безопасность :: Антивирусное обозрение

Что значит имя? Все так же сладок розы аромат, Когда другое имя ей дано.



Антивирусное обозрение "Что значит имя?
Все так же сладок розы аромат,
Когда другое имя ей дано".
Уильям Шекспир. Ромео и Джульетта (пер.Е.Савич)

Порой даже старые, хорошо изученные и, казалось бы, уже неопасные вирусы могут давать о себе знать в самых неожиданных местах.
Недавно известная голливудская компания Warner Brothers выпустила для детей DVD-диски с очень популярным на Западе мультипликационным сериалом "Крутые девчонки" (Powerpuff Girls). Все бы ничего, да на дисках с серией Meet the Beat Alls оказался вирус Funlove.
Как только это выяснилось, 1 ноября компания срочно отозвала весь зараженный выпуск и заявила, что возместит убытки в ближайшее время.
Данное событие наверняка войдет в историю, когда на DVD впервые были обнаружены вирусы. Однако это далеко не первый случай, когда большие и солидные компании допускают грубые промахи.
Так, например, тот же самый вирус Funlove в 2000 году распространялся с официального сайта компании Hewlett-Packard вместе с драйверами для принеров. Поэтому не стоит никому доверять и всегда необходимо иметь надежную и современную антивирусную защиту на той компьютерной системе, с которой Вы работаете.
Что касается вируса Funlove, то иногда его можно встретить в "хит-парадах" вирусов месяца. Это говорит о том, что он продолжает находить свои жертвы, даже спустя два года после своего первого обнаружения. Вирус работает в среде Windows NT/95/98, распространяется через локальные сети, любит цепляться к файлам *.EXE, *.SCR и *.OCX.

В конце октября 2001 года вышла очередная версия комплекса антивирусных программ Vba32 ( http://www.vba.com.by ). Комплекс функционирует под управлением ОС Windows 95 / 98 / Me / NT / 2000 / XP. Теперь в антивирусе Вирус-блокада появились новые возможности:
— управление комплексом с АРМ администратора антивирусной защиты.
— парольная защита настроек комплекса от изменений пользователем.
— результаты обработки объектов сохраняются, что позволяет значительно ускорить повторную обработку не изменившихся объектов любой компонентой комплекса.
— отображение уведомлений о действиях, выполненных монитором.
— отображение уведомлений при обнаружении монитором подозрительных файлов, а также их блокировка.
— в сканере с графическим интерфейсом добавлена возможность просмотра макросов, содержащихся в документах MS Office.
Кроме этого, существенно возросла производительность комплекса за счет применения новых и усовершенствованных алгоритмов, позволяющих обнаруживать и обезвреживать новые типы вредоносных программ, переработан пользовательский интер-фейс.

9 ноября 2001 года пользователи известного антивируса Norton AntiVirus, у которых установлен Windows 2000, столкнулись с тем, что программа сообщала о наличии вируса W32.Nimda.enc(dr) в файле ikernel.exe, хотя на самом деле файл чист.
Впервые информацию о ложном срабатывании антивируса сообщил немецкий антитроянский сайт "Троянер-Инфо".
Позже компания Symantec подтвердила существование данной проблемы. Ошибка происходит в случае использования установочной программы InstallShield, в состав которой входит файл ikernel.exe. InstallShield используется многими разработчиками программного обеспечения для инсталляции своих программ. Из-за того, что программой пользуется более 250 миллионов человек, устранение ошибки в антивирусе приобретает важное значение.
В настоящее время на сайте компании Symantec выложена инструкция по извлечению якобы зараженных файлов InstallShield из карантина, куда они помещались антивирусом по умолчанию.

14.11.2001 McAfee выпускает программно-аппаратный антивирусный шлюз SMTP-, HTTP-, FTP- и POP3-протоколов для небольших и средних сетей — McAfee WebShield e250
Антивирусная компания McAfee ( www.mcafee.com ), являющаяся подразделением Network Associates, Inc., объявила о начале поставок программно-аппаратного антивирусного шлюза McAfee WebShield e250 Appliance. Это интегрированное решение, предназначенное для защиты корпоративных сетей от вирусов, поступающих из сети Интернет по протоколам SMTP, HTTP, FTP и POP3. Эта уникальная разработка, предназначенная для небольших и средних корпоративных сетей, до 500 пользователей, не имеет аналогов на рынке. Пропускная способность антивирусного шлюза составляет более 30 тыс. сообщений электронной почты в час и более 250 Кб HTTP-трафика в секунду. Кроме того, WebShield e250 является первым (наряду с WebShield e500) решением, позволяющим сканировать POP3-протокол на уровне шлюза.
Помимо сканирования трафика на предмет вирусов WebShield e250 имеет много других возможностей, среди которых: фильтрация электронной почты по содержимому, блокирование URL-адресов, защита от массовых рассылок (Anti-Spam), блокирование почтовых адресов, защита от использования почтового сервера для отправки несанкционированных сообщений (Anti-Relay).

Вирусы, которые нас поразили
1. Paukor (W32.Paukor.B@mm). Интернет-червь.
Незаметно для пользователя записывает последовательность нажатий кнопок на клавиатуре и отсылает их злоумышленнику. Для рассылки своих копий использует программу Microsoft Outlook. Тема почтового сообщения: "Pictures with your loved one" ("Ваши любимые картинки"), присоединенный файл — Images_zipped.exe (416256 байт).
Активизируется при открытии исполняемого файла. При этом вирус рассылает себя по всем адресам, имеющимся в адресной книге. Изменяет файл autoexec.bat для того, чтобы уничтожить все файлы и папки в следующих директориях: Windows\Local Settings и Windows\History. Также создает в папке Windows файлы Systray.exe, Msp.dll, Msd.vbs и Images_Zipped.exe. Для операционной системы Windows NT использует папку Winnt. Червь добавляет в системный реестр Windows ключ, который будет автоматически запускать вирус каждый раз при включении компьютера.

2. Bumerang (Worm.Bume-rang). Сетевой червь. Функционирует под операционными системами Win9X. Написан на Microsoft Visual C++. Размер — 32K (упакован UPX, в распакованном виде — 52K).
Записывается в начало файла, перенося оригинальное содержимое в конец файла. Код вируса хранится в файле DDRAW32.DLL. Для автоматического запуска при старте Windows он создает ключ в реестре. При этом вирус отслеживает запуск редактора реестра, входящего в поставку Windows и удаляет свой ключ из реестра. При закрытии последнего ключ восстанавливается.
Распространяется по локальной сети. Вирус перебирает все сетевые диски и директории, подключается к ним и инфицирует все исполняемые файлы EXE.
Периодически создает на диске файл RUN.EXE, зараженный модифицированным вариантом вируcа "Чернобыль" (Win95.CIH), который уничтожает Flash BIOS компьютера и FAT винчестера сразу после запуска этого файла. Если при этом к компьютеру будут подключены по локальной сети другие зараженные машины, то они получают сообщение о запуске деструктивной компоненты и, в свою очередь, постараются запустить у себя ее тоже. При этом, как цепная реакция, все компьютеры будут выведены из строя.

Вирусный ТОП-10. 14-21 ноября 2001г.
Название Число зараженных
компьютеров, %
W32/Nimda.eml 75,905 18.25
W32/Nimda@MM 45,050 10.83
VBS/LoveLetter@MM 38,038 9.15
IRC/Mimic 35,880 8.63
W32/Magistr.b@MM 22,024 5.30
W32/Magistr.a@MM 20,867 5.02
W32/SirCam@MM 13,927 3.35
VBS/Haptime.a@MM 9,759 2.35
W32/SirCam@MM 6,666 1.60
W32/Hybris.gen@MM 5,437 1.31
Источник: www.mcafee.com .
Всего заражено 415 855 компьютеров.


ПВО — противовирусная оборона
VGrep. Разработчик: Virus Bulletin Ltd., Оксфорд, Великобритания (http://www.virusbtn.com/ VGrep/). Дистрибутив: 940 КБ. Binary Version 4.03 от 25.02.01г. с базой данных от 22.07.01г.
VGrep — это система, разработанная в попытке внести некоторую ясность в тот беспорядок, который касается различных имен одного и того же вируса. В основе этой системы лежит уникальная база данных по вирусам, полученная путем сравнения баз данных от 18 известных антивирусных продуктов. Среди них: Alwil AVAST!, DialogSci DrWeb, ESafe Desktop, ESET Nodice, Frisk F-Prot, Gecad RAV, Kaspersky AVP, McAfee Scan, Norman Virus Ctrl, Panda Anti-Virus, Sophos Sweep, Symantec NAV, Trend PCScan и другие. С помощью VGrep Вы не сможете сравнить скорость сканирования различных антивирусов между собой. Утилита не предназначена для этого. Единственная ее задача — показывать, под какими именами определяют один и тот же вирус различные антивирусные программы. Таким образом, можно узнать, как много синонимов может быть у одного и того же паразита.
VGrep не дает полную и исчерпывающую информацию о каком-либо вирусе. Все, что умеет делать эта программа, — выдавать имена вирусов, и не больше. Однако, узнав с помощью VGrep корректное имя вируса, с которым Вы столкнулись, можно уже в другом месте найти о нем больше данных. Почему эта программа в некоторых случаях является просто необходимой? Потому что, в отличие от розы Шекспира, имя вируса является очень важным. Почему? Потому что, НЕ зная его правильного название, бывает очень трудно найти точную информацию о том, какими свойствами обладает тот или иной электронный паразит и, соответственно, оценить степень угрозы и принять адекватные меры к его устранению.
Существование множественности названий вирусов объясняется двумя вещами. Во-первых, в этом виноваты непосредственно сами вирусы и, во-вторых, антивирусные компании, которые с ними борются. Первая причина — самая очевидная. Много вирусов не имеют никаких уникальных характеристик, и поэтому присваивать имена таким "серым" объектам очень трудно. Вторая причина, возможно, более важная.
Однако, когда вирусологи в антивирусных компаниях получают пример нового вируса, их основная цель заключается в том, чтобы обучить антивирусную программу различать такой вирус. У них нет времени думать о том, как его назвать. Поэтому они помечают изученный вирус, как, например, Fred. И только несколько позже они могут сообща решить назвать компьютерную заразу что-то вроде Jerusalem.Australian.Fred.1089. Это решение, естественно, потребует внесения изменений и в антивирусный продукт. Но пока окончательное название не выработано, путаница в названиях будет существовать. Следовательно, VGrep представляет простой справочник из отсортированных и сопоставленных друг другу названий компьютерных вирусов на основе анализа известных антивирусных продуктов мира. VGrep существует в двух вариантах — в виде онлайновой версии ( http://www.virusbtn.com/VGrep/search.html ) и как запускаемый файл, который можно свободно скачать с сайта "Вирусного бюллетеня".
Файл VGrep работает из командной строки. Формат задания команды для поиска следующий: VGREP [опция] строка. Возможны следующие опции:
-c — полное соответствие строке поиска, -h — показать помощь, -i — интерактивное приглашение для командной строки, -l — список антивирусных продуктов, включенных в базу данных VGrep, -m — установить страничный вывод, -p <продукт> — имена виру-сов, сообщенные антивирусным продуктом <продукт> [только одно слово!], -w — общие сведения и информация по обновлению.
Пример работы утилиты:
С:\> vgrep Magistr
Alwil AVAST! 7.70-54 2001-06-28: Win32:Magistr
DialogSci DrWeb 4.25 2001-06-20: Win32.Magistr.24876
ESafe Desktop 3.0 2001-06-27: Win32.Magistr
ESET Nodice 1.97 2001-07-09: Win32/Magistr.24876
Frisk F-Prot 3.09c 2001-06-28: W95/Magistr.28672@mm
Gecad RAV 8.2.1.12 2001-07-06: Win32/Magistr.gen@mm
Grisoft AVG 6.0.264/136 2001-07-02: Win32/Magistr
Kaspersky AVP 3.0/133 2001-07-06: I-Worm.Magistr
McAfee Scan 4.5.4 V4146 2001-07-01: W32/Magistr@MM
Norman Virus Ctrl 5.10 2001-06-27: W32/Magistr@mm
Panda Anti-Virus 6.0 2001-07-01: W32/Disemboweler
Sophos Sweep 3.47 2001-07-01: W32/Magistr-A
Symantec NAV 5 2001-07-01: W32.Magistr.24876@mm
Trend PCScan 7.51 v911 2001-07-01: PE_Magistr.A
Казалось бы, такое простое название, но зато каким разнообразием префиксов и суффиксов наделили имя различные антивирусные компании. А одна даже умудрилась назвать его как Disemboweler! Дополнительно отметим, что при формировании в командной строке имени вируса утилита использует два специальных символа: "^" и "$". Например, при задании запроса "^form" будут найдены те имена, которые начинаются с "form". В случае использования запроса типа ":mte$" программа выдаст список из названий вирусов, кото-рые оканчиваются на ":mte". В качестве выходной информации, кроме найденных имен вирусов, могут встречаться три варианта ответов:
— Символ "~" в начале имени означает, что антивирусный продукт в некоторых случаях показывает, что файл "возможно инфицирован" или "инфицирован вариантом", но не со 100% уверенностью.
— "NO_VIRUS". Продукт считает, что файл чистый, не зараженный.
— "UNKNOWN_VIRUS". Антивирус верит, что файл заражен, но не знает чем. Обычно это происходит тогда, когда включен эвристический анализатор.
Программа полностью бесплатная. Скачивать отсюда: http://www.virusbtn.com/VGrep/vgrep.zip .

(c) компьютерная газета





© компьютерная газета