| ← Ноябрь 2000 → | ||||||
|
2
|
3
|
4
|
5
|
|||
|---|---|---|---|---|---|---|
|
6
|
7
|
8
|
9
|
11
|
12
|
|
|
14
|
15
|
16
|
17
|
18
|
||
|
21
|
22
|
23
|
24
|
25
|
26
|
|
|
27
|
28
|
30
|
||||
За последние 60 дней ни разу не выходила
Сайт рассылки:
http://prool.kharkov.org/ezheki.html
Открыта:
Давно
Адрес
автора: comp.soft.av.ezheki-owner@subscribe.ru
Автор
Статистика
5.311 подписчиков
0 за неделю
0 за неделю
Антивирусное обозрение "Ежики" - #62 (19.11.2000)
Антивирусная Лаборатория Дизет http://dizet.com.ua ====================================================================== Антивирусное Обозрение "Ежики" (события, факты, комментарии) ====================================================================== Сегодня в обзоре: - I-Worm.Hybris - новый опасный интернет-червь! - SHORE.D: вредитель из отряда макро-вирусов - На Филиппинах арестован подозреваемый в распространении вируса Erap - Во Франции были зарегистрированы случаи заражения очередной разновидностью Интернет-червя - Sonic: Интернет-червь со способностью самообновления - Горячая десятка вирусов за сентябрь от Sophos ====================================================================== I-Worm.Hybris - новый опасный интернет-червь! Интернет-червь, распространяющийся при помощи зараженных электронных писем. Работоспособен под Win32. Содержит в себе подпрограммы-компоненты (плагины) и выполняет их по мере необходимости. Эти плагины могут быть "обновлены" червем с Интернет-страницы автора вируса. Старшие версии червя зашифрованы полу-полиморфным кодом. Червь содержит текст: HYBRIS (c) Vecna Запуск файла-червя ------------------ При запуске EXE-файла с копией червя он заражает библиотеку WSOCK32.DLL, при этом червь: - записывает себя в конец файла - перехватывает функции "connect", "recv", "send" - заменяет стартовый адрес DLL-библиотеки на свой код и при этом шифрует "настоящую" стартовую процедуру файла. Если заражение не состоялось (если, например, файл WSOCK32.DLL уже используется и заблокирован системой на запись), червь создает его копию со случайным именем, заражает эту копию и записывает в файл WININIT.INI инструкцию замещения WSOCK32.DLL на зараженную копию (это произойдет при следующем рестарте Windows). Червь также создает свою копию со случайным именем в системном каталоге Windows и регистрирует ее в ключе реестра "запуск один раз" (RunOnce): HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce {Default} = %WinSystem%\WormName или HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce {Default} = %WinSystem%\WormName где %WinSystem% является именем системного каталога Windows, а "WormName" является случайным именем, например: CCMBOIFM.EXE LPHBNGAE.EXE LFPCMOIF.EXE Зараженная библиотека WSOCK32.DLL --------------------------------- Червь перехватывает функции работы с Интернет, сканирует принимаемые и отправляемые данные, ищет в них адреса электронной почты и через некторое время отправляет свои копии по этим адресам. Плагины ------- Функциональность червя во многом определяется его плагинами, которые хранятся в теле червя в зашифрованном виде (используется шифрование по типу RSA с 128-битным ключем). Эти плагины выполняют самые различные функции и могут быть "обновлены" с Интернет-стриницы: http://pleiku.vietmedia.com/bye/ Таким образом, функциональность червя полностью зависит от расположенных на этой странице плагинов (плагины на странице также зашифрованы). Для "апгрейда" своих плагинов червь также использует конференцию USENET alt.comp.virus. Червь периодически подключается к этой концеренции (случайно выбирая один их более чем 70 адресов news-серверов), конвертирует свои плагины в формат письма и посылает его в конференцию. Сообщения вируса в концеренции можно определить по случаному тексту в поле Subject, например: encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH text RFRE rebibmTCDOzGbCjSZ где первые 4 символа - "имя" закодированного плагина, а следующие 4 символа - закодированный "номер версии" плагина. Аналогично червь считывает новые плагины из конференции: проверяет имя плагина и его версию, сравнивает с текущими плагинами и, если плагин в конференции имеет больший номер версии, замещает текущий плагин на его более "свежую" версию. Червь также "скидивает" свои плагины на диск в системный каталог Windows в виде файлов со случайно выбранными именами, например: BIBGAHNH.IBG DACMAPKO.ACM GAFIBPFM.AFI IMALADOL.MAL MALADOLI.ALA Известно несколько плагинов. Они выполняют, например, следующие действия: 1. Заражают все ZIP- и RAR-архивы на всех доступных дисках от C: до Z:. При заражении архива червь ищет в нем .EXE-файлы, переименовывает их с именем .EX$, а свою копию дописывает под именем заражаемого .EXE-файла (компаньон-метод заражения). 2. Посылают письма-плагины в конференцию "alt.comp.virus" и считывают новые плагины из конференции. 3. Заражают удаленные компьютеры, на которых установлен backdoor SubSeven. Плагин ищет такие компьютеры в сети и при помощи команд SubSeven посылает копию червя на компьютер и запускает там эту копию на выполнение. 4. Шифруют файл-червь при помощи полиморфик-кода при каждой посылке файла-червя, вложенного в письмо электронной почты. 5. Случайным образом выбирают поле заголовка письма, текста и имя файла-вложения: Поле From: Hahaha <hahaha@sexyfun.net> --------- Заголовки письма: ---------------- Snowhite and the Seven Dwarfs - The REAL story! Branca de Neve porn?! Enanito si, pero con que pedazo! Les 7 coquir nains Тексты сообщения: ---------------- C'etait un jour avant son dix huitieme anniversaire. Les 7 nains, qui avaient aidщ 'blanche neige' toutes ces annщes aprшs qu'elle se soit enfuit de chez sa belle mшre, lui avaient promis une grosse surprise. A 5 heures comme toujours, ils sont rentrщs du travail. Mais cette fois ils avaient un air coquin... Today, Snowhite was turning 18. The 7 Dwarfs always where very educated and polite with Snowhite. When they go out work at mornign, they promissed a huge surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter... Faltaba apenas un dia para su aniversario de de 18 aёos. Blanca de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron una grande sorpresa para su fiesta de compleaёos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos... Faltava apenas um dia para o seu aniversario de 18 anos. Branca de Neve estava muito feliz e ansiosa, porque os 7 an?es prometeram uma grande surpresa. As cinco horas, os an?ezinhos voltaram do trabalho. Mas algo nao estava bem... Os sete an?ezinhos tinham um estranho brilho no olhar... Имена вложения: -------------- enano.exe enano porno.exe blanca de nieve.scr enanito fisgon.exe sexy virgin.scr joke.exe midgets.scr dwarf4you.exe blancheneige.exe sexynain.scr blanche.scr nains.exe branca de neve.scr atchim.exe dunga.scr anуo porn?.scr А также (в зависимости от версии плагина): ----------------------------------------- Заголовок письма является случайной комбинацией из: Anna + sex Raquel Darian sexy Xena hot Xuxa hottest Suzete cum famous cumshot celebrity rape horny leather ... и тому подобное Имя файла-вложения: Anna.exe Raquel Darian.exe Xena.exe Xuxa.exe Suzete.exe famous.exe celebrity rape.exe leather.exe sex.exe sexy.exe hot.exe hottest.exe cum.exe cumshot.exe horny.exe anal.exe gay.exe oral.exe pleasure.exe asian.exe lesbians.exe teens.exe virgins.exe boys.exe girls.exe SM.exe sado.exe cheerleader.exe orgy.exe black.exe blonde.exe sodomized.exe hardcore.exe slut.exe doggy.exe suck.exe messy.exe kinky.exe fist-fucking.exe amateurs.exe Описание: "Лаборатория Касперского" ====================================================================== SHORE.D: вредитель из отряда макро-вирусов W97M_SHORE.D - деструктивный макро-вирус, заражает документы/шаблоны MS Word 97. Удаляет все макросы пользователя, содержащиеся в документе. При открытии редактора Visual Basic отображается окно для ввода пароля. Если пользователь инфицированного компьютера наберет неверный пароль и затем нажмет кнопку "OK", отображается сообщение об ошибке. При корректном вводе пароля пользователем открывается окно редактора Visual Basic. Вирус заражает активные документы/шаблоны Word, прерывая при этом следующие события: AutoOpen, FileOpen, AutoExit, AutoClose, FileSave, AutoExec и FileNew. Макросы, имеющие отношение к File|Templates, Tools|Macro и редактору Visual Basic, модифицируются вирусом и уже не исполняют свои обычные функции. Вместо загрузки окна редактора Visual Basic отображается окно для ввода пароля. Вирусный код содержит определенные команды, позволяющие просматривать его после ввода правильного пароля. При вводе пользователем инфицированного компьютера неверного пароля, отображается сообщение об ошибке: Unable to get the access. Request aborted... Правильный пароль для доступа к редактору Visual Basic - "cool13". При открытии зараженного документа SHORE.D отключает встроенную защиту от макро- вирусов в MS Word 97. Вирус не инфицирует повторно уже зараженные файлы, сверяясь с измененными им пользовательскими установками: NAME: Серийный номер TYPE: Число VALUE: 2017 Источник: "Лаборатория Касперского" ====================================================================== На Филиппинах арестован подозреваемый в распространении вируса Erap По сообщению антивирусной компании Sophos на Филиппинах арестован подозреваемый в распространении вируса "Erap Estrada". 22 октября 19-летний молодой человек был арестован в своем доме агентами Национального Бюро Расследований (NBI) Филиппин. У него были изъяты дискеты и компьютерное оборудование. Позднее арестованный был отпущен на свободу до окончания расследования этого дела. Как сказал Elfren Meneses, руководитель подразделения NBI по борьбе с компьютерными преступлениями: "Все изъятые улики переданы в отдел электронной обработки данных NBI для дальнейшего изучения и анализа". Власти Филиппин, видимо, решили попытаться реабилитироваться после нескольких неудачных попыток привлечь к ответственности виновных в распространении вируса LoveLetter, причинившего огромный ущерб компьютерам во всем мире в мае этого года. Источник: Sophos ====================================================================== Во Франции были зарегистрированы случаи заражения очередной разновидностью Интернет-червя 10 октября 2000 г. во Франции были зарегистрированы случаи заражения очередной разновидностью Интернет-червя "KakWorm.d". Эта разновидность Интернет-червя отличается от других представителей семейства, тем, что работоспособна только на компьютерах под управлением французской версии Windows. Для проникновения на компьютеры пользователей черви этого типа используют дыру в системе безопасности Internet Explorer 5.0, получившую название "Scriptlet.Typelib Vulnerability". Для того, чтобы активизировать KakWorm пользователю достаточно прочитать зараженное письмо. После этого червь создает в папке автозапуска файл OUT.HTA, который при последующей перезагрузке модифицирует системный реестр. Таким образом, к каждому исходящему письму в качестве подписи по умолчанию добавляется невидимая скрипт-программа, содержащая червя. Как сообщает "Лаборатория Касперского", для защиты от червей этого типа достаточно установить <заплатку> к Internet Explorer 5.0, доступную на сайте Microsoft по адресу: http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP Источник: InfoArt ====================================================================== Sonic: Интернет-червь со способностью самообновления "Лаборатория Касперского", предупреждает пользователей об обнаружении нового Интернет червя Sonic. Червь был обнаружен "в диком виде" утром 30 октября во Франции и Германии. Отличительной чертой данной вредоносной программы является ее способность к самообновлению (автоматической загрузке дополнительных функциональных компонент) через Интернет. Червь состоит из двух частей: загрузчика и основного модуля. Копии загрузчика распространяется по сети Интернет при помощи электронной почты. Попав на компьютер, он внедряется в операционную систему и инициирует соединение с хакерским сайтом на популярном ресурсе бесплатных домашних страниц 'Geocities'. Оттуда червь пытается нелегально загрузить основной модуль для его установки на зараженном компьютере. Главное предназначение основного модуля - backdoor-функции, т.е. несанкционированный сбор информации о компьютере и слежка за действиями пользователя. "Лаборатория Касперского" допускает, что автор червя может изменять назначение основного модуля, в том числе, в сторону придания ему более опасных разрушительных способностей. После установки основного модуля червь незаметно для пользователя получает доступ к адресной книге Windows (WAB), считывает из нее адреса электронной почты и рассылает по ним зараженные сообщения, содержащие копию загрузчика червя. В известных версиях червя рассылаемые сообщения имеют тему письма 'Choose your poison' и зараженный вложенный файл с именем GIRLS.EXE. Процедуры защиты от червя Sonic добавлены в антивирусные базы "Антивируса Касперского" (AVP). Технические подробности о принципах и порядке функционирования червя доступны на сайте Вирусная Энциклопедия Касперского: www.viruslist.com . Источник: "Лаборатория Касперского" ====================================================================== Горячая десятка вирусов за сентябрь По сведениям от Sophos в сентябре наибольшую активность проявили следующие вирусы: 1. VBS/Kakworm - 18.3% 2. VBS/LoveLet-G - 7.3% 3. W32/Apology-B (aka I-Worm.MTX) - 6.6% 4. WM97/Metys-F - 6.2% 5. Troj/Qaz (aka Worm.Qaz) - 4.4% 6. XM97/Jini-A - 4.4% 7. WM97/Marker-C - 4.0% 8. VBS/Stages (I-Worm.Scrapworm) - 3.7% 9. WM97/Ethan - 3.3% 10. W32/Ska-Happy99 (aka I-Worm.Happy) - 2.6% Все остальные вирусы, проявившие себя в августе составляют 39.2%. Источник: "Лаборатория Касперского" ====================================================================== Эти и многие другие новости ежедневно на сайте "Антивирусная Служба Новостей" : http://news.dizet.com.ua/ ====================================================================== Архив рассылки : http://subscribe.ru/archive/comp.soft.av.ezheki/ Автор рассылки : Андрей Каримов e-mail: info@dizet.com.ua Мы ждем ваших отзывов и пожеланий!
|
http://subscribe.ru/
E-mail: ask@subscribe.ru |
| В избранное | ||
