Все новые и новые
дырки приходится штопать в самых распространенных программных
продуктах. Все новых паразитов вылавливать с необъятных полей
больших и малых винчестеров. Заражение компьютера и распространение
вирусов обычно происходит до безобразия просто и легко.
Дыры
Продукт: AOL Instant
Messenger by Netscape, v.4 и выше.
Опасность: низкая.
При принятии файла вида %s%s%s%s%s%s%s%s%s%s.jpg AOL подвисает, в
некоторых случаях компанию ему составляет вся система. Проще говоря,
типичная DoS атака.
Электронные паразиты
Название: WIN32.MTV.
Класс: вирус, резидентный, деструктивный.
Платформа: Win32.
Опасность: высокая.
Заражение компьютера происходит в результате запуска заразного файла.
Остается в памяти Windows как обычное приложение, ищет EXE-файлы во всех
каталогах диска C и заражает их. При заражении шифрует содержимое файла,
сдвигает его вниз на длину вируса, а сам записывается в начало файла.
Если при работе возникают какие-либо ошибки, выводит сообщение с текстом
“Sorry” (какой вежливый), и принудительно завершает работу Windows (а
вот это уже наглость!). И берегитесь: 13 числа каждого месяца удаляет
все файлы с диска C.
Название: FlashKiller
Класс: троян, очень деструктивный
Платформа: Win32.
Опасность: очень высокая.
FlashKiller обладает всеми присущиму троянам функциями (т.е. процедурой
распространения), но с добавлением одной очень неприятной вещи. Приходит
троян, как и обычно, приаттаченным к письму в виде Win32 EXE файла. При
запуске включается процедура посылки копий трояна всем адресатам из базы
данных адресов Outlook/OutlookExpress. А вот затем срабатывает
процедура, уничтожающая все данные на винчестере и стирающая Flash Bios,
наподобие WinCiH. Анализ трояна показал, что это процедура была
полностью списана из CiH, что уже облегчает нахождение паразита.
Название: Dilber.
Класс: интернет-червь.
Платформа: Win32,WinNT.
Опасность: низкая.
Классический червяк. Написан на языке Delphi. Как всегда приходит в виде
аттача к письму. При запуске инсталлируется в систему, копирует себя в
каталог Windows с именами SETUP_.EXE, DILBERTDANCE.jpg.EXE и
регистрирует SETUP_.EXE в системном реестре так, чтобы запускаться
каждый раз при рестарте системы (HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Unchained
Infection = WinDir\setup_.exe).
Червь также регистрирует
себя в секции авто-старта файла WIN.INI:
[windows]
...
run=WinDir\setup_exe
...
При загрузке вирус
остается как в памяти как фоновое приложение (под Win9x) или как
системный сервис (под WinNT), имеющее две процедуры. Одна из них
срабатывает каждые 40 минут и отвечает за рассылку червя, вторая
отвечает за заражение компьютеров в локальной сети и активируется раз в
час.
Процедура рассылки создает
файл SENDMAIL.VBS, который содержит скрипт-программу рассылки.
Программа открывает папку
Входящие(Inbox) и отвечает на 20 писем (естественно, не забывая
заботливо вложит в письмо файл с червем). После отправки скрипт помечает
обработанные письма, поставив в конце их теста знак табуляции, который
не отображается визуально. Таким образом червяк не отвечает на одно
письмо дважды. Червяк не посылает письма, если в адресе содержатся
строки .mil, .gov, admin, master, abuse. Короче, конспирация и
предохранение.
А процедура заражения
локальной сети тупа и плоска до неприличия: вирус сканирует все открытые
сетевые ресурсы, ищет на них директорию Win***, копирует туда себя и
добавляет соответствующую запись в win.ini или системный реестр.
Название: Prolin aka
Creative.
Класс: интернет-червь.
Платформа: Win32.
Опасность: средняя.
Вирус-червь ползает с помощью электронной почты. Является 37-килобайтным
EXE-файлом Windows, написан VisualBasic. Во многом напоминает
вирус-червь Melissa: вызов функций и последовательность инструкций
практически полностью совпадают. Передается по электронной почте в виде
присоединенного к письмам EXE-файла с именем CREATIVE.EXE.
Червь также посылает
письмо своему автору на адрес z14xym432@yahoo.com с информацией о
зараженном компьютере:
Subject: Job complete
Message text: Got yet another idiot
Червь также создает свои
копии на диске:
C:\creative.exe
C:\WINDOWS\Start Menu\Programs\StartUp\creative.exe
Т.е. вторая копия
расположена в каталоге автозапуска Windows, и будет активизироваться при
каждом рестарте Windows. Обнаружить легко, однако, если у вас
какое-нибудь устройство от фирмы Creative Labs (звуковая карта, видео…),
то можно и не обратить внимания.
Червь имеет опасное
проявление: ищет все файлы с расширениями .ZIP, .MP3 и .jpg и переносит
их в корень диска C: с именем:
C:\%filename%change atleast now to LINUX
Червь также создает файл "c:\messageforu.txt",
записывает туда текст и дописывает имена всех переименованных файлов:
“Hi, guess you have got
the message. I have kept a list of files that I
have infected under this. If you are smart enough just reverse back the
process. i could have done far better damage, i could have even
completely wiped your harddisk. Remember this is a warning & get it
sound
and clear... - The Penguin
Все версии netscape до
4.76 содержат ошибку buffer overflow (переполнение буфера) в коде HTML.
Злостный владелец web-сервера может написать страничку, при загрузке
которой на вашем компьютере может быть выполнен определенный код.
Ставьте Nestcape 4.76 и выше!!!
Microsoft
Internet Explorer
В Internet Explorer 5.5,
Outlook/Outlook Express обнаружена дыра в системе безопасности java.
Используя небольшой набор тегов на html-странице, ссылаясь на специально
написанный JAR- файл (язык Java), на сервере можно скачать ЛЮБОЙ ФАЙЛ
или КАТАЛОГ с машины пользователя. Данная дыра может быть использована
недобросовестными web-администраторами.
Вообще, дырка эта очень
странная: ошибкой ее назвать нельзя. Это просто функция, которую может
выполнять Microsoft Virtual Machine (VM). VM, собственно говоря, и
выполняет все JAVA- программы. Следовательно, если в VM встроена такая
функция, значит, она кому-то нужна. А кому? Кто написал Microsoft
Virtual Machine (VM)? Думаю, комментарии не требуются.
Патчей в данном случае не
существует. И неизвестно, когда они будут. Единственная защита –
отключить поддержку JAVA Script и Microsoft Virtual Machine.
HalfLife
Это известная компьютерная
игра жанра action. В сетевом варианте Half-Life на сервере и была
обнаружена дыра: классическое переполнение стека. По-видимому, серьезной
опасности она не представляет, так как не перезаписывается адрес
возврата, однако сервер можно повесить. Для обычных пользователей и
компьютерных клубов это не опасно. Intrusion.com анонсировала систему
анализа защищенности SecurityAnalyst 5.0, предназначенную для анализа
защищенности операционных систем семейства Windows.
Coockies
В последнее время возникло
немало опасений по поводу безопасности и соблюдения конфиденциальности
при работе в Internet. Причиной этого стали сoockies. Появились
разговоры о программах, спрятанных в файлах изображений и т.д. (см.
статью в номере 35).По моему мнению, это является недоразумением,
которое я сейчас хочу исправить.
Что есть HTML-текст? Это
исходники странички, представленные в виде языка гипертекстовой разметки
(HTML), которые броузер (Internet Explorer, Netscape Navigator и т.д.)
преобразует в то, что возникает на экране. К примеру, читая эти строки,
можно посмотреть исходный html-код, выбрав в меню “Вид”/”В виде html”.
Переработкой html-текста
занимается броузер, как и обработкой графических файлов. Так что для
выполнения какой-либо программы, спрятанной в графическом файле, броузер
должен уметь каким-либо образом находить и извлекать ее оттуда. А этому
его должны научить производители.
Думается, не надо больше
пояснять, почему не следует опасаться HTML- кода, якобы включенного в
графический файл.
,А вот кое-чего другого
возможно и стоит побаиваться… И прежде всего, coockies. В этих файлах
тот или иной web-сервер может сохранить свою информацию и, естественно,
потом считать ее обратно. Например, в них сохраняют имя пользователя
многие чаты, так что при повторном входе его уже не надо набирать,
сервер сам возьмет из coockies.
Некоторые серверы
“научились” анализировать накопившиеся в coockies записи и извлекать
информацию о том, какие web-серверы вы чаще всего посещаете. Таким
образом можно узнать круг интересов и выдавать, к примеру, рекламу по
соответствующей тематике. В Америке даже разразился жуткий скандал. “Как
же так! Это нарушение прав человека…” Так что если вы боитесь, что
кто-то может узнать, какие сайты вы посещаете, то отключайте coockies.
Меня лично не волнует, что
подобная информация может попасть в чужие руки, но все равно раз в две
недели я “протираю” все в директории C:\WINDOWS\Cookies.
Трояны
Не забывайте проявлять
осторожность при разборе почты – трояны прямо-таки заполонили всю сеть.
К примеру, приходит мне письмо следующего содержания:
>>>>>>>>
NATO TOP-SECRET
Сергей Иванович ID:345623
запрошеный вами фаил
найден на нашем сервере.
ВНИМАНИЕ!!!
СЕКРЕТНАЯ ИНФОРМАЦИЯ !!!
НЕ РАСПРОСТРАНЯТЬ !!!!
NEVER SEND SPAM. IT IS BAD.
>>>>>>>>>
Ну, и, конечно, прикреплен
к письму файл вида: Photo15.jpg________________________.exe. А там
троян, как водится – Coced238,PSW.