Интернет есть зло, и все проистекающее из него есть зло и зло есть все преклоняющиеся ему и алкающие его Иеремия Битчем, телепроповедник
Антивирусное обозрение "Интернет есть зло, и все проистекающее из него есть зло и зло есть все преклоняющиеся ему и алкающие его" Иеремия Битчем, телепроповедник
Не будем спорить c резким суждением проповедника: он слишком сгустил краски, это ясно. В Интернете есть много хороших вещей — быстрый обмен сообщениями, доступ практически к любой информации, новости и прочее. Но есть, конечно, и зло, которое может принимать личину не знающих пощады компьютерных вирусов. И с этим надо что-то делать. Не буду говорить, что именно — Вы сами прекрасно это знаете.
Пора скачивать и устанавливать новую версию антивируса Касперского! 15 декабря 2001 года появился бета-выпуск Kaspersky Anti-Virus for Workstation 4.0, а 17 января 2002 года "Лаборатория Касперского" сообщила об официальном выпуске версии 4.0 (кодовое имя — "Прага"). Вот ссылка: ftp://ftp.kaspersky.com/products/release/4.0/Russian/HomeUser/KAVPersonalPro/kavperspro40rus.exe .
Антивирус основан на новом антивирусном ядре (старое ядро версий 3.Х было разработано 5 лет назад), которое должно значительно повысить надежность защиты как от существующих, так и от будущих угроз информационной безопасности.
Модульная архитектура "Антивируса Касперского 4.0" позволяет в реальном времени устанавливать как обновления базы данных вирусных сигнатур, так и новые версии самой программы. Это позволяет оперативно реагировать на появление новых вирусов, для защиты от которых может потребоваться обновление существующих или дополнение новых модулей Антивируса Касперского.
В антивирусный монитор внедрена не имеющая аналогов технология перехвата и обработки зараженных объектов, основанная на распределенном двухуровневом взаимодействии с операционной системой. Это значительно повышает общую стабильность компьютера, поскольку возможные сбои в работе антивирусного приложения не могут повлиять на функционирование системы в целом. В дополнение к этому проведена оптимизация работы антивирусного монитора и сканера: модули разделены на две части (интерфейсную и функциональную). Первая часть загружается только по запросу пользователя, в остальное время активной остается только вторая. Такой подход позволяет экономить оперативную память компьютера и, тем самым, ускорять работу других приложений.
Новая версия Антивируса Касперского (версии Personal Pro, Personal, Lite) полностью поддерживает операционную систему Microsoft Windows XP. Среди других новшеств: полностью обновлен пользовательский интерфейс в соответствии с технологией Tree Chart; усовершенствована система установки, позволяющая сохранять настройки ранее установленных версий, и механизм изоляции ("карантин") зараженных и подозрительных объектов; расширены возможности обработки зараженных архивированных файлов; добавлена функция лечения почтовых баз Microsoft Outlook Express и объектов, запускаемых при загрузке операционной системы, а также проверки памяти запущенных приложений; упрощена процедура работы с дисками аварийного восстановления.
Недавно пришло письмо от вице-президента чешской антивирусной компании ALWIL Software Эдуарда Кучера (Eduard Kucera). Он поблагодарил за публикацию информации об их антивирусном продукте AVAST32 [КГ №17, 08.05.01] и сообщил, что в ближайшее время их сайт, находящийся по адресу www.anet.cz/alwil, прекратит работу.
Но не стоит беспокоиться! Компания и не думает умирать в жесткой конкурентной борьбе с антивирусными продуктами других разработчиков — значимость национальных антивирусов труднопереоценима. Просто компания решила разделить направления своей работы. В связи с этим она открывает два сервера. Один — в Европе — www.asw.cz, а другой — в Америке — www.avast.com .
Имена не всех создателей вирусов становятся известны широкой общественности. А если это происходит, то дело наверняка доходит до судебного разбирательства. А до приговора? Онел де Гузман, написавший один из самых вредных за всю историю электронной почты вирус I Love You, может остаться безнаказанным — уже во второй раз Филиппинское Министерство юстиции отказалось от уголовного преследования вирусописателя.
Первый судебный процесс над де Гузманом был прекращен в 2000 году за недостатком улик. Заявка о повторном рассмотрении дела де Гузмана была подана отделом по борьбе с мошенничеством и компьютерными преступлениями Национального бюро расследований Филиппин еще в июне 2001 года. Но прокурор Архимедес Манабат отклонил заявку, даже несмотря на интерес к нему со стороны Федерального бюро расследований США. Интересно, когда добро восторжествует и зло будет наказано?
Появившийся второй вариант (модификация) вируса RST (Remote Shell Trojan), работающего в среде Linux. Как и оригинал, RST.b поражает исполняемые бинарные файлы формата ELF в Linux-системах и устанавливает на зараженную систему backdoor, предоставляющую полный удаленный контроль неавторизованным пользователям.
Однако, есть и приятные новости для линуксоидов — разработана утилита для удаления вируса RST. Скачать ее можно бесплатно, заполнив форму на странице https://www.qualys.com/forms/remoteshellb.html .
ПВО — противовирусная оборона
Vexira Antivirus for Windows 95/98/Me/NT/2000/XP Workstations Personal Edition. Разработчик: Central Command Inc., Флорида, США ( http://www.centralcommand.com ). Размер дистрибутива 7 717 Кб. Версия 2.00.00.00 от 09.01.2002г. с файлом вирусных сигнатур VDF v6.11.0.58 (0) от 20.12.2001г. защищает от 60456 вирусов, троянов, интернет-червей и других подозрительных приложений.
Vexira Antivirus Personal v2.0.0 — простой пакет антивирусной защиты, разработанный для предотвращения заражения компьютерными вирусами. Vexira надежно следит не только за вирусами, но и другой подозрительной активностью разных программ и использует высокопроизводительную технологию анализа файлов. Антивирусный продукт останавливает заражение вирусов, которые могут проникать через загруженные из Интернета файлы, гибкие носители, присоединенные к письмам файлы, сетевые диски, общедоступные файлы, CD-ROM, онлайновые службы, диски ZIP, ленточные накопители и так далее. Антивирус состоит из следующих основных программ: сканера, резидентного монитора VAGuard и планировщика, запускающего антивирус по расписанию.
В процессе установки на персональный компьютер программа инсталляции, как самый добросовестный работник, предложит тут же поискать вирусы. Причем, на выбор два варианта: искать везде или только в директории, где живет Windows.
По окончании проверки Vexira выдает детальный статистический отчет по результатам сканирования (время тестирования, количество пройденных папок и файлов, количество найденных вирусов, уничтоженных вирусов, удаленных файлов и прочее). Кроме детального отчета, доступен также и итоговый отчет, в который попадают отчеты каждой антивирусной проверки с указанием даты и времени.
После завершения установки и перезагрузки компьютера в правом нижнем углу экрана (системном трее) появляется красивая пиктограмма работающего резидентного сторожа Vexira Guard. Контекстное меню (щелчок правой кнопкой мыши над этой иконкой) предлагает на выбор четыре возможных действия: выйти из программы и закрыть ее (Close and Exit), деактивировать программу (Deactivate Vexira Guard), запустить сканер — основную программу антивируса (Start Vexira Main Program) и получить справку (Help). Двойной щелчок левой кнопкой мыши открывает основное окно резидентного сторожа Vexira Guard.
Самой интересной настройкой Vexira Guard является окно Options, в котором выполняется конфигурирование программы. В нем, например, можно указать, какие файлы требуется проверять (все или те, расширение которых соответствует списку расширений), предупреждать или нет о забытой дискете в дисководе А:\ при завершении работы в Windows. Последнее необходимо делать для тех компьютеров, в установках BIOS которых стоит порядок загрузки A:/C:. Если на гибкой дискете имеется загрузочный вирус, то система может быть заражена, потому что компьютер будет читать дискету прежде, чем загрузит Windows и антивирус, который сможет обнаружить и предотвратить инфекцию.
Vexira может раздельно проверять сетевые диски и/или локальные. Но это работает только в профессиональном выпуске антивируса (Vexira Professional Edition). В Personal Edition отключать проверку локальных дисков просто бессмысленно. Зачем? Ведь наша цель — защита информации как раз на локальных дисках! Наверное, надо было разработчикам сделать этот элемент меню просто недоступным. От греха подальше.
Последняя опция в закладке Scanner — "Лечить автоматически" (Repair automatically). Она нам нужна, если мы хотим лечить зараженные файлы. При ее активации Vexira Guard собирает информацию о том, может ли инфицированный файл быть очищен от вируса или нет.
В закладке Action ("Действие") пользователь может указать программе, что ей делать в случае, если файл вылечить не удалось:
— Уничтожить зараженный файл. При этом он может быть восстановлен с помощью специальных средств.
— Запретить доступ.
— Переименовать зараженный файл в .VIR.
— Переместить зараженный файл. Он помещается в карантинный директорий, местонахождение которого указывается ниже. Только пользователь с правами администратора может получить доступ к этому директорию.
Если необходимо проверить весь винчестер, отдельные логические диски или дискету (диск А:\) на вирус, то для этого необходимо запустить сканер Vexira Antivirus/9х. Настройки антивирусного сканера гораздо разнообразнее и богаче, чем резидентного монитора, но благодаря их иерархической организации в них можно легко разобраться. Стоимость антивируса — 49.95USD. Скачивать пробную версию со страницы: http://store.centralcommand.com .
Вирусы, которые нас поразили
SWScript.LFM. Первый известный в мире вирус, заражающий файлы MacroMedia Shockwave (.SWF), обнаружен в диком виде. Вирус активизируется при условии, если пользователь вручную установит внешний проигрыватель файлов Shockwave Flash, в котором отсутствуют некоторые элементы системы безопасности.
При использовании проигрывателей FLASH-графики, которые входят в поставку большинства версий браузеров Netscape и Internet Explorer, заражение системы не происходит. Вероятность самостоятельного распространения крайне низкая. Вирус использует функции скриптового языка, встроенного в файлы .SWF. Вирус создает и запускает файл V.COM размером 926 байт с помощью внешней системной утилиты DEBUG.EXE. Так как для этого необходимо вызывать командный процессор CMD.EXE, который не входит в поставку операционных систем Win9x/Me, то вирус оказывается работоспособным только в Windows NT, 2000 и XP. После запуска файл V.COM ищет файлы *.SWF в текущем каталоге и записывается в их начало. Затем он проверяет сигнатуру файлов: FWS\x99 и встраивает новый скрипт со своим телом, который запускает V.COM.
Новая версия от Лаборатории Касперского
ftp://downloads1.kaspersky-labs.com/beta/KAVUnix
В пакет добавлены новые программы:
— kavinspector. Программа может сканировать и лечить изменившиеся файлы как самостоятельно, так и посредством kavdaemon'a.
— webtuner. Программа позволяет настраивать и запускать все основные программы пакета.
— control centre. Программа выпущена в функциональности сервера задач и сервера лицензий. Данная программа отсутствует для BSDi.
В версии для Linux и FreeBSD 3.x/4.x входит новый файловый монитор. Кроме уже существовавшего resque disk'a, добавлен resque disk professional version на 3х дискетах. С помощью данной версии можно, в частности, сканировать scsi диски и raid массивы. В kavscanner добавлены опции параллельного сканирования и бесконечного сканирования, новые опции записи отчетов. Kavupdater может обновлять установленные программы. В kavdaemon и kavscanner добавлены новые коды возврата. Новая версия kavkeeper'a отличается следующими особенностями:
— наличие новых быстрых протоколов (SMTP, LMTP).
— новый улучшенный разборщик.
— web-интерфейс.
— единая с другими программами база настроек.
— новые механизмы интеграции с почтовыми системами.
Данная версия существенно отличается от предыдущей (в частности, кипер настраивается через веб), поэтому просьба автоматом старую не заменять. Писать о проблемах можно на support@avp.ru
Не будем спорить c резким суждением проповедника: он слишком сгустил краски, это ясно. В Интернете есть много хороших вещей — быстрый обмен сообщениями, доступ практически к любой информации, новости и прочее. Но есть, конечно, и зло, которое может принимать личину не знающих пощады компьютерных вирусов. И с этим надо что-то делать. Не буду говорить, что именно — Вы сами прекрасно это знаете.
Пора скачивать и устанавливать новую версию антивируса Касперского! 15 декабря 2001 года появился бета-выпуск Kaspersky Anti-Virus for Workstation 4.0, а 17 января 2002 года "Лаборатория Касперского" сообщила об официальном выпуске версии 4.0 (кодовое имя — "Прага"). Вот ссылка: ftp://ftp.kaspersky.com/products/release/4.0/Russian/HomeUser/KAVPersonalPro/kavperspro40rus.exe .
Антивирус основан на новом антивирусном ядре (старое ядро версий 3.Х было разработано 5 лет назад), которое должно значительно повысить надежность защиты как от существующих, так и от будущих угроз информационной безопасности.
Модульная архитектура "Антивируса Касперского 4.0" позволяет в реальном времени устанавливать как обновления базы данных вирусных сигнатур, так и новые версии самой программы. Это позволяет оперативно реагировать на появление новых вирусов, для защиты от которых может потребоваться обновление существующих или дополнение новых модулей Антивируса Касперского.
В антивирусный монитор внедрена не имеющая аналогов технология перехвата и обработки зараженных объектов, основанная на распределенном двухуровневом взаимодействии с операционной системой. Это значительно повышает общую стабильность компьютера, поскольку возможные сбои в работе антивирусного приложения не могут повлиять на функционирование системы в целом. В дополнение к этому проведена оптимизация работы антивирусного монитора и сканера: модули разделены на две части (интерфейсную и функциональную). Первая часть загружается только по запросу пользователя, в остальное время активной остается только вторая. Такой подход позволяет экономить оперативную память компьютера и, тем самым, ускорять работу других приложений.
Новая версия Антивируса Касперского (версии Personal Pro, Personal, Lite) полностью поддерживает операционную систему Microsoft Windows XP. Среди других новшеств: полностью обновлен пользовательский интерфейс в соответствии с технологией Tree Chart; усовершенствована система установки, позволяющая сохранять настройки ранее установленных версий, и механизм изоляции ("карантин") зараженных и подозрительных объектов; расширены возможности обработки зараженных архивированных файлов; добавлена функция лечения почтовых баз Microsoft Outlook Express и объектов, запускаемых при загрузке операционной системы, а также проверки памяти запущенных приложений; упрощена процедура работы с дисками аварийного восстановления.
Недавно пришло письмо от вице-президента чешской антивирусной компании ALWIL Software Эдуарда Кучера (Eduard Kucera). Он поблагодарил за публикацию информации об их антивирусном продукте AVAST32 [КГ №17, 08.05.01] и сообщил, что в ближайшее время их сайт, находящийся по адресу www.anet.cz/alwil, прекратит работу.
Но не стоит беспокоиться! Компания и не думает умирать в жесткой конкурентной борьбе с антивирусными продуктами других разработчиков — значимость национальных антивирусов труднопереоценима. Просто компания решила разделить направления своей работы. В связи с этим она открывает два сервера. Один — в Европе — www.asw.cz, а другой — в Америке — www.avast.com .
Имена не всех создателей вирусов становятся известны широкой общественности. А если это происходит, то дело наверняка доходит до судебного разбирательства. А до приговора? Онел де Гузман, написавший один из самых вредных за всю историю электронной почты вирус I Love You, может остаться безнаказанным — уже во второй раз Филиппинское Министерство юстиции отказалось от уголовного преследования вирусописателя.
Первый судебный процесс над де Гузманом был прекращен в 2000 году за недостатком улик. Заявка о повторном рассмотрении дела де Гузмана была подана отделом по борьбе с мошенничеством и компьютерными преступлениями Национального бюро расследований Филиппин еще в июне 2001 года. Но прокурор Архимедес Манабат отклонил заявку, даже несмотря на интерес к нему со стороны Федерального бюро расследований США. Интересно, когда добро восторжествует и зло будет наказано?
Появившийся второй вариант (модификация) вируса RST (Remote Shell Trojan), работающего в среде Linux. Как и оригинал, RST.b поражает исполняемые бинарные файлы формата ELF в Linux-системах и устанавливает на зараженную систему backdoor, предоставляющую полный удаленный контроль неавторизованным пользователям.
Однако, есть и приятные новости для линуксоидов — разработана утилита для удаления вируса RST. Скачать ее можно бесплатно, заполнив форму на странице https://www.qualys.com/forms/remoteshellb.html .
ПВО — противовирусная оборона
Vexira Antivirus for Windows 95/98/Me/NT/2000/XP Workstations Personal Edition. Разработчик: Central Command Inc., Флорида, США ( http://www.centralcommand.com ). Размер дистрибутива 7 717 Кб. Версия 2.00.00.00 от 09.01.2002г. с файлом вирусных сигнатур VDF v6.11.0.58 (0) от 20.12.2001г. защищает от 60456 вирусов, троянов, интернет-червей и других подозрительных приложений.
Vexira Antivirus Personal v2.0.0 — простой пакет антивирусной защиты, разработанный для предотвращения заражения компьютерными вирусами. Vexira надежно следит не только за вирусами, но и другой подозрительной активностью разных программ и использует высокопроизводительную технологию анализа файлов. Антивирусный продукт останавливает заражение вирусов, которые могут проникать через загруженные из Интернета файлы, гибкие носители, присоединенные к письмам файлы, сетевые диски, общедоступные файлы, CD-ROM, онлайновые службы, диски ZIP, ленточные накопители и так далее. Антивирус состоит из следующих основных программ: сканера, резидентного монитора VAGuard и планировщика, запускающего антивирус по расписанию.
В процессе установки на персональный компьютер программа инсталляции, как самый добросовестный работник, предложит тут же поискать вирусы. Причем, на выбор два варианта: искать везде или только в директории, где живет Windows.
По окончании проверки Vexira выдает детальный статистический отчет по результатам сканирования (время тестирования, количество пройденных папок и файлов, количество найденных вирусов, уничтоженных вирусов, удаленных файлов и прочее). Кроме детального отчета, доступен также и итоговый отчет, в который попадают отчеты каждой антивирусной проверки с указанием даты и времени.
После завершения установки и перезагрузки компьютера в правом нижнем углу экрана (системном трее) появляется красивая пиктограмма работающего резидентного сторожа Vexira Guard. Контекстное меню (щелчок правой кнопкой мыши над этой иконкой) предлагает на выбор четыре возможных действия: выйти из программы и закрыть ее (Close and Exit), деактивировать программу (Deactivate Vexira Guard), запустить сканер — основную программу антивируса (Start Vexira Main Program) и получить справку (Help). Двойной щелчок левой кнопкой мыши открывает основное окно резидентного сторожа Vexira Guard.
Самой интересной настройкой Vexira Guard является окно Options, в котором выполняется конфигурирование программы. В нем, например, можно указать, какие файлы требуется проверять (все или те, расширение которых соответствует списку расширений), предупреждать или нет о забытой дискете в дисководе А:\ при завершении работы в Windows. Последнее необходимо делать для тех компьютеров, в установках BIOS которых стоит порядок загрузки A:/C:. Если на гибкой дискете имеется загрузочный вирус, то система может быть заражена, потому что компьютер будет читать дискету прежде, чем загрузит Windows и антивирус, который сможет обнаружить и предотвратить инфекцию.
Vexira может раздельно проверять сетевые диски и/или локальные. Но это работает только в профессиональном выпуске антивируса (Vexira Professional Edition). В Personal Edition отключать проверку локальных дисков просто бессмысленно. Зачем? Ведь наша цель — защита информации как раз на локальных дисках! Наверное, надо было разработчикам сделать этот элемент меню просто недоступным. От греха подальше.
Последняя опция в закладке Scanner — "Лечить автоматически" (Repair automatically). Она нам нужна, если мы хотим лечить зараженные файлы. При ее активации Vexira Guard собирает информацию о том, может ли инфицированный файл быть очищен от вируса или нет.
В закладке Action ("Действие") пользователь может указать программе, что ей делать в случае, если файл вылечить не удалось:
— Уничтожить зараженный файл. При этом он может быть восстановлен с помощью специальных средств.
— Запретить доступ.
— Переименовать зараженный файл в .VIR.
— Переместить зараженный файл. Он помещается в карантинный директорий, местонахождение которого указывается ниже. Только пользователь с правами администратора может получить доступ к этому директорию.
Если необходимо проверить весь винчестер, отдельные логические диски или дискету (диск А:\) на вирус, то для этого необходимо запустить сканер Vexira Antivirus/9х. Настройки антивирусного сканера гораздо разнообразнее и богаче, чем резидентного монитора, но благодаря их иерархической организации в них можно легко разобраться. Стоимость антивируса — 49.95USD. Скачивать пробную версию со страницы: http://store.centralcommand.com .
Вирусы, которые нас поразили
SWScript.LFM. Первый известный в мире вирус, заражающий файлы MacroMedia Shockwave (.SWF), обнаружен в диком виде. Вирус активизируется при условии, если пользователь вручную установит внешний проигрыватель файлов Shockwave Flash, в котором отсутствуют некоторые элементы системы безопасности.
При использовании проигрывателей FLASH-графики, которые входят в поставку большинства версий браузеров Netscape и Internet Explorer, заражение системы не происходит. Вероятность самостоятельного распространения крайне низкая. Вирус использует функции скриптового языка, встроенного в файлы .SWF. Вирус создает и запускает файл V.COM размером 926 байт с помощью внешней системной утилиты DEBUG.EXE. Так как для этого необходимо вызывать командный процессор CMD.EXE, который не входит в поставку операционных систем Win9x/Me, то вирус оказывается работоспособным только в Windows NT, 2000 и XP. После запуска файл V.COM ищет файлы *.SWF в текущем каталоге и записывается в их начало. Затем он проверяет сигнатуру файлов: FWS\x99 и встраивает новый скрипт со своим телом, который запускает V.COM.
Новая версия от Лаборатории Касперского
ftp://downloads1.kaspersky-labs.com/beta/KAVUnix
В пакет добавлены новые программы:
— kavinspector. Программа может сканировать и лечить изменившиеся файлы как самостоятельно, так и посредством kavdaemon'a.
— webtuner. Программа позволяет настраивать и запускать все основные программы пакета.
— control centre. Программа выпущена в функциональности сервера задач и сервера лицензий. Данная программа отсутствует для BSDi.
В версии для Linux и FreeBSD 3.x/4.x входит новый файловый монитор. Кроме уже существовавшего resque disk'a, добавлен resque disk professional version на 3х дискетах. С помощью данной версии можно, в частности, сканировать scsi диски и raid массивы. В kavscanner добавлены опции параллельного сканирования и бесконечного сканирования, новые опции записи отчетов. Kavupdater может обновлять установленные программы. В kavdaemon и kavscanner добавлены новые коды возврата. Новая версия kavkeeper'a отличается следующими особенностями:
— наличие новых быстрых протоколов (SMTP, LMTP).
— новый улучшенный разборщик.
— web-интерфейс.
— единая с другими программами база настроек.
— новые механизмы интеграции с почтовыми системами.
Данная версия существенно отличается от предыдущей (в частности, кипер настраивается через веб), поэтому просьба автоматом старую не заменять. Писать о проблемах можно на support@avp.ru
Компьютерная газета. Статья была опубликована в номере 04 за 2002 год в рубрике безопасность :: Антивирусное обозрение
