Весь Петербург в Интернете

Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта


Информационная безопасность

Вирусы


1.═Вирус W32.Sahay.A@mm распространяется по электронной почте в виде приложения к письму с заголовком ╚Fw: Sit back and be surprised╩. Приложенный файл называется mathmagic.scr. Вирус пытается самостоятельно приписаться ко всем exe-файлам в папках Windows и C:\Program Files\Mirc\download, однако из-за ошибок в ПО он может повредить эти или другие файлы, хранящиеся на компьютере.
Вирус сканирует компьютер в поисках червей W32.Yaha, и если ему удается найти червь этого семейства, Sahay его стирает. При этом на экране появляется сообщение с заголовком: ╚Exchange viruses?╩ (Поменять вирусы?). В═сообщении говорится о том, что компьютер был инфицирован Yaha.k, автор которого нанес вред сайту автора Sahay, так что тот решил ╚продезинфицировать╩ ваш компьютер, заменив Yaha на другой вирус═≈ Win32.HLLP.YahaSux. Новый вирус автоматически рассылается по контактам адресной книги Outlook и перезагружает машину.

2.═Появился ╚N╩ вариант червя W32/Explorezip, распространяющегося по электронной почте, используя MAPI-команды в почтовых программах MS Outlook, MS Outlook Express и MS Exchange. На компьютеры он попадает в электронном письме в файле, который называется zipped_files.exe. В═отличие от своего предшественника, этот червь сжат с помощью UPX, и размер файла составляет 91,048 байта.
Будучи активирован, он отбирает файлы и документы на зараженной машине и уменьшает их до 0 байтов (как если бы они были опустошены или уничтожены). Далее он повторяет эту операцию каждые 30 минут. Это действие может привести к невосполнимым потерям важной информации. В═локальных сетях этот червь ищет доступ в папку Windows на машинах других пользователей и, обнаружив ее, копирует себя и изменяет файлы Win.INI на этих машинах. Далее он активирует свою вредоносную загрузку, уменьшая размеры файлов.

3.═Червь SQLSlammer (╚Разрушитель╩, он же Helkern) использует обнаруженную в июне 2002 года ошибку и выводит из строя MS SQL Server. С═одной стороны, он атакует исключительно серверные компьютеры, так что большая часть пользователей Интернет может чувствовать себя в безопасности: если на машине не установлена система управления базами данных MS SQL Server, то этот червь не может нанести никакого вреда. Однако с другой стороны, масштабы распространения Helkern и последствия многократного увеличения сетевого трафика могут вызвать перебои в работе всего Интернет. Таким образом, косвенно страдают все пользователи сети вне зависимости от их статуса и интересов.
Принцип его действия заключается в том, что зараженный компьютер начинает рассылать червя другим машинам, при этом вирус пытается атаковать случайным образом сгенерированные IP-адреса, рассылая сетевые пакеты со своим телом, т.═е. запускает бесконечный цикл распространения, резко увеличивая трафик внутри сетей и вызывая сбои в их работе. Червь существует только в памяти компьютера, что делает невозможным его распознавание при помощи традиционных антивирусных программ. Избавиться от SQLSlammer довольно просто: пока он находится в памяти компьютера и не оказывает воздействия ни на какие файлы, нужно всего лишь перезагрузить компьютер, и вирус исчезнет. Но не стоит забывать, что при работе на устаревших серверах возникает довольно высокая вероятность повторного заражения в случае, если не будут приняты соответствующие меры.

Для защиты компьютера от SQLSlammer лучше всего подойдет обновление MS SQL Server. Получить его можно на сайте компании по адресу: http://www.microsoft.com/technet/security/bulletin/MS02-039.asp. С═другой стороны, можно просто заблокировать доступ к порту 1434, используемому вирусом для проникновения, либо на маршрутизаторе, либо с помощью межсетевого экрана, если, конечно, структура компании позволяет это сделать. Однако если у вас одновременно работают несколько SQL-серверов, то не блокируйте данный порт, так как это приведет к невозможности обработки баз данных.
Специалисты компании Panda Software считают, что проблема может обостриться, так как на большинстве компьютеров (начиная с домашних пользователей и заканчивая разработчиками ПО) может использоваться версия SQL Server 2000 Desktop Engine (MSDE), работающая под управлением Windows 98/Millenium/NT/2000 Professional. Они также могут стать жертвой SQLSlammer.

В рейтинге самых распространенных вредоносных программ не отражены данные о нашумевшем в конце января сетевом черве Helkern. Проблема заключается в том, что стандартные методы сбора статистики (подсчет сообщений пользователей и данные с общедоступных почтовых систем) не дают достаточно четкой информации, которой можно было бы оперировать в статистических исследованиях.
Государственные и коммерческие организации предпочитают не разглашать факт проникновения червя в их сети, а мониторинг почтового трафика просто не дает никакого результата, так как Helkern не использует почту для своего распространения. Альтернативный источник данных, т.═н. ╚липучка╩ (SmallPot) вредоносных кодов, также не дает четких данных о реальном количестве зараженных компьютеров. В═результате есть только эмпирические способы определения масштабов эпидемии, неприменимые для составления ежемесячного рейтинга вирусов.
По пессимистическим оценкам Helkern заразил примерно 80 тысяч компьютеров по всему миру. Сопоставляя этот показатель с данными двадцатки можно уверенно сказать, что этот червь занял первое место, вызвав в январе около 50═% всех вирусных инцидентов.
Наибольшее количество заражений в январе вызвали сетевые черви (77,19═%)═≈ вредоносные программы, имеющие функции распространения по Интернет (электронная почта, Web-сервисы, сетевые пейджеры, IRC-каналы и═др.). На втором месте оказались компьютерные вирусы (16,33═%), в основном макро-вирусы. И═на третьем═≈ троянские программы (6,49═%). Эти данные показывают перелом тенденции конца 2002═г., когда доля сетевых червей уменьшалась. Более того, следует отметить, что в исходные данные не попал Helkern. Его присутствие в двадцатке, безусловно, полностью поменяло бы картину и в этом случае доля сетевых червей превысила бы 90═%.


       КОМПЬЮТЕР-ИНФОРМ 
          Главная страница || Статьи ╧ 3'2003 (17 февраля - 2 марта) || Новости СПб || Новости России || Новости мира

Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка

Главная страница

Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.

Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей