...
...

Самый безобидный вирус нанесет наибольший ущерб.

Антивирусное обозрение "Самый безобидный вирус нанесет наибольший ущерб".
Третий закон Смита (Мерфо-вирусология)

Интернет-червь I-Worm.Hybris.b все выше и выше поднимает свою бессовестную голову! Так, 14 мая сего года получил сообщение от Remote Mail Delivery System <Postmaster> . Обычно в тексте такого письма находится информация о том, удалось или нет доставить кому-либо важное сообщение.
Однако, на сей раз вместо текста был "прицеп" весом 23 040 байт. Поля "Кому" и "Тема" не заполнены. Присоединенный файл назывался FHPOMAFH.EXE. Одного взгляда достаточно, чтобы определить — вирус!
На всякий случай, чтобы еще раз убедиться в этом, "тронул" письмо Антивирусом Касперского. Он заблокировал доступ к файлу и предложил лечиться. Согласен. Но не тут-то было: "Сбой при лечении".
Все понятно: лечить-то нечего, это вирус в чистом виде, удалять надо! А KAV, кроме блокирования доступа к объекту, может только автоматически лечить или удалять его. А вот чтобы лечил, а при невозможности лечения — удалить, такого сервиса, увы, нет.
Пока червь не несет в себе деструктивных функций и иногда показывает большую анимированную спираль в середине экрана.
Но этот вирус, в отличие от других, может обновлять себя автоматически через Интернет. И уже этим до крайности опасен.
McAfee улучшает наглядную статистику по вирусам
Карта мира, где можно было видеть зараженные файлы или компьютеры за последние 24 часа (7 или 30 дней) переехала на новое место: http://www.mcafee.com/antivirus/virusmap.asp .
Теперь это просто карта, на странице которой уже нет списка самых "плодовитых" вирусов. Но они есть на другой странице: http://vil.mcafee.com/mast/viruses_by_continent.asp .
Она называется Regional Virus Info ("Региональная вирусная информация"). Теперь любознательный пользователь сможет узнать о самых "популярных" вирусах не только на всем земном шаре, но и на каждом континенте: Европе, Азии, Африке, Австралии, Северной и Южной Америке. Дополнительно указывается (этого раньше тоже не было!) количество зараженных и просканированных объектов, а также зараженность в процентах. Смотри и анализируй!

Новые вирусы
Здесь — лишь малая часть "появившихся" вирусов. Мы хотим убедить пользователей компьютерных систем применять антивирусные средства и обновлять их вовремя.

1. TROJ_PICSHOW.A. Резидентный троянский конь, написанный на Visual C++. Троян не совершает на инфицированной машине деструктивных действий, а лишь показывает сообщение и картинки.
После выполнения он выводит на дисплей черное окно с "мусором" из зеленых букв. Затем показывает сообщение с иконкой McDonald и текстом: Email_xu_yyfy@yeah.net 628526xx. После этого троян остается резидентно в памяти Windows и виден как процесс в списке задач. Спустя две минуты в течение пяти секунд он отображает графический файл с изображением девушки-привидения.

2. Unix/SadMind. Этот интернет-червь проникает на системы Solaris (версии 7 или ниже) через сисадминскую программу, являющуюся частью пакета Solstice AdminSuite, используя при этом переполнение буфера.
Червь копирует себя на машину, создает директорию /dev/cuc и распаковывает в нее свою копию. Затем вносит изменения в /etc/rc.d/S71rpc таким образом, чтобы стартовать в момент запуска системы.
Затем червь открывает на зараженном компьютере 600-й порт и сканирует IP-адреса, выбранные случайным образом из блока класса "B", в поисках других систем для нападения. Параллельно червь сканирует Microsoft IIS web-сервера и, используя дыру в безопасности под названием "Web Server Folder Traversal Vulnerability", предпринимает попытку изменить содержимое стартовой страницы сайта на непристойный текст, направленный против правительства США, Solaris и Microsoft.
Когда червь инфицирует 2000 серверов под управлением Solaris, он предпринимает попытки заменить все стартовые страницы web-серверов (INDEX.HTML) на свою страницу.
Компании Microsoft и Sun Microsystems исправили ошибки в безопасности и выпустили соответствующие "заплатки".

3. W32/Roach. Зашифрованный полиморфный вирус-червь, распространяющийся по электронной почте. Заражает .EXE-файлы. Червь попадает на компьютер в письме электронной почты в виде присоединенного файла. Тема письма следующая: FW: Guess what, you're mine! Тело содержит небольшой текст на английском языке. Присоединенный архив "COOKIE.ZIP" содержит выполняемый файл "COOKIE.EXE" и тестовый файл с именем "FILE_ID.DIZ". Программа COOKIE имеет иконку, изображающую медвежонка Тедди.

4. WM97/Thirty4-A. Новый, обнаруженный в "диком виде" полиморфный макро-вирус для Word. Вирус проявляет себя на инфицированной машине следующим образом: 28 числа каждого месяца он предпринимает попытки зайти на некий сайт в Бразилии, а 5-го марта выдает сообщение: "JOSYE SUA AUTA!!!".

5. XM97/Laroux-NY. Новый вариант макро-вируса для Excel Macro.Excel.Laroux, найденный в "диком виде". Эта модификация вируса изменяет свойства инфицированного файла на следующие:
Название: "Fraouk"
Тема: "SIMULATION GEOSTATISTIQUE"
Автор: "GEOLOGIE".
Помимо этого, вирус создает в каталоге XLSTART файл с именем "Vera.xls", который использует в процессе размножения.

6. Bablas-BW. Новая модификация макро-вируса для Word из семейства Bablas, появившаяся в "диком виде".
Вирус безобиден и не совершает никаких деструктивных действий. Проявляет себя на зараженном компьютере, изменяя во время инфицирования документа его заголовок и строку состояния Microsoft Word.
Текст заголовка вирус выбирает случайным образом, но он (текст) всегда похож на следующий: "Selamat datang di GRATIA COMPUTER".
Помимо этого, если пользователь пытается получить доступ к опциям меню Tools|Macro или File|Templates, вирус выводит сообщение: "Untuk keamanan data Anda, fasilitas Macro kami kunci." После закрытия Word вирус также показывает свое сообщение.

АНТИВИРУСЫ
1. Trojan Remover 4.2.4. Разработчик: Simply Super Software Co, Великобритания (www.simplysup. com/tremover/). Размер дистрибутива: 1427 Кб. Программа и база данных v.3176 от 09 мая 2001 года удаляют 1837 троянов и Интернет-червей.
Работает под Windows 95/98/Millennium. Для NT/2000 использоваться может, хотя официально не поддерживается. Trojan Remover проверяет все системные файлы, включая реестр Windows, и находит программы, которые загружаются при запуске всей системы. Основная масса троянских коней активизируется именно в это время.
Для каждого обнаруженного трояна или нераспознанной программы Trojan Remover выдает предупреждение, показывая место расположения файла и его имя, предлагая удалить ссылку из системного файла и переименовать сам файл. В программу встроена библиотека по троянам с краткой информацией по каждому. Скачивать отсюда: http:// www.simplysup.com/private/trj/trjsetup.exe.
Кстати, если у Вас есть троян, который не определяется этой программой, то вы можете послать его разработчику в письме по адресу: support@simplysup.com, указав в теме "File for analysis". Для этого надо заархивировать зараженную программу в формате ZIP, установить пароль "PASSWORD" и прицепить ее к письму. Пароль нужен для того, чтобы какой-нибудь почтовый сканер в пути следования письма ненароком автоматически не удалил вирусный "прицеп". На отправленные письма разработчик отвечает быстро. Я, например, получил ответ через 3 с половиной часа.
— Условие распространения — полнофункциональный Trial (30 дней).
— Стоимость регистрации — 24.95$.
— Сканирование загружаемых системой файлов на предмет содержания в них троянов.
— Проверка отдельных директориев и логических дисков.
— Принятие изменений только после подтверждения пользователем.
— Автоматическое устранение всех изменений, сделанных в системе троянами без загрузки в режимах Safe, Command или DOS.
— Создание лог-файлов с детальной информацией о проверке каждой системной области.
— Не проверяет файл AUTOEXEC.BAT: его могут использовать различные антивирусные программы и драйверы. Пользователю предлагается проверить этот файл вручную в текстовом редакторе.
— Отсутствие автоматического обновления через Интернет: предлагается посетить страницу и скачать нужное обновление.

2. Achilles'Shield 3.0 for Windows. Разработчик: InDefense, Inc, США, Калифорния (www.indefense.com). Размер дистрибутива: 8 375 Кб. Версия программы 3.00.0148 от 10.01.01г.
Achilles'Shield — это программа, которая отличается от традиционных антивирусных сканеров. Achilles'Shield обнаруживает и устраняет вирусы, не прибегая к сигнатурам или именам. В нем отсутствует база вирусных сигнатур, которой необходимо постоянное обновление. Каким образом Achilles'Shield находит вирусы? Благодаря электронной вакцинации!
Антивирус состоит из семи различных модулей: MacroDetect, Vaccinator, Integrity Checker, Real-Time Monitor, Outlook and Exchange Email Client, Zip Manager и Other Defenses.
MacroDetect — проверяет все макросы на подозрительный код, позволяя защищать компьютер от новых макровирусов. Найденные макросы могут быть сертифицированы, чтобы в дальнейшем о них не выводилось предупреждения. Используется MacroPass список сертифицированных макрофайлов (файлы *.DOT, *.XLT, *.MDT и другие) от различных производителей.
Vaccinator — вакцинирует файлы. Для этого он берет "отпечаток" файла и сохраняет его в маленьком файле ("вакцине") в той же самой директории. Таким образом, система просто сравнивает "вакцину" с реальным файлом. В случае обнаружения изменений сообщает об этом пользователю. Vaccinator — основа всего антивируса. Поэтому сразу после установки этой антивирусной программы вакцинация запускается автоматически.
Integrity Checker — проверяет подозрительные изменения, сделанные над вакцинированными файлами. Изменения могут быть внесены не только вирусом. Они могут произойти во время проведения инсталляции или обновления.
Real-Time Monitor — режим монитора. Следит за системой на наличие вирусной активности. Может отлавливать неизвестные вирусы.
Outlook and Exchange Email Client — проверка входящей и исходящей электронной корреспонденции на наличие зараженных вложений.
Zip Manager — модуль, обеспечивающий работу с архивами ZIP, в том числе и саморазархивирующимися.
Other Defenses — проверяет загрузочный сектор (почему-то в DOS-сессии), CMOS-память и прочее.
Achilles'Shield совместим со многими антивирусными продуктами, однако, может произойти системный конфликт, когда две антивирусные резидентные программы одновременно обнаруживают вирус в памяти компьютера.
Поэтому разработчики рекомендуют перед установкой Achilles'Shield и в процессе его применения не использовать никакие антивирусные мониторы. Эту программу можно держать как дополнение к уже установленному антивирусу на вашем компьютере. Скачивать отсюда: http://www.indefense.com/downloads/asid_trial.exe .
Дополнительно:
— Условие распространения — Trial (45 дней).
— Стоимость регистрации — $30.
— Запуск Менеджера задач для подготовки и проведения в указанное время (планирование) проверки выбранных дисков, файлов по типу и т.д.
— Создание уникальной загрузочной дискеты (на ВНС — Всякий Непредвиденный Случай) только для данной компьютерной системы.

Вирусный ТОП-10.
09–15 мая 2001г.
3. VBS/LoveLetter@MM
4. W32/Magistr@MM
5. W32/FunLove.gen
6. VBS/Haptime@MM
7. W95/MTX.gen@M
8. APStrojan.qa@MM
9. W32/Hybris.plugin@MM
10. W95/Spaces.1445
11. W97M/Marker.gen
12. W32/Kriz.4050
Источник: www.mcafee.com . Вирусы упорядочены по количеству зараженных ими файлов во всем мире.

McAfee выпускает VirusScan 4.5.1 для защиты корпоративных рабочих мест на базе Windows 95/98/NT/2000/ ME
McAfee объявила о выходе новой версии антивируса для защиты корпоративных рабочих станций на базе ОС Windows 95/98/NT/ 2000/ME — VirusScan 4.5.1.
Новые возможности VirusScan 4.5.1:
Поддержка Windows ME
Усовершенствованный механизм обновления антивирусного сканера (Engine). Новая версия утилиты AutoUpdate позволяет производить автоматическое обновление антивирусного сканера (SuperDAT) при обновлении DAT-файлов. Теперь SuperDAT загружается и устанавливается полностью автоматически через Интернет или по локальной сети.
Сканирование только уязвимых типов файлов. Новая опция "Default files" позволяет задать режим, при котором VirusScan проверяет только те типы файлов, которые являются уязвимыми к вирусным атакам с точки зрения McAfee AVERT. При этом каждые обновления антивирусных баз теперь содержат список уязвимых расширений файлов, который будет дополняться McAfee по мере необходимости.
Mirror Utility. Данная версия VirusScan включает новую утилиту, позволяющую создавать в локальной сети зеркало ftp-сайта обновлений McAfee.
Усовершенствованный механизм AutoUpdate. С помощью нового интерфейса можно назначить до 16 сайтов для закачки DAT и SuperDAT. В дополнение к загрузке файлов по FTP и использованию UNC-имен для загрузки по локальной сети, теперь есть возможность загрузки файлов с локального компьютера.
Возможность использования пассивного FTP-режима для загрузки обновлений.
Сканирование сетевых дисков по расписанию. VirusScan 4.5.1 позволяет производить сканирование подключенных сетевых дисков в среде Windows NT или Windows 2000 по расписанию. Кроме того, добавлена возможность привязки определенной учетной записи пользователя к запланированному сканированию.
15.05.2001г www.mcafee.ru

Зафиксирована новая вспышка активности сетевого вируса-червя Worm.Qaz
Зафиксирована новая вспышка активности сетевого вируса-червя Worm.Qaz, находящегося уже более полугода в горячей десятке вирусов, публикуемой компанией Sophos (вирусы в данном списке оценивались по своей поражающей способности в процентах поверженных ими компьютеров). Это сетевой вирус-червь, распространяющийся по локальной сети, содержащий в себе \"backdoor\"-компоненту. Когда он попадает на компьютер, он ищет и подменяет собой файл NOTEPAD.EXE (оригинал NOTEPAD.EXE, правда, сохраняется, но под именем NOTE.СОМ). При запуске Worm.Qaz прописывает себя в системном реестре в секции HRLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run startIE (секция автозапуска). После этого вирус остается в памяти как процесс и активизирует две процедуры: размножение и \"backdoor\". Процедура распространения копирует файл-червь на другие компьютеры в локальной сети, если на них есть ресурсы (каталоги), открытые для чтения и записи. Процесс представляет собой простой перебор IP-адресов и проверки (является ли найденный сетевой ресурс каталогом Windows). Процедура \"вackdoor\" содержит в себе всего 3 команды: \"запуск\" (запуск приложений), \"закачка\" (запись на компьютер файлов из сети) и \"выход\" (завершение работы). Но даже этот ограниченный набор команд позволяет записать на компьютер и запустить куда более опасные и вредоносные программы.
15.05.2001 VirDet Labs, Украина, www.virdet.com.ua

Интернет-червь маскируется под предупреждение антивирусной компании
"Лаборатория Касперского" предупреждает пользователей об обнаружении нового Интернет-червя VBS.Hard. Служба технической поддержки компании уже получила несколько сообщений от пользователей об инцидентах, вызванных этой вредоносной программой.
VBS.Hard распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook Express и рассылает себя по всем адресам, которые хранятся в адресной книге Windows. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.
Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию).
Червь распространяется в электронных письмах с прикрепленным VBS-файлом "www.symantec.com.vbs", который, собственно, и является телом червя. Тема письма: FW: Symantec Anti-Virus Warning". Далее, в тексте письма следует сообщение якобы от разработчика антивируса Symantec о новом опасном и быстро распространяющемся Интернет-черве. Описание червя будто бы содержится в присоединенном файле.
Будучи запущенным из письма, червь создает поддельную страницу с якобы информацией о вирусе "VBS.AmericanHistoryX_II@mm". На самом деле такого вируса не существует.
Затем червь создает несколько файлов, один из которых отсылает через MS Outlook Express зараженные письма на все адреса в адресной книге Windows, а другой 24 ноября выводит короткое сообщение на английском языке.
Оба этих файла червь регистрирует в системном реестре в секции авто-запуска. Таким образом, они запускаются при каждом старте Windows.
Кроме того, он прописывает в реестр и поддельную страницу о вирусе как стартовую страницу для Internet Explorer.
Процедуры защиты от Интернет-червя "Hard" добавлены в ежедневное обновление антивирусной базы Антивируса Касперского от 13 мая.
14.05.01г. Лаборатория Касперского www.kav.ru

Интернет-червь Mawanella
Российский разработчик систем информационной безопасности компания "Лаборатория Касперского" предупреждает пользователей об обнаружении очередного Интернет-червя "Mawanella", созданного при помощи генератора вирусов VBS Worm Generator, ставшем известным из-за эпидемии вируса "Анна Курникова" в начале этого года. Служба технической поддержки компании уже получила несколько сообщений об обнаружении данного червя в "диком" виде.
Mavanella доставляется на компьютер в виде сообщения электронной почты, которое показано слева.
При запуске вложенного файла MAVANELLA.VBS активизируется работа самого червя, который демонстрирует окно, из содержимого которого следует, что вирус был написан Шри-Ланкийскими "патриотами".
Одновременно вирус копирует себя под тем же самым именем в системную директорию Windows, причем скопированный файл впоследствии никак не используется. Затем червь получает доступ к адресной книге MS Outlook и рассылает себя по всем найденным адресам электронной почты. 18.05.01

(c) компьютерная газета




© Компьютерная газета

полезные ссылки
Оффшорные банковские счета