Ничто не происходит без достаточного основания Михаил Ломоносов

Антивирусное обозрение "Ничто не происходит без достаточного основания" Михаил Ломоносов

Вирусы могут поразить кого-то другого: лично нам они не грозят и грозить не могут, потому что у нас вирусов нет. Да и откуда им взяться? Наверное, так или примерно так думали сотрудники "Укртелекома", пока небезызвестный Nіmda не доставил им убытков почти на 1 миллион. Но не американских долларов, а украинских гривн, что тоже достаточно много. Наверное, даже этих дополнительных затрат можно было бы избежать, если бы заблаговременно проводить профилактические работы. Но, знаете, как бывает — гром не грянет, мужик не перекрестится. А лишнюю работу у нас почему-то любят...

Как можно узнать с официального сервера ОАО "Укртелеком" ( http://www.ukrtel.net/ ), в пятницу 16 ноября техническими специалистами было отмечено очередное увеличение случаев заражения рабочих станций корпоративной компьютерной сети вирусами. За выходные обслуживающим персоналом сети были проведены мероприятия, благодаря которым удалось локализовать заражение и поддерживать стабильность функционирования экрана между корпоративным и интернет-сегментом сети передачи данных Укртелекома.
19 ноября в 8:35 очередной сменой администраторов центрального узла корпоративной сети Укртелекома было отмечено взрывное возрастание трафика в локальной сети Генеральной дирекции общества. Инженерами была проанализирована структура трафика и выявлено, что особые нагрузки возникают в серверной части сети. Сразу удалось отличить это явление от нормального возрастания трафика, связанного с включением компьютеров в начале рабочего дня. Также была отмечена многократная нагрузка межсетевого экрана. Анализ ситуации подтвердил предположение относительно факта массированной вирусной атаки. Уже около 9:00 с увеличением числа обращений из корпоративной сети в Интернет участились нарушения функционирования межсетевого экрана, которые спустя некоторое время привели к его аварийному выключению.

В результате детального анализа состояния сети было обнаружено, что вирусом заражены сотни компьютеров корпоративной сети, нарушена работа ряда серверов, в частности, нарушено функционирование сервера корпоративной электронной почты в Генеральной дирекции. Была определена стратегия борьбы с вирусом, которая включала локализацию заражения, отключение сегментов и антивирусную обработку всех рабочих станций и серверов. Как говорится в официальном сообщении Укртелекома, "благодаря высокой квалификации и слаженным действиям обслуживающего персонала сети, эти мероприятия удалось провести достаточно быстро и эффективно. Полную антивирусную обработку прошли свыше 300 компьютеров, было оперативно восстановлено серверное программное обеспечение на большинстве серверов. Во вторник 20 ноября был восстановлен доступ к сети Интернет всем сотрудникам Генеральной дирекции согласно правам доступа".

ПВО — противовирусная оборона

Perforin for WinWord — Windows95/Windows NT 4.0. Разработчик: VDS Advanced Research Group, США (http://www. vdsarg.com). Дистрибутив: 830 КБ (ZIP-архив). Version 2.0d от 30.11.97

Впервые макровирусы начали быстро распространяться только в 1995 году. Однако этот класс вирусов не был чем-то неожиданным, задолго до этого вирусологами теоретически была предсказана возможность их появления. Макровирусы стали чумой для документов, созданных популярным текстовым редактором MS Word for Windows версии 6.0 и выше.
Хотя такие вирусы могут быть созданы и для других сред, имеется ряд причин, почему макроязык WinWord получил наибольшее распространение. Во-первых, в то время как другие программы сохраняют макросы в отдельных файлах, макрокоманды MS Word могут быть включены в документ, как его составная часть. Таким образом, макровирус может легко распространяться, поскольку пользователи обычно обмениваются документами, не подозревая о том, что они зараженные. Во-вторых, MS Word может не предупреждать о наличии в открываемом файле каких-либо макросов, которые могут запускаться автоматически.
На сегодняшний день существуют десятки универсальных антивирусных программ, которые способны находить вирусы не только в исполняемых файлах, но и макровирусы в документах MS Word. Однако, данная специфичная программа, ориентированная только на борьбу с вредными макросами, имеет так много преимуществ, что, несмотря на давность ее выпуска (97г.), на ней стоит остановиться особо.
Основная задача программы Perforin for WinWord — удаление макровирусов из документов Word 6/7 и выше.
Perforin обладает следующими свойствами:
— Обновление антивирусных сигнатур через Интернет.
— Может обнаружить, дать отчет и вычистить множественное заражение.
— Нахождение и лечение более чем 2792 вирусов.
— Определяет и удаляет полиморфные макровирусы.
— Самостоятельно находит незначительные варианты макровирусов.
— Просматривает и надежно излечивает защищенные паролем документы. Будет также показывать пароль зараженных/чистых документов в том случае, если пароль установил макровирус.
— Проверяет все файлы, исключая те, которые не являются документами (.DLL или .EXE), а не только с расширениями .DOC или .DOT, потому что зараженный макровирусом документ может назваться по-другому.
— Возможность изолирования подозрительного документа и помещения его в карантин.
— Определение новых макровирусов с помощью включения функции эвристического сканирования.
— Настройка уровня чувствительности эвристического сканирования.
— Свойство SmartClean позволяет Perforin дезинфицировать вирусы интеллектуальным способом независимо от текущих параметров настройки. Например, некоторые вирусы могут быть удалены только тогда, когда весь макрос очищен. Perforin автоматически решает, с каким вирусом он имеет дело, и использует оптимальный способ для его удаления.
— Поддерживает работу с дисковыми системами FAT32 и NTFS.
— Внешняя поддержка файла сигнатур. Можно легко создавать внешний файл сигнатуры (текстовый файл), который содержит идентификацию и очищающиеся данные для новых вариантов макровирусов, с которыми можно столкнуться. Все, что нужно для создания внешнего файла сигнатур — инфицированный документ, который не имел бы никаких макросов перед заражением.
— Свойство Examine Document служит для того, чтобы просматривать макрос в документе без боязни активизировать вирус. Более опасной проблемы ToolsMacro не существует. При необходимости можно сохранять макрос в виде файла.
— ExamineDoc может даже показывать Вам, какие вирусы имеют специфические макросы. Так как 75% макрокода известных вирусов знакомо и описано, то это помогает выяснить, связан ли новый вариант с известным вирусом.
— Способность просматривать внутри сжатых архивов PkZIP.
— Включение опции "показывать все документы, которые имеют макросы", а не только инфицированные. Это полезно, когда Вы подозреваете наличие новой вирусной инфекции, которая все же не обнаружена.
Пробная версия на 30 дней доступна без всяких ограничений с сайта разработчика. За регистрацию необходимо заплатить 40 USD.
Скачивать Perforin for WinWord отсюда: http://www.vdsarg.com/up-date/PERF20.ZIP .

Вирусы, которые нас поразили

1. Goner (он же Win32.Go-ner.A@mm, он же I-Worm.Goner, он же Win32.Gone.A@mm). Интернет-червь, распространяющийся с помощью массовой электроной рассылки, используя Microsoft Outlook. Обнаружен в диком виде. Риск заражения — 4 (по пятибалльной шкале). Размер вируса — 38 912 байт. Написан на языке программирования Visual Basic 6. Упакован утилитой сжатия UPX. В распакованном виде размер около 159 Кб.

Тема письма. Hi. Содержание. How are you? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it! (Как дела? Когда я увидел этот хранитель экрана, то я сразу подумал о Вас, о чем спешу сообщить и обещаю, что Вы его полюбите!). Присоединенный файл: go-ne.scr.exe.
После активизации червь добавляет в секцию автозапуска реестра ссылку на себя для автоматического запуска при каждом включении системы.
Вирус также пытается распространяться через интернет-пейджер ICQ. Если установлен IRC, то червь вставляет скрипты mIRC, которые могут использовать компьютер в атаках типа Denial of Service (DOS) — отказ в обслуживании.
Пытается удалить с зараженной машины некоторые файлы, в том числе NAV — Norton Antivirus, а также другие широко распространенные антивирусные продукты и сетевые экраны.

Вирусный ТОП-10. Ноябрь 2001г.

№ п/п Название % сообщений 1 W32/Badtrans-B 22.2% 2 W32/Nimda-A 10.5% 3 W32/Magistr-B 10.2% 4 
W32/Nimda-D 9.9% 5 W32/Sircam-A 8.8% 6 W32/Magistr-A 6.6% 7 W32/Hybris-B 4.4% 8 VBS/Kakworm 1.9% 9 W
32/Aliz-A 1.6% 10 VBS/Haptime-A 1.2% Другие вирусы 22.7% Источник: <
r>
www.sophos.com
.
Sophos, мировой лидер в корпоративной антивирусной защите, убедил компании еще раз задуматься о том, делают ли они все для того, чтобы остановить исполнение вредного кода в их организации, вызванного появлением нового саморазмножающегося вируса Badtrans-B (он же W32/Badtrans-B).
Sophos получил много сообщений о Badtrans-B, распространяющемся в диком виде, и потому просит пользователей соблюдать простые меры компьютерной безопасности. Например, применять последние версии антивирусного программного обеспечения, устанавливать необходимые защитные заплаты от Microsoft и блокировать запуск приложений с двойными расширениями.
"Зачем облегчать жизнь авторам вирусов? Если бы компании блокировали файлы с двойными расширениями от исполнения их в организации после появления вируса Love Bug в мае 2000, то не было бы воздействия вирусов Badtrans, Sircam, Анна Курникова, Apology и бесчисленного множества других, использующих электронную почту и методику саморазмножения", — сказал Грэм Клулей, старший консультант по технологии для антивируса Sophos.
"Кроме того, один из путей нападения этого саморазмножающегося вируса — использование дыры в защите Microsoft Outlook. Трудно поверить в то, что хотя дыра в защите Microsoft была обнаружена более 8 месяцев тому назад, много пользователей до сих пор не применили cоответствующую заплату."
Badtrans-B — саморазмножающийся вирус, распространяющийся по электронной почте, использует известную уязвимость в некоторых версиях Microsoft Outlook Express 5, позволяющую автоматически запустить приложенный файл.
Имя приcоединенного файла генерируется случайным образом (используются имена вроде YOU_ARE_FAT!.DOC.pif и ME_NUDE.MP3.SCR), но вирус легко определяется по двойному расширению.
Если присоединенный файл выполняется, то вирус копируется самостоятельно в каталог системы Windows и запускается при следующем запуске Windows. Вирус также помещает троянского коня (Troj/PWS-AV), который может воровать пароли и конфиденциальную информацию.
Sophos выпустил обновление, которое защищает против Badtrans-B.
Компания рекомендует, чтобы пользователи продуктов Microsoft подписались на рассылку бюллетеня безопасности Microsoft. Более подробно можно узнать на сайте Microsoft.

(c) компьютерная газета


Компьютерная газета. Статья была опубликована в номере 47 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2024 Компьютерная газета