Все можно познать, только не самого себя.

Антивирусное обозрение "Все можно познать, только не самого себя".
Стендаль

Почему существуют вирусы? Почему их так много? Почему нельзя избавиться от вирусов раз и навсегда? Наверное, у многих читателей когда-нибудь возникали эти или аналогичные вопросы. И рано или поздно они находили ответы на свои многочисленные "почему". Причин существования вирусов несколько, и одна из них заключается в том, что в каждом программном обеспечении существуют недостатки (дыры), которые с успехом используют "составители" вирусов, не знающие, куда с пользой для общества приложить свои программистские таланты.
Да, совершенную программу создать трудно, но если вовремя обнаруживать и устранять найденные недостатки в ПО, то можно не дать лишних шансов вирусописателям для их творчества. Одним из вариантов борьбы с недостатками является их широкое обсуждение на различных форумах, выработка способов их устранения, рассылка соответствующих инструкций с описанием дыр и методов их ликвидации. Это обычная сложившаяся практика, которую используют профессионалы в области компьютерной безопасности.
Однако, глава Центра компьютерной безопасности компании Microsoft Скотт Калп (Scott Culp) сообщил, что политика Microsoft теперь будет направлена на замалчивание недостатков в продуктах компании. Калп считает, что часть вины за ущерб, причиненный вирусами Code Red, Nimda и прочими, лежит на тех, кто сделал достоянием гласности недочеты в ПО, которыми пользуются эти вирусы. Калп потребовал от специалистов и экспертов по безопасности прекратить снабжать вирусмейкеров "чертежами, по которым те изготовляют свое оружие". Он считает, что "технические подробности и программные инструкции, опубликованные фирмами по безопасности в своих руководствах, привели к такому успешному распространению вирусов".
Скотт Калп не призывает прекратить обсуждение недостатков ПО вообще. Он предлагает проводить закрытые обсуждения недостатков ПО между разработчиками ПО и его продавцами. И только тогда, когда "заплатка" на "дыру" уже разработана, можно сообщать об этом.
Да, наверное, доля истины в этом есть. И методика ограниченного доступа к информации должна наверняка сработать: зачем посвящать лишних людей в секреты безопасности? Но в нашем случае "замалчивание" не пройдет, потому что продукты компании Microsoft настолько популярны и широко распространены, что никто и ничто не сможет заставить людей прекратить обсуждение недостатков этого ПО в частных письмах, форумах, рассылках, на сайтах по компьютерной безопасности и т.д.
Зачастую именно простые пользователи первыми сталкиваются с дырами в защите и сообщают о них в компанию. Но что им мешает сообщить об этом еще куда-нибудь? Для успешной выработки правильного решения какой-нибудь важной проблемы гласность является очень важной составляющей.
Предупрежден — значит защищен. А будет ли довольным пользователь, если узнает о том, что компания-производитель несколько недель знала об уязвимости в защите (читай — несколько недель пользователь был беззащитным и даже не подозревал об этом!) и только теперь решилась сообщить о ней вместе с готовым патчем? В конечном итоге надо думать о пользователях, а не о поддержании имиджа компании сомнительным способом.
Вирусологам стало известно об очередной модификации вируса Nimda — Win32.Nimda.E@mm. В новом, пятом варианте исправлено несколько ошибок и внесены изменения в имена файлов.
Вирус приходит на компьютер как присоединенный файл sample.exe, копирует себя в файл csrss.exe в каталог Windows. При распространении через серверы IIS, червь использует уязвимость Unicode Web Traversal, копируя себя под именем httpodbc.dll.
Автор изменил текст сообщения, содержащийся в вирусе:
Concept Virus(CV) V.6, Copyright(C)2001, (This's CV, No Nimda.).
Вирус по-прежнему распространяется четырьмя способами: через файлы, почту, Интернет и локальные сети. Взять бесплатное лекарство для избавления от всех вариантов Nimda, включая последний, можно с сайта антивирусной компании F-Secure Corporation: ftp://ftp.europe.f-secure.com/anti-virus/tools/fsnimda3.exe . Там же можно найти наглядную картинку с изображением злобного вируса и путей его распространения.

Вирусы, которые нас поразили
1. Septer (SEPTER.A, Septer.Trojan). Троянский конь. Размер — 518 144 байт. Приходит вместе с письмом электронной почты. Создает файл CCTAKER.INI в директории Windows.
В полученном сообщении содержатся призывы оказать помощь пострадавшим от терактов 11 сентября. Для этого требуется перевести деньги в фонд Красного Креста, нажав на значок с изображением земного шара с логотипом компании Microsoft. При этом перед пользователем появляется страница с формой, в которую предлагается ввести следующую информацию: имя, название компании, адрес, город, штат, почтовый код, страну, имя на кредитной карточке, номер кредитной карточки, срок использования, телефон и электронный адрес.
На самом деле Американский Красный Крест (American Red Cross) не имеет никакого отношения к этому письму, а электронная форма служит только одной цели — выманить у пользователей номера кредитных карт и их персональные данные. Собранные данные передаются на хакерский сайт. Риск заражения трояном низкий. Деструктивных функций не несет.

2. Klez (ElKern, Klaz, Kletz, I-Worm.Klez). Интернет- и сетевой червь. Распространяется через электронную почту как сообщение на английском языке (присоединенный файл имеет случайное имя, но всегда расширение EXE) и ресурсы локальных сетей.
Риск заражения средний. Обнаружен в диком виде. Написан на языке Visual C. Размер 57345 байт. Вирус использует дыру в безопасности, которая позволяет присоединенному файлу исполняться при просмотре сообщения в Microsoft Outlook Express или Outlook (без установленных сервисных пакетов — Service Packs). Такой способ заражения используют черви Nimda и Kak.
Вирус проверяет запущенные приложения, и если среди них находятся антивирусные программы, то он завершает их работу. Затем червь создает в системном директории Windows файл WQK.EXE, который включает в компрессированном виде вирус Win32.Elkern.A. Данный вирус работает под Windows 95 и Windows 98, заражая файлы, содержащиеся на компьютере.
После создания файла WQK.EXE червь выполняет его, копирует себя полностью в системный директорий Windows под именем KRN132.EXE и создает ключ в реестре со ссылкой на этот файл для его автоматического запуска при каждом запуске Windows.
Для отсылки сообщений вирус использует протокол SMTP. Почтовые адреса он находит в базе данных WAB, отсылая зараженные сообщения по этим адресам.
Для заражения сети вирус активизируется каждые 8 часов и сканирует локальную сеть, оставляя в определенных директориях общего доступа свои копии, но со случайным именем и двойным расширением. Имя берется от реального файла, который был обнаружен последним при сканировании данного локального диска, а затем к нему добавляется расширение EXE.
По 13-м числам нечетных месяцев червь ищет на дисках зараженного компьютера все файлы подряд и заполняет их случайным содержимым, что делает их лечение абсолютно невозможным.

ПВО — противовирусная оборона
VirusNet PC v.3.0. Разработчик: Safetynet Inc., США, Нью-Джерси (http://www.safetynet.com). Дистрибутив: 2 186 КБ. Версия 3.05.
После инсталляции антивирус задаст пользователю несколько вопросов, среди которых: активизировать запуск в фоновом режиме (ответ — да, обязательно, если к Вам на компьютер попадают незнакомые файлы) и выполнять раз в день быстрое сканирование на вирусы (это — на Ваш выбор).
VirusNet — это торговая марка компании Safetynet, Inc. Под этой маркой она предлагает антивирусный продукт, разработанный совместно с фирмой Frisk Software Int'l. Именно поэтому он использует базы данных с сигнатурами вирусов этой антивирусной компании. На 22 октября 2001 года VirusNet "знал в лицо" более 38 600 различных вирусов, червей, троянов и прочих деструктивных программ.
VirusNet обнаруживает и удаляет известные и неизвестные вирусы, а также вылечивает компьютеры с поврежденными загрузочными секторами.
Антивирус состоит из двух программ: сканера-полифага и резидентного сторожа (антивирусного монитора). В основе VirusNet лежит технология третьего поколения, развиваемая на протяжении семи лет, которая позволяет программе детектировать наибольшее количество вирусов по сравнению с другими утилитами. Использование двойных сигнатур значительно уменьшает число ложных срабатываний и обеспечивает точное обнаружение вирусов, среди которых не только известные макровирусы, опасные Java-апплеты, невидимки (stealth), полиморфные вирусы, но и различные модификации.
VirusNet использует эвристический анализ и просмотр контрольной суммы, что позволяет обнаруживать неизвестные вирусы, то есть те, которых нет в базе данных. Эвристический сканер способен находить неизвестные вирусы, выявляя в анализируемой программе участки с деструктивным или подозрительным кодом.
Проверка контрольной суммы помогает выявлять изменения в исполняемых файлах и загрузочных записях, сделанные вирусами. Все это позволяет своевременно диагностировать наличие электронной инфекции и приложить все усилия для ее устранения.
Антивирусный монитор VirusNet обеспечивает в реальном времени мощную защиту от проникновения любой заразы для операционных систем Windows 95 и 98. Монитор в фоновом режиме автоматически определяет и удаляет вирусы до того, как зараженные программы будут запущены или зараженные документы будут открыты. Это обеспечивает сильную защиту от вирусов, передающихся через дискеты, локальные компьютерные сети и Интернет.
Кроме антивирусного пакета для домашнего (локального) использования, компания предлагает также антивирусный продукт, предназначенный для защиты рабочих станций в локальной сети. Он называется VirusNet LAN. Помимо тех возможностей, которые существуют в пакете VirusNet, в сетевой версии предлагается мощное централизованное управление рабочими станциями. Оно существует в виде таких инструментов, как Сетевого планировщика (LAN Scheduler) и Системы распределения (Distribution system).
В результате администратор компьютерной сети способен настроить и обеспечить требуемый уровень антивирусной защиты нескольких сотен компьютеров, находящихся в локальной сети. При этом настраиваются параметры работы антивируса, установленного на сетевых компьютерах: конфигурируется антивирусный монитор, указываются файлы, которые необходимо проверять, устанавливается время запуска сканера-полифага и прочее. И, что немаловажно, обновление антивирусных баз будет выполняться автоматически на всех рабочих станциях. Среди поддерживаемых сетей: Novell Netware, NT Advanced Server, Banyan Vines и прочие.
Это была бочка меда. А теперь разбавим ее ложкой дегтя.
Резидентный сторож VirusNet как две капли воды похож на антивирусный монитор F-Prot 3.05 компании Frisk Software Int'l. Изменения коснулись только названия продукта и пиктограмм, а остальное — один к одному. Впрочем, "разработчики" и не скрывают этого, указывая авторские права фирмы Frisk. Но, в отличие от исландских программистов, которые недавно выпустили версию 3.11 своего продукта, американцы с 1999 года никаких изменений в антивирус не вносят.
А вот сканер-полифаг — вещь оригинальная. Три большие кнопки позволяют пользователю выбрать объект для сканирования: логические диски (в том числе сетевые), директории или конкретные файлы. Третья кнопка служит для настройки функций сканера. Можно установить уровень проверки на вирусы: максимальный (включает эвристику), стандартный (без эвристики) и проверка только контрольных сумм. Сканер разбирается в сжатых файлах и может находить заразу в архивах ZIP и ARJ.
Хочется отметить одну интересную особенность пакета VirusNet. В его состав входит файл virlist.txt, содержащий список вирусов с указанием возможности его удаления из системы (файла). Если Вы узнали, как называется тот вирус, который случайно подцепили, хотите выяснить, можно ли от него избавиться, то можете обратиться к этому списку. Среди ответов возможны следующие варианты: да, нет, иногда, невозможно.
Как я уже отмечал, с 1999 года программный механизм (engine) не развивается. Однако, антивирусный комплект регулярно пополняется новыми базами данных вирусных сигнатур. Под Windows Me может работать неустойчиво, приводя к появлению "синих экранов смерти".
Демонстрационную версию для Windows 95/98 скачивать отсюда: ftp://ftp.safetynet.com/evals/vnpc300.exe . Сканирующий модуль будет исправно запускаться в течение 30 дней. Стоимость регистрации 29.99 USD.

Вирусный ТОП-10. Октябрь 2001г.
№ Название % сообщений
1 W32/Sircam-A 21.7
2 W32/Nimda-A 17.8
3 W32/Magistr-B 16.1
4 W32/Magistr-A 9.2
5 W32/Hybris-B 6.6
6 VBS/Kakworm 2.5
7 Unix/SadMind 1.9
8 W32/Apology-B 1.3
9 W32/Verona-B 1.2
10 VBS/Haptime-A 1.0
Другие вирусы 20.7
Источник: www.sophos.com.
"В то время как одни вирусы, появившись и напугав пользователей, исчезают с их поля зрения, другие, наподобие Sircam, продолжают еще долго посещать различные компании, даже четыре месяца спустя после своего первого обнаружения, заражая большое количество пользователей, — прокомментировал ситуацию Грэм Клулей, старший консультант по технологии антивируса Sophos. — Ошеломляет то, что люди все еще продолжают становиться жертвами Sircam. Сегодняшнее антивирусное программное обеспечение надежно защищает против этого саморазмножающегося вируса, а безопасная работа за компьютером должна отвести угрозу заражения".
За октябрь 2001 года антивирусная компания Sophos обнаружила и нашла защиту против 812 новых вирусов.
Общее количество вирусов, открытых Sophos, теперь составило 68923.

Доктор М
Вопросы по антивирусной
защите присылать сюда:
macrofag@hotbox.ru


(c) компьютерная газета


Компьютерная газета. Статья была опубликована в номере 43 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2021 Компьютерная газета