ли известные где-нибудь еще и редко существующие вне пределов данного государства. То есть существование и распространение вирусов носит национальный характер.
Таким образом, для обеспечения наибольшей безопасности необходимо пользоваться местными антивирусными разработками. Даже самые лучшие, хорошо известные мировые компании-разработчики антивирусов не могут реагировать достаточно быстро на появление большого количества новых вирусов в одном месте, если о них не будет сообщений из других источников.
Начиная с самых первых версий, антивирусный пакет MkS был адресован самому широкому кругу пользователей и разрабатывался как универсальный инструмент по антивирусной защите, которым может пользоваться как специалист, так и новичок.
Подобное стало возможным благодаря простому, но хорошо продуманному пользовательскому интерфейсу, который позволяет специалистам получать доступ ко всем настраиваемым параметрам антивируса.
Для работы с программой не требуются никакие специфические знания. Главное требование — понимание того, что эти электронные создания существуют и могут стать источником серьезных проблем для тех компьютерных пользователей, которые их игнорируют.
Антивирусный пакет MkS состоит из трех основных программ, взаимодействие которых обеспечивает высокий уровень безопасности компьютера и хранимых им данных: резидентный монитор (on-access scanner), сканер-полифаг (on-demand scanner) и сканер входящей электронной почты (incoming mail scanner).
Резидентный монитор контролирует в реальном времени все операции с файлами (создание, выполнение, открытие, копирование и прочее). Благодаря этому он может заблокировать действие вируса в момент любой операции, выполняемой над файлами, находящимися на жестком диске, дискете, CD/DVD диске или любом другом носителе.
При своем запуске резидентный монитор проверяет память компьютера на наличие известных вирусов. Если он их находит, то предпринимается попытка их удалить или нейтрализовать (freeze).
После нейтрализации вирус хотя и будет находиться в памяти, но его способность к размножению будет заблокирована. Программа также может обнаруживать присутствие самых последних и новых вирусов, которых даже нет в базе данных вирусов, и устранять их. Это достигается включением режима эвристического сканирования.
Сканер-полифаг — это традиционный компонент антивирусной программы. В составе пакета MkS сканер является очень эффективной программой, которая в ходе одного сканирования логических дисков, как сетевых, так и локальных, распознает и удаляет обнаруженные вирусы, троянских коней и интернет-червей.
Заметим, что пакет MkS включает не только сканер для Windows, но и 32-х битный сканер для DOS (полностью совместимый с Windows). С помощью этого сканера возможно удаление вирусов из файлов, которые используются системой Windows, из главных загрузочных записей (MBR) и таблиц разбиения жестких дисков. Загрузка компьютера при этом должна выполняться с инсталляционного CD-диска MkS или загрузочной дискеты.
Сканер входящей электронной почты MKS_Mail — это программа, проверяющая входящие сообщения. Эта компонента антивирусного пакета защищает пользователя от всех видов интернет-червей, распространяемых с помощью электронных писем. За последние несколько лет эти черви стали одним из основных источников вирусных эпидемий. MKS_Mail эффективно работает с любой почтовой программой, использующей протокол получения писем POP3.
MKS_Mail находится посередине между почтовым сервером и почтовой программой пользователя. Почтовый клиент, вместо прямого соединения с сервером, производит соединение с MKS_Mail, и тот выполняет соединение с сервером.
Получив почту от сервера, MkS_Mail проверяет ее на наличие вирусов, троянских коней и червей. Только после этого он посылает проверенную корреспонденцию почтовому клиенту. Благодаря этой процедуре, которая выполняется автоматически, пользователь освобождается от необходимости постоянно помнить о проверке входящих файлов, приложенных к электронным письмам.
Демонстрационную версию для Windows 98/95/Me скачивать отсюда: http://www.mks.com.pl/files/mks98dem.exe . Стоимость — от 213 злотых (около 50 USD). Версии для других операционных систем (DOS и Windows NT/2000/Workstation/Server) также можно найти на сайте разработчика.

Вирусный ТОП-10. 17-24 октября 2001г.

Название Число зараженных компьютеров, % W32/Nimda@MM.eml 103,592 23.96 W32/Nimda@MM 56,807 13
.14 W32/Magistr.a@MM 28,429 6.58 VBS/LoveLetter@MM 27,918 6.46 W32/Magistr.b@MM 14,462 3.34 W32/Nimd
a.htm 13,989 3.24 W32/SirCam@MM 11,646 2.69 VBS/Haptime.a@MM 7,008 1.62 W32/Hybris.gen@MM 5,792 1.34
 APStrojan.qa@MM 5,632 1.30
Источник: www.mcafee.com .
Всего заражено 432 349 компьютеров.

Доктор М
Вопросы по антивирусной защите присылать сюда:
macrofag@hotbox.ru


(c) компьютерная газета


Компьютерная газета. Статья была опубликована в номере 41 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2024 Компьютерная газета