Антивирусное обозрение "Ежики" - #72 (8.04.2001)

Антивирусная Лаборатория Дизет                 http://www.dizet.com.ua
======================================================================
Антивирусное Обозрение "Ежики"
 (события, факты, комментарии)
======================================================================
Adore - еще один червь для Linux

Обнаружен еще один червь, атакующий Linux-системы  -  Adore  (aka
"Red worm").  Новый вирус использует те же известные уязвимости в
защите Linux,  что  и  два  предыдущих.  Кстати,  соответствующие
"заплатки" уже давно выпущены.  Для незаметного проникновения  на
компьютеры с операционной системой Linux Red  Hat  вирус  "Adore"
использует бреши в BIND, wu-ftpd, rpc.statd и lpd сервисах. Червь
сканирует ресурсы глобальной сети, действуя  аналогично  утилитам
типа "сниффер" для поиска уязвимых систем.  Если жертва  найдена,
червь предпринимает попытки  загрузить  на  этот  компьютер  свою
главную  компоненту  с  сервера.  Вначале  червь   заменяет    на
инфицированной  машине  приложение  "/bin/ps"  своей  программой,
содержащей трояна.  После этого в  списке  активных  задач  будут
видны все,  кроме  червя.  Эту  же  программу  червь  копирует  в
"/usr/bin/anacron".  Помимо этого червь  заменяет  на  зараженном
компьютере  "/sbin/klogd"  своей  версией,  содержащей  backdoor.
Червь  также  собирает  ключевую  системную  информацию,  включая
содержимое файла "/etc/shadow", и отправляет  ее  по  электронной
почте на четыре email-адреса, два из которых в Китае, два в США.

======================================================================

Magistr идет по следам известного вируса "Чернобыль"

Ввиду  многократно  возросшего  количества  сообщений  о  случаях
заражения  вирусом  Magistr,  "Лаборатория  Касперского"  считает
необходимым еще раз предупредить о  реальной  опасности,  которую
представляет данная вредоносная программа и рекомендует  провести
полную  проверку  всех  дисков  Антивирусом    КасперскогоTM    с
установленными  самыми  свежими  обновлениями   и    максимальной
глубиной сканирования.

Как известно,  ровно  через  месяц  с  момента  проникновения  на
компьютер Magistr уничтожает все данные на  локальных  и  сетевых
дисках, сбрасывает данные в  памяти  CMOS  и  стирает  содержимое
микросхемы FLASH BIOS.  Учитывая,  что  первые  случаи  заражения
вирусом  были  зарегистрированы  в  период  с  13  по  15  марта,
"Лаборатория Касперского" предполагает, что в середине  -  второй
половине  апреля  может  пройти  настоящая    лавина    серьезных
инцидентов, вызванная вирусом Magistr.  Результатом  этого  может
стать потеря важных данных и порча аппаратной части компьютеров.

"Мы относим Magistr к разряду так называемых "спящих" вредоносных
программ, которые незаметно "живут" на компьютерах  пользователей
до тех пор, пока  не  приходит  время  активизации  деструктивной
функции  вируса",  -  комментирует  Денис  Зенкин,   руководитель
информационной службы компании.  Действительно,  почти  два  года
назад то же самое произошло с вирусом "Чернобыль": никто не верил
в факт его существования и  некоторые  даже  попытались  обвинить
"Лабораторию Касперского" в раздувании вирусной  истерии.  Однако
вскоре наши предсказания сбылись и 26 апреля 1999  г.  на  сотнях
тысяч компьютеров по всему  миру  была  уничтожена  информация  и
испорчены микросхемы.

Основание полагать, что подобное произойдет и с вирусом  Magistr,
дает  значительно  возросшее  количество  сообщений  от  конечных
пользователей о случаях проникновения вируса  на  их  компьютеры.
"Особенность Magistr заключается в том, что он сохраняет в  своем
теле адреса электронной почты десяти компьютеров,  которые  ранее
подверглись заражению и, возможно, до сих пор содержат  вирус,  -
рассказывает  Евгений  Касперский,   руководитель    антивирусных
исследований,  -  анализ  этих  списков  рисует  весьма   пеструю
географию  распространения  этого  вируса:   Польша,    Бразилия,
Словакия, Испания, Россия, Украина,  Франция,  Чехия,  Швейцария,
США, Великобритания и многие другие страны".

На основании имеющихся данных о масштабах распространения вируса,
"Лаборатория Касперского" считает, что он  до  сих  пор  остается
незамеченным на более чем 5 тысячах компьютеров  по  всему  миру.
"Необходимо отметить,  что  это  число  является  лишь  верхушкой
айсберга,  в  то  время  как  реальный  размах  эпидемии  оценить
практически невозможно", - добавил Евгений Касперский.

======================================================================
Web сайт Лаборатории Касперского: теперь и на немецком!

"Лаборатория Касперского", объявила об открытии  немецкой  версии
своего  корпоративного  Web-сайта,  которая  доступна  по  адресу
www.kaspersky.com/de.

Немецкоговорящие   пользователи    теперь    имеют    возможность
ознакомиться с последними новостями из мира компьютерных  вирусов
и защиты информации,  а  также  узнать  о  последних  разработках
компании на родном языке.  Кроме того, пользователям предлагается
подписаться на рассылку предупреждений  о  вирусах,  сообщений  о
выходе новых продуктов семейства Антивирус КасперскогоTM и других
новостей по электронной почте также на немецком языке.

Новая версия сайта,  которая  будет  поддерживаться  и  регулярно
обновляться  непосредственно  "Лабораторией   Касперского",    по
содержанию является точной копией русской  и  английской  версий,
существующих уже более 4 лет.

"Германия имеет для нас приоритет в плане увеличения  присутствия
наших  программных  продуктов  на  зарубежных  рынках.    Поэтому
открытие немецкого сайта представляет собой значительный  шаг  на
пути достижения этой цели, обеспечивая прямое общение с  конечным
пользователем  на  его  родном  языке,  -  комментирует   Наталья
Касперская, Генеральный директор компании,  -  Мы  надеемся,  что
немецким  пользователям  понравится  наш   подарок,    специально
подготовленный  к  проходящей  в  Германии  крупнейшей  в    мире
компьютерной выставке CeBIT".

======================================================================
I-Worm.Challenge: интернет-червь  внедряет  свой  код  в  письма
электронной почты

I-Worm.Challenge - интернет-червь, распространяющийся  в  письмах
электронной почты. Для своего распространения червь использует MS
Outlook Express 5. В отличие от большинства червей  этого  класса
он  не  прикрепляет  к    заражаемому    письму    дополнительный
файл-вложение, а встраивает свое тело в письмо как скрипт.

Червь полностью работоспособен только в системах с  установленным
MS Outlook Express.  В MS Outlook червь  также  активизируется  и
заражает  систему,  но  распространяться  дальше  не  может.  Под
другими почтовыми системами работоспособность  червя  зависит  от
возможностей данной почтовой системы.

Принцип  работы  червя  в  общем  аналогичен  известному    червю
"KakWorm", за исключением того, что данный червь  не  зависит  от
версии Windows и ее  языка  (KakWorm  работает  на  английской  и
французской версиях Windows 95/98).

Червь приходит на компьютер в виде письма  в  HTML-формате.  Тело
письма содержит программу-скрипт, которая и является кодом червя.
В результате при открытии или предварительном просмотре сообщения
скрипт-программа не видна, т.к. скрипты никогда не отображаются в
HTML документах  (сообщениях,  страницах  и  т.п.),  но  получает
управление - и червь активизируется.

Для записи своих файлов на диск червь использует брешь  в  защите
виртуальной  машины  исполняющей  скрипты   (Microsoft    Virtual
Machine).  Компания  Microsoft  выпустила  дополнение,    которое
устраняет    эту    брешь    Мы    рекомендуем    Вам    посетить
http://www.microsoft.  com/technet/security/bulletin/MS00-075.asp
и  установить  это  дополнение.  Это  защитит  Вас   от    многих
скрипт-червей.

Источник: Лаборатория Касперского

======================================================================
MCAFEE ВЫПУСТИЛА EPOLICY ORCHESTRATOR 2.0 BETA

Network Associates, Inc. объявила о  выходе  бета-версии  ePolicy
Orchestrator  2.0  -   системы    централизованного    управления
антивирусной защитой нового поколения.

Новые возможности ePolicy Orchestrator (ePO) 2.0:

- Упрощенная процедура установки и внедрения ePO: инсталляционный
пакет теперь занимает 150 вместо 250 Мб,  время  установки  -  30
минут вместо 90 минут у ePO 1.1
- ePO 2.0 более не требует под себя выделенного сервера  и  может
быть установлен на любой имеющийся в организации  сервер,  в  том
числе с MS BackOffice Server
- Поддержка Windows 2000 Server  /  Advanced  Server  в  качестве
платформы для сервера ePO  2.0  и  Windows  2000  Professional  /
Server / Advanced Server - для консоли ePO 2.0
- Поддержка Windows Millennium Edition в качестве  платформы  для
агента ePO 2.0
- Архитектура базы данных ePO теперь 100% основана на MSDE/MS-SQL
-  Внедренные  в  установочный  пакет  агента  ePO   2.0    права
администратора домена позволяют устанавливать  агента  с  помощью
средств 3-х фирм, а также с посредством Login Scripts или вручную
пользователями
- Упрощенный процесс сохранения и восстановления данных позволяет
администратору осуществлять резервное копирование  базы  за  один
шаг
- Взаимодействие  между  сервером  и  агентами  ePO  2.0  создает
гораздо меньший трафик за счет передачи  только  произошедших  за
период изменений в политике
- И многое другое

ePO 2.0 Beta доступен для всех желающих.
======================================================================

Trend Micro  представляет  альтернативную  систему  антивирусной
защиты для Microsoft Exchange 5.5

Trend Micro объявила о  начале  поставки  ПО  ScanMail  v3.6  for
Microsoft Exchange 5.5 Server.  Этот  продукт  был  разработан  в
качестве альтернативного - основанного на  применении  интерфейса
прикладного программирования Microsoft Extensible Storage  Engine
Application Program Interface (ESE API) - антивирусного  решения.
Exchange  Server  использует  ESE  для  записи  в  БД  и  выборки
различной  информации,  включая  тело  сообщения,  присоединенные
файлы и атрибуты почтового отправления.

Настоящий анонс означает, что Trend Micro предлагает теперь сразу
две версии антивирусного ПО ScanMail для  сервера  Exchange  5.5:
ScanMail v3.6, использующую ESE API, и  выпущенную  еще  в  марте
прошлого  года  версию  ScanMail  v3.51,основанную    на    новом
интерфейсе  прикладного  программирования  Microsoft  Anti  Virus
Application Program Interface (AVAPI).

Теперь  клиенты  Trend  Micro  могут  выбирать  любой  из    двух
API-интерфейсов  в   зависимости    от    своих    индивидуальных
потребностей в области обмена сообщениями.  Каждая из двух систем
рассчитана на работу с Microsoft Exchange 5.5  и  предназначается
для защиты корпоративных сетей от распространяемых по электронной
почте вирусов на рубеже сервера Exchange, еще  до  того  как  они
получат шанс достичь пользовательского настольного ПК, внедриться
в него и начать дальнейшее распространение или вмешаться в работу
почтового сервера. Вплоть до момента перевода почтовой системы на
Microsoft Exchange 2000 можно  будет  пользоваться  как  ScanMail
v3.51, так и ScanMail v3.6.

Применение ESE API  позволяет  ScanMail  v3.6  for  Exchange  5.5
осуществлять   сканирование    всей    входящей    и    исходящей
корреспонденции  и  присоединенных  файлов  прямо  в    хранилище
Information Store - еще до их распределения  по  почтовым  ящикам
пользователей. Благодаря ESE API удается обходиться сканированием
только  одного  экземпляра  каждого  письма  (а    следовательно,
выполнять  эту  работу  быстрее)  и  гарантировать    прохождение
контроля  каждым  присоединенным  файлом  независимо  от  степени
загруженности сервера.  В  числе  предусмотренных  разработчиками
ScanMail v3.6  способов  реагирования  на  обнаружение  вируса  -
уведомление отправителя, получателя  и  администратора,  внесение
подробной записи в регистрационный журнал и генерация отчетов.

Копии всех продуктов  Trend  Micro  для  оценочного  тестирования
можно получить на сайте http://www.apl.ru.

======================================================================
Все новости:  http://www.dizet.com.ua/news/
======================================================================