Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
7 февраля компания McAfee.com ввела в действие онлайновую карту распространения вирусов в мире, функционирующую в реальном времени. Карта была создана на основе обработки файлов 780000 подписчиков (и разовых пользователей) службы McAfee.com. В процессе создания карты были просканированы почти 39 млрд файлов. При этом, примерно, в 20% просканированных компьютеров были найдены вирусы (всего вирусы были найдены в 18 млн файлов). Рейтинг 10 наиболее часто встречающихся в течение последних 30 дней вирусов выглядит следующим образом:
1.═VBS/LoveLetter@MM
2.═APStrojan.qa@MM
3.═W95/MTX.gen@M
4.═W32/FunLove.gen
5.═32/Kriz.4050
6.═W32/Hybris.plugin@M
7.═W97M/Ethan.a
8.═W95/CIH.1003a
9.═W97M/Marker.gen
10.═W32/Hybris.plugin@MM
http://www.McAfee.com
Компания ╚Арсеналъ╩ сообщила, что ╚Лексикон Верба 1.0╩ ≈ российский полнофункциональный текстовый редактор с поддержкой шифрования документов и электронной цифровой подписи ≈ сертифицирован Министерством обороны РФ. Сертификат соответствия N 75 от 23 января 2001 г. выдан на основании результатов сертификационных испытаний в испытательной лаборатории ЦНИИ МО РФ. Это означает, что теперь ╚Лексикон Верба 1.0╩ может применяться во всех подразделениях МО РФ.
В 2000 г. компания ╚Арсеналъ╩ получила Сертификат N 331 Гос. технической комиссии при Президенте РФ, который удостоверяет, что текстовый редактор ╚Лексикон Верба 1.0╩ соответствует требованиям по защите информации и может входить в состав программно-аппаратного комплекса, предназначенного в том числе для работы с составляющими государственную тайну документами. Модуль криптографии и ЭЦП ╚Верба-W╩, разработанный МО ПНИЭИ и используемый компанией ╚Арсеналъ╩ в текстовом редакторе ╚Лексикон Верба╩, имеет сертификат ФАПСИ при Президенте РФ. Кроме того, ╚Лексикон Верба 1.0╩ обеспечивает шифрование и электронную цифровую подпись в соответствии с требованиями ГОСТ 28147-89 ╚Системы обработки информации. Защита криптографическая╩ и ГОСТ Р34.10-94 ╚Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма╩.
31 января компания eEye Digital Security выпустила ПО Retina 3.0 для защиты корпоративных сетей, работающих под управлением ОС MS Windows NT. В нем реализованы технологии искусственного интеллекта, позволяющие выявлять возможные способы атак хакеров (CHAM ≈ Common Hacking Attack Methods). Retina 3.0 осуществляет поиск как известных, так и неизвестных уязвимых мест в сети; снабжено функцией автоматического обновления.
В Retina 3.0 реaлизована технология Fix-It, с помощью которой решается ряд общесистемных вопросов обеспечения безопасности (установки реестра, разрешения допуска к файлам и др.). Бесплатную 30-дневную версию Retina 3.0 можно загрузить с http://www.eeye.com.
5 февраля компания Aladdin Knowledge Systems выпустила устройство eSafe Gateway 3.01, предназначенное для проверки Интернет-трафика на наличие вирусов. Оно автоматически конфигурируется за брандмауэром при помощи технологии NitroInspection Plug&Play (его необходимо просто подсоединить при помощи сетевого кабеля). eSafe Gateway 3.01 проверяет ╚на лету╩ Web-содержимое на наличие вирусов следующих типов: HTML, ActiveX, Java и вандалов. Более подробную информацию можно найти по адресу: http://www.eAladdin.com/eSafe/.
14 февраля компания Microsoft выпустила ПО Internet Security and Acceleration (ISA) Server, предназначенное для использования в качестве сетевого экрана и кэш-сервера предприятий. ПО ISA Server обеспечивает: защиту корпоративных сетей от неавторизованного доступа и внешних атак, возможность инспектирования входящего и исходящего сетевого трафика, а также предупреждение администраторов о подозрительной деятельности в сети. Начиная с 20 февраля ПО ISA Server доступно в 2 версиях: Standard Edition ($1499 за процессор) и масштабируемая Enterprise Edition ($5999 за процессор). Пробную копию можно загрузить с http://www.microsoft.com/isaserver/.
30 января компания F-Secure Corporation начала поставки ПО F-Secure SSH Server 5.0 для ОС Windows NT и 2000, предназначенного для обеспечения безопасного мультиплатформенного удаленного доступа к Windows-серверам. C помощью данного ПО осуществляется доступ к функциям Web-браузинга, электронной почты, загрузки файлов и др. Кроме того, в ПО реализована архитектура F-Secure Policy Manager, обеспечивающая интеграцию с такими программными средствами, как Tivoli TME 10, CA-Unicenter, HP OpenView и др.
http://www.f-secure.com
Компания Microsoft выпустила патчи:
1. Сетевой червь Mandragore использует для распространения популярную сеть обмена файлами Gnutella (http://gnutella.wego.com/), работающую по технологии Peer-to-Peer (P2P). Возможность существования подобных червей была открыта еще в мае 2000 г. Сетом МакГэном, опубликовавшим свое исследование в электронной конференции BugTraq (http://www.securityfocus.com/frames/?content=/templates/archive.pike%3Flist% 3D1%26mid%3D59387). Однако до сих пор не было зарегистрировано появление подобных вредоносных программ. Сейчас зарегистрировано несколько десятков зараженных компьютеров.
Mandragore представляет собой EXE-файл, написанный на языке программирования Ассемблер, и имеет длину 8192 байта. При запуске этого файла, червь регистрирует себя как активный узел сети Gnutella и отслеживает все сетевые запросы на поиск файлов. При обнаружении запросов, вне зависимости от наличия искомых файлов на зараженной системе, Mandragore возвращает положительный результат поиска и предлагает пользователю загрузить их. Для маскировки он переименовывает свою копию в соответствии с полученным запросом. Таким образом, если пользователь послал запрос на поиск файла ╚How to become a millionaire╩, то зараженная система предложит ему загрузить файл ╚How to become a millionaire.exe╩. Важно отметить, что червь абсолютно не работоспособен, если на компьютере не установлен один из клиентов, поддерживающий стандарт обмена данных Gnutella, таких, как Gnotella, BearShare, LimeWire или ToadNode.
При заражении компьютера червь копирует себя в каталог автозапуска программ Windows для текущего пользователя. Копируется червь под именем ╚GSPOT.EXE╩ и устанавливает на свою копию атрибуты ╚скрытый╩ и ╚системный╩. При следующей загрузке Windows червь автоматически активизируется и остается в памяти, как активный процесс (под Windows 9x он регистрируется как скрытый процесс).
Данный червь не имеет побочных действий, кроме незначительного увеличения потока исходящих данных. Его главная опасность ≈ не уничтожение важных файлов или разглашение конфиденциальной информации, а ущерб репутации компаний и частных лиц, подвергшихся заражению.
Для предотвращения проникновения Mandragore на компьютер нельзя ни в коем случае запускать EXE-файлы длиной 8192 байта, которые могут быть предложены для загрузки через сеть Gnutella. Рекомендуется также постоянно использовать антивирусный монитор, входящий в поставку Антивируса Касперского. Он эффективно заблокирует внедрение червя в систему, даже если нечаянно запущен зараженный файл.
В случае если компьютер все же подвергся заражению червем, Лаборатория Касперского рекомендует удалить файл GSPOT.EXE в каталоге автозапуска программ для текущего пользователя и перезагрузить компьютер.
Процедуры защиты от Mandragore уже добавлены в ежедневное обновление антивирусной базы Антивируса Касперского (http://www.kaspersky.ru/updates.asp). Более подробная информация о данном черве доступна в Вирусной Энциклопедии Касперского (http://www.viruslist.com/default.asp).
2. Червь под названием Myba или MyBabyPic приходит по почте в приложенном файле MYBABYPIC.EXE, в поле ╚Тема╩ содержится текст ╚My baby pic!!!╩, а в теле письма ≈ текст: ╚Its my animated baby picture!!╩. Червь является EXE-файлом и написан на языке программирования Visual Basic. Части программного кода Myba явно заимствованы из червя LoveLetter: названия и содержание процедур обоих в некоторых случаях практически полностью совпадают. Таким образом, Myba был сначала написан на Visual Basic, а затем скомпилирован в EXE-файл. Червь рассылает себя в виде писем с прикрепленным EXE-файлом, который и является телом червя.
Те, кто открывают приложенный файл, видят мультик достаточно вольного порнографического содержания. Во время исполнения файла и проигрывания видеоролика, червь копируется на компьютер пользователя и сам рассылает себя по всем адресам, которые находит в адресной книге MS Outlook спустя 10 минут после загрузки. Тема, содержимое письма и имя прикрепленного файла те же, что и в приведенном выше примере. Помимо этого, вирус создает ряд файлов и записей в реестре, что позволяет ему подгружаться при каждом запуске системы.
Myba имеет ряд весьма опасных деструктивных воздействий, способных уничтожить компьютерные данные. В зависимости от текущей даты и времени червь:
Червь также просматривает содержимое доступных дисков и портит файлы с расширениями VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H, JPG, JPEG, MP2, MP3. Более подробную информацию см. по адресу: http://www.viruslist.com/viruslist.asp?id=4296& key=00001000140000100064 или http://www.McAfee.com.
3.═14 февраля компания Aladdin Knowledge Systems заявила о том, что вирус-вандал Kournikova был создан при помощи инструментального средства, разработанного группами бразильских хакеров ╚Hacker Brazil╩ и ╚VR Brazil╩.
Данный инструментарий используется для создания зашифрованного скрипта внутри вандала, что затрудняет его поиск и анализ.
Cам по себе инструментарий достаточно ограничен в своих возможностях, но в объединении с различными психологическими средствами введения в заблуждение он может представлять ощутимую угрозу.
Для борьбы с вирусами типа Kournikova предназначено антивирусное ПО eSafe Desktop, бесплатную версию которого можно загрузить с Web-сайта http://www.eAladdin.com.
4.═Worm.DmSetup.A и Worm. DmSetup.E √ это вирусы-черви, распространяющиеся через IRC. Они пытаются заместить файл MIRC.INI другим файлом, содержащим команды, позволяющие им распространяться через IRC. Вредоносное действие вирусов состоит в удалении содержимого экрана, а также в отображении на дисплее сообщения. Worm. DmSetup.E отображает на дисплее следующее сообщение: Press a key. Когда пользователь нажимает клавишу, на дисплее отображается следующее сообщение: ERROR:expected Voodoo or 3DFX.
5. Вирус Html.Zulu.A написан на Visual Basic Script, и часть его кода зашифрована для создания трудностей при его изучении. Шифр основан на ASCII-коде. Html.Zulu.A. создает файл под названием WINSTART. VBS═в═папке C:\Windows\ System. Целью вируса является заражение файлов с расширениями HTM или HTML, находящихся в следующих каталогах: Windows\Temp;═Windows\Help; Windows\Temporary Internet Files; Windows\Desktop; Windows\My Documents; каталог по умолчанию для инсталлируемых файлов (Program files).
КОМПЬЮТЕР-ИНФОРМ Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (с 27.08.2021) - (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
Пейджер 238-6931(аб.3365)
e-mail:
Для пресс-релизов и новостей