Антивирусное обозрение "Ежики" - #68 (25.01.2000)

Антивирусная Лаборатория Дизет                 http://www.dizet.com.ua
======================================================================
Антивирусное Обозрение "Ежики"
 (события, факты, комментарии)
======================================================================
Новости на сайте:

Антивирус Stop! Console для DOS32 версия 3.00 build 230c
Выпущена исправленная версия антивируса "Stop! console" для DOS32.

Партнерская программа компании "Дизет" - присоединяйтесь!
Антивирусная   Лаборатория    "Дизет",    разработчик    антивирусного
программного обеспечения, объявляет  о  проведении  новой  партнерской
программы.

Антивирус Stop! Console - новая версия 3.00 build 230
Выпущена новая версия антивируса "Stop! console" для Windows 95/98/ME,
Windows  NT4/2000,  DOS32  и  OS/2.  Исправлены  замеченные  ошибки  и
неточности, добавлены новые ключи командной строки и многое другое...

Очередное кумулятивное обновление Stop!
Очередное обновление содержит 1064 вирусных записи.  Для использования
этого обновления необходима версия сканера Stop! не  ниже  3.00  build
220...

Backdoor или не Backdoor?

Что такое "троянская программа"?

Наиболее распространенные троянские программы

Лаборатория Касперского представила обзор событий 2000 года в области
антивирусной безопасности

Stop! для Windows Версия 3.00 build 225
Выпущена новая версия антивируса "Stop!" для Windows 95/98/ME/NT/2000.
ВНИМАНИЕ!  Обращаем  ваше  внимание  на  то,  что  в   новой    версии
используется  новый  сканирующий  механизм  и    антивирусные    базы,
датированные ранее, чем 19 декабря 2000 года не будут работать с  этой
версией программы.

======================================================================
Со всеми  этими новостями Вы сможете ознакомиться на нашем сайте!
http://www.dizet.com.ua
======================================================================

Интернет-червь Sint заражает компьютеры в локальной сети

I-Worm.Sint  -  интернет-червь,  распространяющийся  в  вложениях    в
электронные письма.  Для своего распространения использует MS Outlook.
Является 30-килобайтной Win32-программой. Написан на Visual Basic.

При запуске червь копирует себя в каталоги Windows и регистрируется  в
ключе авто-запуске системного реестра.

Имя каталога Windows "C:\Windows" "прошито"  в  коде  червя,  по  этой
причине он неспособен установить себя в  систему,  если  имя  каталога
Windows отличается от указанного.

Червь также копирует себя с тем же именем  в  корневые  каталоги  всех
доступных логических дисков (локальных и удаленных).

Затем червь подключается к почтовой системе MS Outlook,  считывает  из
адресной книги все адреса и рассылает по ним сообщения:

Заголовок: Vicevi!
Имя вложения: Vicevi_teza_odvala.txt.exe
Текст письма выбирается случайно из 4-х вариантов:

Cao! Izvini sto te uznemiravam ovako, ali evo saljem  ti  neke  viceve
koji cete sigurno oraspoloziti!

Vozdra! Evo pogledaj ove viceve koje sam i ja dobio neki dan! Pravo su
smijesni!

Cao korisnice! Znam da sigurno nemas vremena da  pogledas  ove  viceve
koje ti saljem. Nadam se da ces imati vremena da ih pogledas!

Zdravo! Nemoram ti nista pricati...samo pogledaj ovu veliku  kolekciju
viceva ;)

Чтобы скрыть свою активность, червь выводит сообщения:

 ...cash!
Raspakuj viceve!


WinZip SelfExtractor: Warning
CRC error: 234#21

Источник: Лаборатория Касперского
======================================================================

"Лаборатория Касперского" представляет новую  бета-версию  "Антивируса
Касперского" для Novell NetWare

"Лаборатория Касперского", объявляет об окончании разработки и  начале
бета-тестирования новой версии  Антивируса  КасперскогоTM  для  Novell
NetWare.

Главной  отличительной  чертой  "Антивируса  Касперского"  для  Novell
NetWare от других представленных на рынке антивирусов является  первая
в мире полная интеграция в систему сетевого управления компании Novell
ConsoleOne.  Использование технологий Java, на базе  которых  работает
ConsoleOne, позволяет  администраторам  осуществлять  централизованную
установку и управление антивирусной защитой  сервера  из  любой  точки
корпоративной сети, в т.ч. удаленной, вне зависимости от установленной
операционной системы и типа процессора.  Благодаря глубокой интеграции
"Антивируса  Касперского"  в  службу  каталогов  Novell  (NDS),  новая
система управления дает возможность быстро и эффективно изменять любые
настройки  программы,  составлять  расписания  и  удаленно   запускать
различные модули "Антивируса Касперского".

Наряду  с  новой  системой  управления,  основанной  на  интеграции  в
ConsoleOne, в  представленной  версии  также  сохраняется  возможность
управления посредством NWAdmin.

Среди других особенностей новой версии  "Антивируса  Касперского"  для
Novell NetWare необходимо выделить возможность автоматической загрузки
и подключения обновлений антивирусных баз и  модулей  программы  через
Интернет.  Прежде эта процедура производилась вручную или  при  помощи
внешнего планировщика, что требовало дополнительных затрат  времени  и
средств. Теперь процесс полностью автоматизирован: для выполнения всех
необходимых действий администратору достаточно лишь нажать одну кнопку
в  интерфейсе  пользователя  или  запрограммировать  должным   образом
встроенный планировщик.

Функция обновления действует в качестве независимого  интегрированного
программного  модуля.  Это  исключает    необходимость    перезагрузки
"Антивируса  Касперского"  для  активизации  изменений,  внесенных   в
антивирусную  базу  продукта.  Важной  особенностью   новой    системы
обновлений  также  является  оптимизация  дистрибуции  обновлений   по
серверам Novell NetWare в рамках корпоративной сети.  В  новой  версии
эта процедура подразумевает однократную загрузку  обновлений,  которые
затем  передаются  по  внутренней  сети  на  все   сервера    NetWare,
установленные в дереве NDS. Последнее обстоятельство уменьшает внешний
трафик и снижает затраты компании на использование Интернет.

В  "Антивирусе  Касперского"  для  Novell  NetWare  также    появилась
поддержка  многопоточности  сканирования  объектов.  Эта   особенность
позволяет  производить  одновременно,  в  масштабе  реального  времени
антивирусную проверку любого  количества  файлов,  ограниченного  лишь
аппаратными  возможностями  сервера.   Многопоточность    сканирования
объектов также повышает общую производительность  вычислительной  сети
за счет  параллельной  обработки  запросов,  поступающих  одновременно
сразу с нескольких рабочих станций.

"Лаборатория Касперского" предлагает  всем  заинтересованным  лицам  и
организациям присоединиться к программе бета-тестирования новой версии
"Антивируса Касперского" для Novell NetWare.  Для этого Вам необходимо
послать запрос на адрес электронной почты support@kaspersky.com.

Источник: "Лаборатория Касперского"
======================================================================

PHP.Pirus заражает скрипт-программы

Первый известный вирус,  заражающий  скрипт-программы  PHP  (Hypertext
Preprocessor  scripting  language,  см.    http://www.php.net).    Был
обнаружен в октябре 2000 года.

При активизации вирус ищет .PHP- и .HTM-файлы  в  текущем  каталоге  и
заражает их.  При заражении используется достаточно простой  метод:  в
заражаемый файл записывается не код вируса, а ссылка на вирусный  файл
(это всего одна команда "include", которая "вставляет"  код  вируса  в
файл при его обработке).

Т.е. при открытии зараженного  файла  скрипт-машина  PHP  обрабатывает
команду  "include",  считывает  код  вируса  из  указанного  файла   и
выполняет его.

Таким образом,  код  вируса  присутствует  в  системе  в  единственном
экземпляре, а все зараженные файлы всего-лишь "ссылаются" на него. Как
результат такого способа заражения вирус не в состоянии самостоятельно
распространяться за пределы зараженного компьютера.

Содержит строку: "pirus.php".

Источник: Лаборатория Касперского
======================================================================

Idele - новый вирус для Win32

Резидентный зашифровнный Win32-вирус.  При заражении файлов использует
метод "без точки  входа"  (EPO  -  entry  point  obscuring),  т.е.  не
изменяет стартовый адрес программы, а записывает команды  перехода  на
свой код в середину кодовой секции  заражаемого  файла.  В  результате
вирус получает управление не непосредственно при  запуске  зараженного
файла, а в тот момент, когда получает управление соответствующая часть
кодовой секции файла.

При активизации вирус создает фоновый процесс и возвращает  управление
программе-носителю.  В результате вирус работает в  фоновом  режиме  и
активен вплоть до момента окончания  работы  зараженного  файла,  т.е.
является "резидентным на время жизни процесса".  Вирус затем в фоновом
режиме ищет все PE EXE-файлы на всех доступных дисках и  заражает  их.
При заражении может испортить некоторые файлы.

Никак не проявляется. Содержит строку:

Idele virus version 1.9DoxtorL./[T.I]/Dec.Y2K'

Источник: Лаборатория Касперского
======================================================================

Hermes - новый интернет-червь

I-Worm.Hermes -  интернет-червь,  распространяющийся  во  вложениях  в
электронные  письма.  Написан  на    Visual    Basic.    Для    своего
распространения червь использует MS Outlook.  Является  30-килобайтной
Win32-программой (упакован, после распаковки размер червя - 60K).

Червь  подключается  к  почтовой  системе  MS  Outlook,  считывает  из
адресной книги Outlook почтовые адреса и рассылает по ним сообщения:

Заголовок: Re:
Текст: [%SenderName%]
где %SenderName% является именем  отправителя  (как  оно  прописано  в
настройках системы).

Имя вложения выбирается случайно из следующих вариантов:

Seti@home 3.x to 4.0 upd.exe
Seti@home_twk.exe
Seti_patch.exe
Lunetic!.exe
CIH.exe
Energy.exe
ftip.exe
Navidat.exe
Click_ME!.exe
Cenik.exe
Lunetic.scr
fucking.scr
micro$haft.scr
matrix.scr
reboot.scr
Pamela.scr
techno.scr
funny!.scr
Hermes.scr
School_in_da_flame.scr
Червь также выводит сообщения:

 i-Worm.Hermes 
Code by: gl


This program requires more conventional memory
Unload drivers or memory-resident programs that use conventional memory,
or increase the value for Minimum Conventional Memory in the program's
Memory properities sheet.

Червь открывает Web-страницу "http://www.seznam.cz";, но ничего  с  ней
более не делает.  Пытается также создать новые  ключи  в  реестре,  но
этого не происходит по причине ошибки в коде червя.

Источник: Лаборатория Касперского
======================================================================

GLACE.A - троянская программа для удаленного администрирования

TROJ_GLACE.A - троянская backdoor-программа, позволяющая  осуществлять
доступ к зараженному компьютеру для  удаленного  "клиента".  Программа
состоит из "серверной" и "клиентской" частей.

"Серверная" часть в  виде  двух  файлов  KERNEL32.EXE  и  SYSEXPLR.EXE
записывается троянцем  в  системный  каталог  Windows  инфицированного
компьютера.  Затем она  регистрируется  как  системный  сервис,  чтобы
загружаться  всякий  раз  при    каждом    новом    старте    системы:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\KERNEL32.EXE

Троянец также связывает все TXT-файлы с NOTEPAD.EXE таким образом, что
при двойным щелчке по ним TXT-файлы открываются в NOTEPAD.  Для  этого
он вносит изменения в системный реестр:

HKEY_LOCAL_MACHINE\Software\CLASSES
\txtfile\shell\open\command :
"C:\\WIN98\\SYSTEM\\NOTEPAD.EXE %1"
"Серверная"  часть  троянца  также  "слушает"   порт    7386,    чтобы
обрабатывать сообщения, посланные удаленному "клиенту" и полученные от
него.  Хакер, использующий "клиентскую" программу, таким образом может
управлять компьютером, на котором установлена троянская программа. Вот
некоторые функции, которые удаленно может  осуществлять  злоумышленник
на инфицированной машине:

извлекать  системную  информацию  (имена  компьютера,    пользователя,
информацию о системе: тип процессора, размер памяти,  версия  системы,
установленные устройства и т.п. )

открывать/закрывать CD-драйвер
отключать screen saver
скачивать/закачивать файлы
удалять файлы и каталоги
отображать графику
отключать систему (Shutdown)

Источник: Trend Micro
======================================================================

AOLWAR.B - новый зловредный троянец

AOLWAR.B - деструктивная троянская программа, написанная на языке
Visual Basic.  Троянец показывает различные сообщения  и  удаляет
файлы на зараженном компьютере.  Он работоспособен лишь на  маши-
нах, на  которых  установлена  библиотека  Visual  Basic  Runtime
Library версии 3.0 (VBRUN300.DLL).

После запуска на выполнение троянец отображает  на  экране  серию
своих сообщений, три из которых содержат следующий текст:

This Virus Sux. So:
Keep Going
Close
Если пользователь инфицированного компьютера "кликнет" на  кнопку
"Keep Going", троян удалит следующие файлы:

C:\DOS\CONFIG.SYS
C:\DOS\ANSI.SYS
Помимо этого троянец пытается удалить весь  каталог  Windows,  но
терпит при этом неудачу.  Затем появляется сообщение об ошибке  с
кнопкой "OK":

Title: PROJECT1
Message Body: Path/File access error
Если троянец не находит файлов, которые хочет удалить, то  выдает
следующее сообщение:

Title: PROJECT1
Message Body: File not found
В теле трояна содержатся следующие строки:

C:\dos\config.sys
C:\dod\ansi.sys
C:\windows
phat albert
Okey, that's nice:
FinkeyCat Virus
Keep Going
This Virus Sux. So..
Finkey12 Virus

Источник: Trend Micro
======================================================================
Архив рассылки     : http://subscribe.ru/archive/comp.soft.av.ezheki/
======================================================================