Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Служба Рассылок Городского Кота


Служба Рассылок Городского Кота

Антивирусное обозрение "Ежики"

Обзор новых антивирусов, новости из мира вирусологии, производители антивирусного ПО, новинки вирусов и многое другое..
Антивирусная Лаборатория "Дизет" - http://dizet.com.ua


Win95.Babylonia - новый "подарок" от полиморфного Деда Мороза!

"Лаборатория Касперского" обнаружила новый вирус. Win95.Babylonia является резидентным паразитическим Windows вирусом с функциями Интернет-червя и "троянского коня" несанкционированного удаленного администрирования (Backdoor). Вирус внедряется в систему под управлением Windows 95/98 и заражает несколько типов файлов: PE EXE файлы (исполняемые файлы Windows), файлы помощи (HLP) Windows. Кроме
того, он заражает библиотеку работы с сетями WSOCK32.DLL и обладает возможностями несанкционированной загрузки из Интернет дополнительных вирусных модулей (virus plug-ins). Последнее обстоятельство дает возможность вирусу получить практически полный контроль над зараженной системой. Вирус использует специфические команды Windows 95/98, что делает его неработоспособным на компьютерах под управлением Windows NT и Windows 2000. Win95.Babylonia содержит ряд особенностей, используемые другими вирусами: распространение по Интернет (I-Worm.Happy), заражение файлов помощи Windows (WinHLP.Demo), инсталляция в памяти (Win95.CIH) и некоторые другие. После запуска зараженного EXE-файла, вирус внедряется в память Windows, записывает на диск дополнительный файл и возвращает управление основной программе. Для внедрения в память вирус просматривает ядро Windows, получает необходимые функции и инсталлирует себя как резидентный системный драйвер (VxD). Для этого он выделяет блок Windows VxD памяти, помещает туда свою копию и перехватывает низкоуровневые функции доступа к файлам (IFS API). Для переключения режима своей работы с уровня приложения на уровень системных драйверов (т.е. с Ring3 на Ring0) вирус использует стандартную уловку с IDT (Interrupt
Descriptor Table). Затем Win95.Babylonia создает файл BABYLONIA.EXE длиной 4 килобайта с корневом каталоге диска C: и запускает его на выполнение. Этот файл является вирусной компонентой, которая
выполняется как самостоятельное приложение и реализует его дополнительные возможности. В теле вируса файл находится в сжатом виде, где занимает не более 2 килобайт. В процессе инсталляции в память, вирус сканирует список системных драйверов в поисках антивирусных мониторов AVP9* и SPID* и изменяет их таким образом, что они теряют возможность открывать файлы для проверки. Данная процедура имеет ошибку, что вызывает системный сбой при попытке изменить драйвер AVP Monitor. Таким образом, вирус не может инсталлировать себя в память в присутствии этой программы. При открытии зараженного HLP-файла Windows обрабатывает встроенный в его вирусный скрипт и выполняет все указанные в нем инструкции. При помощи неочевидного приема одна из вирусных инструкций выполняет как код (как обычную
программу Windows) данные, которые указаны в этой инструкции. Таким образом скрипт вируса переключает себя из режима скрипта HLP-файла в режим обычного приложения Windows. Выполняемый при этом код является "стартером" вируса, который при помощи полиморфного кода реконструирует главную процедуру вируса - процедуру заражения - и передает на нее управление. Процедура заражения во многом напоминает
другие Win32-вирусы: она сканирует ядро Windows (KERNEL32.DLL), ищет в нем адреса необходимых вирусу функций и вызывает подпрограмму поиска HLP-файлов Windows и внедрения в них. При заражении конкретного HLP-файла вирус разбирает его структуру, ищет секцию скриптов "SYSTEM", записывает в нее необходимые инструкции и дополняет их полиморфным "стартером". В процессе заражения библиотеки WSOCK32.DLL вирус получает доступ к функции "SEND" и внедряет в нее процедуру, которая посылает резидентной копии вируса инструкцию на распространение по сети Интернет. После загрузки зараженной библиотеки WSOCK32.DLL вирус просматривает все отсылаемые в Интернет сообщения и добавляет к ним зараженные файлы. В случае, если сообщение уже имеет вложенные файлы, то вирус все равно добавляет еще один, так что всего их может быть два и более. Вирус рассылает исполняемым Win32 PE файл с именем X-MAS.EXE. В зависимости от текущего месяца вирус пытается перебирать шесть различных вариантов названия рассылаемых файлов. Однако, по причине ошибки, это ему не удается, так что имя файла
всегда X-MAS.EXE

Этот файл занимает около 17 килобайт дискового пространства (6Кб основная программа и 11 Кб - тело вируса. В принципе, вирус не заражает файлы длиной менее 8Кб, но в данном случае он делает "исключение"). При запуске файла вирус инсталлируется в систему и возвращает управление основной программе. Эта программа открывает все файлы в текущей директории, Windows и системной директории Windows. Поскольку вирус уже находится в памяти, то все эти файлы подвергаются заражению. Когда вирус внедряется в систему, он создает в корневом каталоге диска C: файл BABYLONIA.EXE, куда записывает код троянской программы (backdoor), около 4 килобайт длиной. Данная программа является самостоятельным приложением и не связана с вирусом. Он даже не заражает ее, поскольку запрограммирован на заражение файлов длиной более 8 килобайт. Несмотря на это, данная троянская программа является даже более функциональной, нежели сам вирус. После запуска файла BABYLONIA.EXE, программа регистрирует себя в качестве "сервиса" (т.е. ее нельзя увидеть в списке активных задач). Затем она копирует себя в системную директорию Windows под именем KERNEL32.EXE (название очень похоже на имя стандартной библиотеки KERNEL32.DLL) и регистрирует этот файл в секции автозагрузки системного реестра.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

После этого программа связывается по сети Интернет с хакерским WEB сайтом, базирующимся в Японии, и загружает оттуда файл "vecna/virus.txt". Данный файл содержит список дополнительных модулей и их местонахождение, которые могут использоваться троянской программой. Затем она поочередно загружает эти файлы из Интернет. В случае, если в данный момент нет соединения с Интернет (т.е. указанный
(указанные) в файле virus.txt сайт (сайты) недоступны), то "троянец" остается в памяти компьютера и каждую минуту пытается получить загрузить эти дополнительные модули. Только когда файлы полностью
загружены и запущены, "троянец" выгружается из памяти.

Источник: Антивирусная Лаборатория "Дизет", http://dizet.com.ua


Новый Doctor Web

На этой неделе "Диалог Наука" выпустила новую версию сканера Dr. Web. В новой версии программы Doctor Web реализована проверка памяти виртуальных машин в среде операционной системы Windows NT. Выпущенная 6 дек с.г. версия 4.15 Doctor Web умеет проверять память не только в Windows 95/98, что было реализовано еще в версии 4.12, но и в Windows NT. Реализована как проверка памяти всех запущенных процессов, так и проверка памяти всех виртуальных машин. О прочих технологических новинках, реализованных в Doctor Web, вы можете познакомиться на сервере ДиалогНауки:
http://www.dials.ru/dsav_toolkit/new_tecnology.htm

В ближайшее время "Диалог Наука" в Doctor Web планирует реализовать проверку системной памяти Windows NT; кроме того, готовится к выпуску резидентный сторож SpIDer Guard для Windows NT.

Источник: Антивирусная Лаборатория "Дизет", http://dizet.com.ua


MiniZip читает новости

По сообщению агенства InfoArt очередной жертвой вируса MiniZip стала австралийская телевизионная сеть Channel Nine, этот вирус попал в компьютерные системы ее службы новостей. Письмо, содержащее вирус,
открыл 1 декабря один из служащих Channel Nine, после чего были обнулены файлы на его компьютере, а вирус отправился гулять дальше по почтовым ящикам телекомпании. И прежде чем его обнаружили и
обезвредили, он успел заразить компьютеры службы новостей.

Источник: Антивирусная Лаборатория "Дизет", http://dizet.com.ua


W32/Mypics.worm - новый опасный червь

Антивирусный исследовательский центр компании Symantec сообщил об обнаружении нового вируса-червя, получившего название W32/Mypics.worm, который переформатирует жесткие диски компьютеров и в качестве
домашней страницы браузера Internet Explorer ставит сайт http://www.geocities.com/siliconvalley/vista/8279/index.html из разряда "только для взрослых". Вирус W32/Mypics.worm распространяется по электронной почте в присоединенном файле. После заражения вирус пытается разослать себя с помощью почтовой программы Microsoft Outlook по 50 адресам из адресной книги. Кроме того, 1 января 2000 г. этот вирус перепишет контрольные суммы файлов в ПЗУ, так что после перезагрузки системы пользователь может подумать, что проблемы связаны с ошибкой 2000 года в BIOS компьютера. После перезагрузки компьютера вирус попытается переформатировать жесткий диск компьютера и удалить всю информацию. Вирус приходит в письме с пустой строкой в "теме". В теле письма имеется сообщение "Here's some pictures for you!" ("Вот
несколько картинок для вас!") и присоединенный файл Pics4You.exe.

Источник: Антивирусная Лаборатория "Дизет", http://dizet.com.ua


Обзор подготовлен по материалам: Антивирусной Службы Новостей (АСН)
http://dizet.com.ua/news/


Автор обзора: Андрей Каримов, Антивирусная Лаборатория "Дизет"
http://dizet.com.ua
e-mail:info@dizet.com.ua

   
http://www.citycat.ru/         E-mail: citycat@citycat.ru

В избранное