Всё о вирусах

Червяк умный. На одно письмо дважды не отвечает

   Subfire 

Все новые и новые дырки приходится штопать в самых распространенных программных продуктах. Все новых паразитов вылавливать с необъятных полей больших и малых винчестеров. Заражение компьютера и распространение вирусов обычно происходит до безобразия просто и легко.

    Дыры

   Продукт: AOL Instant Messenger by Netscape, v.4 и выше.
Опасность: низкая.
При принятии файла вида %s%s%s%s%s%s%s%s%s%s.jpg AOL подвисает, в некоторых случаях компанию ему составляет вся система. Проще говоря, типичная DoS атака.

    Электронные паразиты

   Название: WIN32.MTV.
Класс: вирус, резидентный, деструктивный.
Платформа: Win32.
Опасность: высокая.
Заражение компьютера происходит в результате запуска заразного файла. Остается в памяти Windows как обычное приложение, ищет EXE-файлы во всех каталогах диска C и заражает их. При заражении шифрует содержимое файла, сдвигает его вниз на длину вируса, а сам записывается в начало файла. Если при работе возникают какие-либо ошибки, выводит сообщение с текстом “Sorry” (какой вежливый), и принудительно завершает работу Windows (а вот это уже наглость!). И берегитесь: 13 числа каждого месяца удаляет все файлы с диска C.

   Название: FlashKiller
Класс: троян, очень деструктивный
Платформа: Win32.
Опасность: очень высокая.
FlashKiller обладает всеми присущиму троянам функциями (т.е. процедурой распространения), но с добавлением одной очень неприятной вещи. Приходит троян, как и обычно, приаттаченным к письму в виде Win32 EXE файла. При запуске включается процедура посылки копий трояна всем адресатам из базы данных адресов Outlook/OutlookExpress. А вот затем срабатывает процедура, уничтожающая все данные на винчестере и стирающая Flash Bios, наподобие WinCiH. Анализ трояна показал, что это процедура была полностью списана из CiH, что уже облегчает нахождение паразита.

   Название: Dilber.
Класс: интернет-червь.
Платформа: Win32,WinNT.
Опасность: низкая.
Классический червяк. Написан на языке Delphi. Как всегда приходит в виде аттача к письму. При запуске инсталлируется в систему, копирует себя в каталог Windows с именами SETUP_.EXE, DILBERTDANCE.jpg.EXE и регистрирует SETUP_.EXE в системном реестре так, чтобы запускаться каждый раз при рестарте системы (HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Unchained Infection = WinDir\setup_.exe).

   Червь также регистрирует себя в секции авто-старта файла WIN.INI:
[windows]
...
run=WinDir\setup_exe
...

   При загрузке вирус остается как в памяти как фоновое приложение (под Win9x) или как системный сервис (под WinNT), имеющее две процедуры. Одна из них срабатывает каждые 40 минут и отвечает за рассылку червя, вторая отвечает за заражение компьютеров в локальной сети и активируется раз в час.

   Процедура рассылки создает файл SENDMAIL.VBS, который содержит скрипт-программу рассылки.

   Программа открывает папку Входящие(Inbox) и отвечает на 20 писем (естественно, не забывая заботливо вложит в письмо файл с червем). После отправки скрипт помечает обработанные письма, поставив в конце их теста знак табуляции, который не отображается визуально. Таким образом червяк не отвечает на одно письмо дважды. Червяк не посылает письма, если в адресе содержатся строки .mil, .gov, admin, master, abuse. Короче, конспирация и предохранение.

   А процедура заражения локальной сети тупа и плоска до неприличия: вирус сканирует все открытые сетевые ресурсы, ищет на них директорию Win***, копирует туда себя и добавляет соответствующую запись в win.ini или системный реестр.

   Название: Prolin aka Creative.
Класс: интернет-червь.
Платформа: Win32.
Опасность: средняя.
Вирус-червь ползает с помощью электронной почты. Является 37-килобайтным EXE-файлом Windows, написан VisualBasic. Во многом напоминает вирус-червь Melissa: вызов функций и последовательность инструкций практически полностью совпадают. Передается по электронной почте в виде присоединенного к письмам EXE-файла с именем CREATIVE.EXE.

   Червь также посылает письмо своему автору на адрес z14xym432@yahoo.com с информацией о зараженном компьютере:

   Subject: Job complete
Message text: Got yet another idiot

   Червь также создает свои копии на диске:
C:\creative.exe
C:\WINDOWS\Start Menu\Programs\StartUp\creative.exe

   Т.е. вторая копия расположена в каталоге автозапуска Windows, и будет активизироваться при каждом рестарте Windows. Обнаружить легко, однако, если у вас какое-нибудь устройство от фирмы Creative Labs (звуковая карта, видео…), то можно и не обратить внимания.

   Червь имеет опасное проявление: ищет все файлы с расширениями .ZIP, .MP3 и .jpg и переносит их в корень диска C: с именем:
C:\%filename%change atleast now to LINUX

   Червь также создает файл "c:\messageforu.txt", записывает туда текст и дописывает имена всех переименованных файлов:

   “Hi, guess you have got the message. I have kept a list of files that I
have infected under this. If you are smart enough just reverse back the
process. i could have done far better damage, i could have even
completely wiped your harddisk. Remember this is a warning & get it sound
and clear... - The Penguin

   %Имена файлов% “

    Copyright © Россия-Он-Лайн (тм)
Источник: http://www.online.ru/

Во все дыры лезут бесчисленные трояны и coockies

Subfire 

    Netscape Navigator

   Все версии netscape до 4.76 содержат ошибку buffer overflow (переполнение буфера) в коде HTML. Злостный владелец web-сервера может написать страничку, при загрузке которой на вашем компьютере может быть выполнен определенный код. Ставьте Nestcape 4.76 и выше!!!

   Microsoft Internet Explorer

   В Internet Explorer 5.5, Outlook/Outlook Express обнаружена дыра в системе безопасности java. Используя небольшой набор тегов на html-странице, ссылаясь на специально написанный JAR- файл (язык Java), на сервере можно скачать ЛЮБОЙ ФАЙЛ или КАТАЛОГ с машины пользователя. Данная дыра может быть использована недобросовестными web-администраторами.

   Вообще, дырка эта очень странная: ошибкой ее назвать нельзя. Это просто функция, которую может выполнять Microsoft Virtual Machine (VM). VM, собственно говоря, и выполняет все JAVA- программы. Следовательно, если в VM встроена такая функция, значит, она кому-то нужна. А кому? Кто написал Microsoft Virtual Machine (VM)? Думаю, комментарии не требуются.

   Патчей в данном случае не существует. И неизвестно, когда они будут. Единственная защита – отключить поддержку JAVA Script и Microsoft Virtual Machine.

   HalfLife

   Это известная компьютерная игра жанра action. В сетевом варианте Half-Life на сервере и была обнаружена дыра: классическое переполнение стека. По-видимому, серьезной опасности она не представляет, так как не перезаписывается адрес возврата, однако сервер можно повесить. Для обычных пользователей и компьютерных клубов это не опасно. Intrusion.com анонсировала систему анализа защищенности SecurityAnalyst 5.0, предназначенную для анализа защищенности операционных систем семейства Windows.

   Coockies

   В последнее время возникло немало опасений по поводу безопасности и соблюдения конфиденциальности при работе в Internet. Причиной этого стали сoockies. Появились разговоры о программах, спрятанных в файлах изображений и т.д. (см. статью в номере 35).По моему мнению, это является недоразумением, которое я сейчас хочу исправить.

   Что есть HTML-текст? Это исходники странички, представленные в виде языка гипертекстовой разметки (HTML), которые броузер (Internet Explorer, Netscape Navigator и т.д.) преобразует в то, что возникает на экране. К примеру, читая эти строки, можно посмотреть исходный html-код, выбрав в меню “Вид”/”В виде html”.

   Переработкой html-текста занимается броузер, как и обработкой графических файлов. Так что для выполнения какой-либо программы, спрятанной в графическом файле, броузер должен уметь каким-либо образом находить и извлекать ее оттуда. А этому его должны научить производители.

   Думается, не надо больше пояснять, почему не следует опасаться HTML- кода, якобы включенного в графический файл.

   ,А вот кое-чего другого возможно и стоит побаиваться… И прежде всего, coockies. В этих файлах тот или иной web-сервер может сохранить свою информацию и, естественно, потом считать ее обратно. Например, в них сохраняют имя пользователя многие чаты, так что при повторном входе его уже не надо набирать, сервер сам возьмет из coockies.

   Некоторые серверы “научились” анализировать накопившиеся в coockies записи и извлекать информацию о том, какие web-серверы вы чаще всего посещаете. Таким образом можно узнать круг интересов и выдавать, к примеру, рекламу по соответствующей тематике. В Америке даже разразился жуткий скандал. “Как же так! Это нарушение прав человека…” Так что если вы боитесь, что кто-то может узнать, какие сайты вы посещаете, то отключайте coockies.

   Меня лично не волнует, что подобная информация может попасть в чужие руки, но все равно раз в две недели я “протираю” все в директории C:\WINDOWS\Cookies.

   Трояны

   Не забывайте проявлять осторожность при разборе почты – трояны прямо-таки заполонили всю сеть. К примеру, приходит мне письмо следующего содержания:

   >>>>>>>>

   NATO TOP-SECRET
Сергей Иванович ID:345623
запрошеный вами фаил
найден на нашем сервере.

ВНИМАНИЕ!!!
СЕКРЕТНАЯ ИНФОРМАЦИЯ !!!
НЕ РАСПРОСТРАНЯТЬ !!!!
 
NEVER SEND SPAM. IT IS BAD.

   >>>>>>>>>

   Ну, и, конечно, прикреплен к письму файл вида: Photo15.jpg________________________.exe. А там троян, как водится – Coced238,PSW.

   Так что, не спите…

Copyright © Россия-Он-Лайн (тм)
Источник: http://www.online.ru/

контакты