Антивирусные программы
Но по прошествии нескольких дней стало ясно, что не все так страшно. По всей видимости, многочисленные вирусные эпидемии чему-то все-таки учат пользователей ПК. По оценкам компании Computer Economics, вирус Love Bug, появившийся в 1999 году, посетил по всему миру 40 млн компьютеров и заразил из них 4,5 миллиона, а общий ущерб от его деятельности составил около 8,75 млрд дол. По данным этой же компании, с минувшего вторника вирус Goner получили по электронной почте или через ICQ 800 тысяч обладателей компьютеров по всему миру, но заразились из них только 7%, то есть только 56 тысяч человек по небрежности или недомыслию запустили присланный файл на исполнение. К тому же после вируса Love Bug антивирусные компании добавили в свои защитные программы целый ряд функций по автоматической очистке от вирусов (особенно в ПО для корпоративных компьютерных сетей, где полагаться на сознательность и подкованность рядовых пользователей было бы очень наивно). Так что о миллионах заразившихся ! говорить рановато, и ущерб от вируса Goner пока составляет порядка 5 млн дол. То есть ему далеко и до чемпиона Love Bug, и до призеров (вирус Code Red обошелся миру в 2,6 млрд дол., SirCam стоил около 1 млрд дол., а Nimda - 590 млн дол.). Но расслабляться, конечно же, нельзя, ведь вирусописатели не дремлют и постоянно придумывают что-то новое и изощренное.
Алгоритм работы сервиса будет следующим: файлы, предназначенные для проверки, при помощи информера загружаются на сервер AV-online, где средствами пакета DrWeb осуществляется их проверка. Помимо процедуры проверки, пользователи также смогут получить доступ к статистике файлов, прошедших проверку. Собственную серию информеров предложила "Лаборатория Касперского" . В состав этой серии вошли информеры, содержащие новости компании, новости проекта VirusList.com , рейтинг top10 вирусов и перечень наиболее активных вирусов дня. Комментируя внедрение нового сервиса и новостных информеров, руководитель проекта Informer.ru Елена Митькина заявила следующее: "Сервис AV-online, в первую очередь, ориентирован на администраторов интернет-проектов. С его помощью порталы, осуществляющие обмен файлами (почтовые сервисы), смогут организовать их автоматическую проверку на наличие вирусов, что, несомненно, будет оценено пользователями. Что касается информеров "Лабаратории Касперского", то они, безусловно, будут полезны владельцам информационных проектов, специализирующихся на вопросах сетевой безопасности и распространении вирусов". 8-12-2001 Новый Интернет-червь I-Worm.Updater Новый Интернет-червь "Updater" написан на языке программирования Visual Basic и представляет собой EXE-файл размером около 12 килобайт, упакованный утилитой сжатия UPX. Распространяется он по электронной почте через почтовую программу Outlook, рассылая письма со своими копиями по всем адресам из адресной книги зараженного компьютера. Вариантов оформления письма с вирусом Updater несколько. Строка "Тема" состоит из четырех частей и случайным образом формируется из следующего списка: Часть
1: "Have you ", "You Should ", "Just ",
"Why Not you ", "How to ", "Re: ", "Fwd
: ", " " Например: You Should Look at this Osama Vs Bush Тело письма имеет следующий вид: Hi:
Вложенный файл-носитель червя может иметь имена: "Setup.EXE", "install.exe", "Readme.exe", "Files.exe", "Picture.exe", "Quotation.Doc.exe", "Letter.Doc.exe", "Picture.jpg.exe" "Updater" имеет неприятное побочное действие. Он создает вредоносную скрипт-программу UPDATE.VBS, записывает ее в каталог автозагрузки Windows и запускает на выполнение. Эта программа ищет на диске файлы с расширением .EXE, .DOC и .VBS и создает для них файлы-компаньоны, содержащие копию червя. Эти файлы-компаньоны имеют те же имена, что и оригинальные файлы плюс "второе" расширение .VBS. Например: MPLAYER.EXE.vbs REPORT.DOC.vbs Рекомендации пользователям не отличаются оригинальностью: не открывать файлов (особенно исполняемых), прикрепленных к подозрительным письмам. 6-12-2001 Internet-червь Gone удаляет антивирусные программы и распространяется как лесной пожар
Он приходит по электронной почте в присоединенном к письму файле с названием Gone.scr, то есть он замаскирован под скринсейвер. В заголовке письма стоит всего одно слово: "Hi". Текст в теле письма следующий: "How are you ? When I saw this screen saver, I immediately thought about you. I am in a harry, I promise you will love it!" ("Привет, когда я увидел этот скринсейвер, я сразу же подумал о тебе. Сейчас мне некогда, но я обещаю, что он тебе понравится"). Распространяется вирус только через почтовую программу Microsoft Outlook на компьютерах с ОС Windows, на остальных он не действует. На зараженном компьютере вирус Gone останавливает работу большинства антивирусных и защитных программ и удаляет все файлы из папок, содержащих эти приложения. В частности, вирус находит и удаляет антивирус AVP от "Лаборатории Касперского" и защитные программы ZoneAlarm производства Zone Labs и Black Ice от Internet Security Systems. Сняв защиту с компьютера, вирус открывает диалоговое окно со своим именем Pentagone и именами создателей, а также с благодарностями пользователям Интернет. Затем вирус устанавливает на компьютер программу "черного хода", которая может быть использована хакером для организации атак типа "отказ в обслуживании" против серверов IRC-чата. Вирус пытается распространяться по электронной почте и через чат-программу ICQ. По почте он рассылает свои копии по всем адресам из адресной книги, а в ICQ он - по всем пользователям из списка контактов. Антивирусные компании настоятельно рекомендуют пользователям обновить свое антивирусное ПО и не открывать писем, подпадающих под вышеупомянутое описание.
Тема
письма: "Hi" Для активизации "Goner" пользователь должен самостоятельно запустить файл-носитель червя (GONE.SCR), после чего начинается процедура внедрения вредоносного кода на компьютер жертвы. Для этого "Goner" записывает свою копию в системный каталог Windows под тем же именем (GONE.SCR) и регистрирует этот файл в секции автозагрузки системного реестра Windows. Таким образом, червь автоматически запускается при каждой перезагрузке операционной системы. Затем "Goner" начинает процедуру распространения по сети Интернет. Для этого одновременно используются два канала передачи данных: электронная почта и популярный Интернет-пейджер ICQ. Для распространения по электронной почте червь получает доступ к почтовой программе Microsoft Outlook, создает письмо, содержащее зараженный файл GONE.SCR и незаметно для пользователя рассылает его по всем получателям из адресной книги Outlook. "Goner" также пытается рассылать свои копии при помощи Интернет-пейджера ICQ. Для этого он постоянно отслеживает список активных (online) пользователей и периодически пытается передать им файл-носитель червя. Для сокрытия своего присутствия в системе и несанкционированной работы с ICQ "Goner" постоянно сканирует имена вновь появившихся окон и закрывает служебные окна ICQ. Помимо распространения по Интернет червь также проводит атаку на IRC-канал #pentagonex через сервер twisted.ma.us.dal.net. Для достижения этой цели на зараженном компьютере незаметно запускается вредоносная скрипт-программа, которая с помощью клиента mIRC регулярно создает в этом канале пользователей со случайными именами. В некоторых случаях это может привести к перегрузке сервиса и, безусловно, нервирует других участников IRC-канала. Специалисты "Лаборатории Касперского" считают, что эпидемия "Goner" скоро пойдет на убыль. Обычно в первые часы появления нового вируса наблюдается резкий всплеск его активности, но через 2-3 дня он идет на убыль. Данный вирус не использует никаких нестандартных методов проникновения на компьютеры, поэтому, скорее всего, вскоре его эпидемия затихнет. P.S. Когда верстался номер, пришло сообщение, что Ассоциация SANS Institute опубликовала перечень десяти самых ненадежных звеньев компьютерной защиты. В их число, в частности, попали крайне уязвимые программы Common Gateway Interface, модули расширений, устанавливаемые на Web-серверах, и ненадежный sendmail. Одновременно опубликованы и пять самых опасных ошибок, которые совершают пользователи. Среди них, бесспорно, лидирует чтение присоединенных файлов в сообщениях электронной почты, полученных от неизвестных адресатов. Оба рейтинга опасностей можно найти в Сети по адресу www.sans.org/topten.htm |