Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
В январе поступили сообщения о вирусах:
1. Червь ╚Davinia╩ распространяется по электронной почте при помощи почтовой программы MS Outlook. HTML/LittleDavinia (по другой кодификации) воздействует только на компьютеры, на которых установлен текстовый редактор Word 2000. Это ≈ HTML, VBS, e-mail и макровирус, написанный в Испании программистом, подписывающимся как Onel 2 (автор вируса VBS/Loveletter употреблял имя Onel de Guzmn). Вирус распространяется по электронной почте со следующими характеристиками:
≈ пробел в поле Subject;
≈ в поле сообщения содержится HTML-код вируса.
Механизм проникновения следующий. На компьютер приходит электронное письмо, содержащее скрипт-программу, которая запускает окно Internet Explorer и соединяется с хакерским Web-сайтом. Этот сайт содержит другую скрипт-программу, которая открывает документ Word, находящийся на том же сайте. В этом документе содержится макро-вирус, незаметно отключающий встроенную в MS Word защиту от макровирусов, и пользователь не получает предупреждения о наличии в документе макросов. Для этого червь использует обнаруженную в мае 2000 г. брешь в системе безопасности под названием ╚Office 2000 UA Control Vulnerability╩.
После этого червь получает доступ к MS Outlook и рассылает по адресам из адресной книги электронное письмо, описанное выше. Таким образом, вирусная компонента всегда находится на удаленном Web-сайте, а от компьютера к компьютеру пересылаются лишь ссылки на него.
Деструктивное действие ╚Davinia╩: уничтожает все файлы на всех обнаруженных дисках, записывая на их место файл, при запуске которого выводится сообщение.
На данный момент служба технической поддержки ╚Лаборатории Касперского╩ не получила ни одного сообщения об обнаружении ╚Davinia╩ в ╚диком виде╩. Специалисты ╚Лаборатории╩ уверены, что червь не представляет опасности, поскольку Web-сайт, использовавшийся для внедрения вредоносного кода на компьютеры пользователей, был закрыт практически сразу после его обнаружения.
Однако не исключена возможность появления новых версий, которые будут использовать другие сайты. В связи с этим рекомендуется установить ╚заплатку╩ для MS Office, закрывающую брешь в системе безопасности этого пакета, которая используется червем. ╚Заплатку╩ можно загрузить с Web-сайта Microsoft.
2. Вирус W97M/Afeto распространяется по электронной почте, ищет на ПК пользователя JPEG-файлы и посылает первый найденный им файл на другие компьютеры, вставляя картинку в документ MS Word. В тексте данного документа содержится предложение на португальском языке ╚Para voces com afeto╩. Особенностью вируса является то, что он сканирует не адресную книгу, а уже отправленные сообщения и повторно отправляет зараженные им файлы именно по этим адресам. При этом тема сообщения электронной почты и название присоединенного файла изменяются при каждой отправке. Защита от вируса W97M/Afeto уже включена в InoculateIT. Ее можно найти по адресу: http://antivirus.cai.com.
3. Интернет-червь Ramen атакует компьютеры с установленной ОС Red Hat Linux 6.2 или 7.0. Для незаметного проникновения он использует набор брешей под названиями in.ftpd, rpc.statd и LPRng, обнаруженных и закрытых в период июня-сентября 2000 г. Эти бреши позволяют засылать исполняемый код на удаленный компьютер и выполнять его там без вмешательства пользователя. Процедура работы: сначала на компьютер засылается запрос, переполняющий внутренний буфер, так что код червя получает системные привилегии и запускает командный процессор, который выполняет последующие инструкции червя. Затем Ramen создает каталог /usr/src/poop, куда потом копирует архив червя RAMEN.TGZ. После этого запускается Интернет-браузер lynx, который загружает с удаленной машины RAMEN.TGZ, разархивирует его и запускает основной файл START.SH. Червь не имеет каких-либо дополнительных деструктивных действий, кроме замены содержимого всех файлов с именем INDEX.HTML на следующее:
RameN Crew
Hackers looooooooooooooove noodles.
Технические подробности о Ramen можно найти по адресу: (http://www.viruslist.com/viruslist.asp?id=4286&key= 00001000140000500000).
http://www.kasperskylab.ru
4. Червь Tqll-A (также известный под названием VBS/Tqll-A) распространяется по электронной почте с New Year! в поле темы сообщения, с текстом Wow Happy New Year! в поле сообщения, к которому также присоединен файл happynewyear.txt.vbs. При исполнении Tqll-A инсталлирует и запускает в зараженной компьютерной системе троянский вирус Backdoor/Psychware.G.Server, а затем рассылает свою копию в виде присоединенного файла по всем зарегистрированным контактам в адресной книге MS Outlook. Дополнительная информация о вирусе Tqll-A находится по адресу: http://ca.com/virusinfo/.
5. W32.Kriz √ это Windows 9x/NT вирус, заражающий портативные исполняемые (PE) файлы Windows. После заражения ПК вирус становится резидентным и старается заразить все файлы, открываемые пользователем или приложениями. Кроме того, вирус модифицирует файл KERNEL32.DLL (что позволяет ему распространяться по всей системе) и старается испортить некоторые PE-файлы, замещая их пустыми backup-файлами (или файлами из инсталляционного пакета). 25 декабря вирус старается удалить BIOS с компьютера (соответственно, препятствуя загрузке), что в большинстве случаев вынуждает пользователя заменить свои аппаратные средства. Также вирус переписывает файлы на всех доступных дисках, включая сетевые, флоппи и RAM. По действию W32.Kriz очень похож на вирус W95.CIH.
20 декабря компания Symantec выпустила антивирусную программу для обезвреживания вируса W32.Kriz (ее можно найти по адресу: http://www.symantec.com/avcenter).
http://www.symantec.com
6. DMSETUP.EXE √ это троянский вирус, загружаемый пользователем или рассылаемый через IRC. Он инсталлируется без каких-либо проблем, однако перед окончанием инсталляции на экране монитора ПК появляется диалоговая панель с сообщением об ошибке. Вследствие этого пользователи считают, что по какой-то причине файл загрузился некорректно.
DMSETUP.EXE может делать несколько своих копий в разных местах ЖД зараженного ПК и генерирует копию файла MIRC.INI. Вследствие этого каждый раз, когда пользователь зараженного ПК входит в чат, он может потерять контроль над своим компьютером.
Хотя и существуют скрипты, которые осуществляют мониторинг портов, используемых вирусами, и предупреждают пользователей об их внешнем применении √ все равно они недостаточно эффективны. Поэтому пользователям следует быть особенно осторожными при просмотре полученной электронной почты и применять эффективное антивирусное ПО.
[email protected]
╚Лаборатория Касперского╩ разъясняет ситуацию, сложившуюся вокруг якобы разрушительных компьютерных вирусов California IBM и Girl Thing. ╚Лаборатория Касперского╩ заявляет, что оба так называемых ╚вируса╩ есть не что иное, как вирусная мистификация: они не представляют угрозы для компьютеров, и более того, они попросту не существуют!
Обе мистификации написаны по стандартному сценарию и уже успели наделать шума во многих странах Европы, в частности, существует их английская, нидерландская, датская версии.
Суть мистификаций сводится к следующему. Пользователь получает письмо от знакомого адресанта с пересылкой новости о якобы крайне опасном вирусе (например, California IBM), против которого еще не существует защиты. Обычно в подобных сообщениях содержится ссылка на известную компанию, как правило, не имеющую отношения к антивирусам (например, Microsoft). Текст представляет собой однотипное предупреждение, например, такое:
╚По сообщению Microsoft, эти вирусы обладают большой разрушительной силой, еще большей, чем у вируса LOVE LETTER. Пока против них нет никакого антивируса. Они пожирают всю информацию на ЖД, разрушают браузеры MS Internet Explorer и Netscape Navigator. Ни при каких обстоятельствах не открывайте файлы с такими названиями. Пока мало, кто в курсе. Перешлите это сообщение как можно большему количеству ваших знакомых╩.
╚Лаборатория Касперского╩ убедительно просит пользователей не поддаваться подобным провокациям. При получении подобного письма рекомендуется его удалить.
Типичные черты вирусной мистификации:
1. Предупреждает о необыкновенно опасном вирусе, против которого нет защиты;
2. Ссылается на хорошо известную компанию, как правило, не связанную с антивирусами;
3. Просит разослать информацию как можно большему количеству адресатов.
Практическое руководство по нейтрализации вирусных мистификаций можно найти по адресу: http://www.kaspersky.ru/news.asp?tnews=0&nview=1&id= 115&page=3.
http://www.kasperskylab.ru
22 января компания Compaq выпустила патч, исправляющий проблему переполнения буфера при Web-управлении (через Compaq Management Agents version 4.70) ее NT-серверами. Патч находится по адресу: ftp://ftp.compaq.com/pub/softpaq/sp14001-14500.
Неприятная статистика
По данным компании Attrition из всех ОС в прошедшем году чаще всего взламывали Windows NT (56%). На втором месте ОС Linux ≈ 12% взломанных серверов. Серверы под Win2000 пострадали в 2% случаях от общего количества успешных хакерских атак.
http://www.attrition.org/mirror/attrition/os.html#ALL
И утешительные прогнозы
По мнению экспертов аналитического агентства Gartner Group, появления первых серьезных вирусов в беспроводных устройствах стоит ожидать не ранее конца 2001 г. ≈ середины 2002 г. Подробнее на http://www.handy.ru/news/2001/jan/news3.html.
По данным NUA Internet Survey среди служащих Интернет-компаний и высокотехнологичных компаний стремительно растет число алкоголиков и наркоманов. По мнению экспертов, среди способствующих этому факторов ≈ высокая зарплата, ненормированный рабочий день и бурное развитие экономики. Так как квалифицированных кадров не хватает, руководство закрывает глаза на ╚причуды╩ сотрудников.
http://www.netoscope.ru
По сообщению японского информационного издания The Daily Yomiuri, количество аварий на дорогах за прошлый год удалось сократить более чем вдвое. Специалисты связывают это с запретом властей на использование мобильных телефонов во время управления автомобилем, который вступил в силу в ноябре 1999 г.
http://www.handy.ru/news/2001/jan/news74.html
Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
Пейджер 238-6931(аб.3365)
e-mail:
Для пресс-релизов и новостей