Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Десятка наиболее распространенных в феврале вирусов по данным Sophos:
1. 38.2% VBS/SST-A (a.k.a. червь Anna Kournikova).
2. 11.7% W32/Apology-B.
3. 7.8% W32/Hybris-B.
4. 6.2% VBS/Kakworm.
5. 3.8% W32/Navidad-B.
6. 3.2% W32/Flcss.
7. 2.8% VBS/Lovelet-AS.
8. 2.6% WM97/Marker-C.
9. 2.2% Troj/JetHome.
10. 1.6% W32/Verona-B.
Прочие ≈ 19.9%.
n═╚Вирус, занявший первую позицию ≈ VBS/SST-A, a.k.a. червь Kournikova, не был творением гения и, тем не менее, он одурачил сотни тысяч людей по всему миру╩ ≈ заявил г-н Graham Cluley, ст. консультант компании Sophos. Автор червя Kournikova, OnTheFly, позднее раскаялся и отдался в руки голландской полиции. Мэр родного городка OnTheFly решил, что ему надо предложить работу в департаменте ИТ. В феврале 2001 г. компания Sophos обнаружила 875 новых вирусов.
http://www.sophos.com
Защита
n═Лаборатория Касперского выпустила очередную версию (3.0 Build 135.3) Антивируса Кас-перского (АК) для ОС Linux. Новые функции:
l═Поддержка различных типов дистрибутивов Linux: Red Hat Linux, Slackware Linux, Debian Linux в программе установки (Installer). Это дает, в частности, возможность корректно запускать антивирусные модули в процессе начальной загрузки ОС.
l═Усовершенствована система загрузки обновлений (Updater): интегрирована поддержка KLB-файлов, что позволяет загружать только новые обновления антивирусной базы.
l═Изменен формат конфигурационного файла (профайла). Введены персональные настройки антивирусной проверки для каждой отдельной директории и различных типов файлов в зависимости от специфических задач пользователя.
l═Поддержка символов ⌠.■, ⌠,■, ⌠;■ в именах проверяемых файлов.
l═Добавлен модуль ╚Slogan╩ для формирования кратких статистических отчетов о количестве, разнообразии, времени и местах обнаружения вредоносных кодов. Поддерживаются форматы TXT или HTML.
l═Добавлен модуль Checkurl для проверки работоспособности HTTP- и FTP-ресурсов и выбора оптимального по скорости ресурса для загрузки обновлений антивирусной базы.
В Антивирус Касперского для Linux Server добавлено готовое решение для интеграции централизованной системы антивирусной защиты для почтовых шлюзов Postfix.
С полным списком новых функций АК для Linux можно ознакомиться в файле WHATS.NEW.*, находящемся в дистрибутиве программы. Все легальные пользователи предыдущих версий АК для Linux могут перейти на новую версию программы бесплатно.
http://www.kasperskylab.ru
n═Выпущена бета-версия комплекса антивирусной защиты для почтовых шлюзов Postfix, работающих под управлением UNIX-подобных ОС, таких, как Linux, FreeBSD, BSDi. Postfix является альтернативой широко распространенному почтовому серверу Sendmail. Антивирус Касперского (АК) для Postfix интегрируется в систему обработки электронной корреспонденции Postfix и обеспечивает централизованную антивирусную фильтрацию входящего и исходящего почтового трафика. Пользователь может задавать параметры проверки различных потоков электронной почты для каждого отдельного почтового ящика. При обнаружении вируса программа блокирует письмо, лечит или удаляет зараженный файл, и посылает предупреждение системному администратору об инциденте. Продукт войдет в состав АК для Linux Server и АК для FreeBSD/BSDi.
Выпуск коммерческой версии продукта намечен на конец марта 2001 г.
n═12 марта компания Microsoft выпустила патчи, устраняющие уязвимость в ряде ее програм-мных средств (возможность удаленного исполнения вируса на ПК пользователя). Патчи можно найти по следующим адресам:
для Internet Explorer ≈ http://www.microsoft.com/windows/ie/download/critical/q286045/default.asp;
для Windows Scripting Host 5.1 ≈═http://www.microsoft.com/msdownload/vbscript/scripting51.asp;
для Windows Scripting Host 5.5 ≈═http://www.microsoft.com/msdownload/vbscript/scripting.asp;
для Telnet═≈═http://www.microsoft.com/windows/ie/download/critical/q286043/default.asp.
n═В конце февраля компании ╚АйТи╩ вручен сертификат N 431 Гостехкомиссии при Президенте РФ. Данный сертификат удостоверяет, что новый модуль автоматизированной системы документооборота и делопроизводства БОСС-Референт ╚Автоматизированное рабочее место защиты информации. Версия 1.0╩ (АРМЗИ) является защищенным программным средством обработки информации, не содержащей сведений, составляющих государственную тайну, и соответствует требованиям технических условий и руководящего документа Гостехкомиссии России ╚Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей╩ по 3-му уровню контроля. [email protected]
Грустные новинки:
1. Вирус Magistr использует крайне сложные технологии сокрытия своего присутствия на зараженных системах. Судя по комментариям в коде вируса, он создан неким шведским хакером по кличке ╚The Judges Disemboweler╩. Лаборатория Касперского получила несколько сообщений о фактах обнаружения вируса в ╚диком╩ виде.
Magistr может проникнуть в компьютер тремя основными способами. Во-первых, через письма электронной почты, в случае если пользователь запустил зараженный вложенный файл. Во-вторых, через локальную сеть, заражая файлы на доступных ресурсах серверов и других компьютеров. В-третьих, в процессе обмена файлами с использованием мобильных накопителей.
Сразу же после запуска инфицированного файла, вирус инициирует процедуру внедрения в систему, рассылки и через определенное время активизирует встроенные деструктивные действия.
Для проведения рассылки по электронной почте Magistr сканирует БД почтовых программ Outlook Express, Netscape Messenger, Internet Mail, а также адресную книгу Windows, и считывает оттуда все электронные адреса. Данные о местоположении почтовых баз и их именах вирус записывает в специальный файл с расширением DAT. Имя этого файла получается путем шифрования имени компьютера. Например, если компьютер имеет сетевое имя CS-GOAT, то файл будет называться WG-SKYF.DAT. В зависимости от первого символа имени DAT-файла он помещается в корневой каталог диска C: или директории Windows или Program Files.
После этого он незаметно считывает адрес используемого компьютером SMTP-сервера и от имени пользователя отсылает через него электронные сообщения, содержащие зараженные файлы, случайно взятые с зараженного компьютера. Заголовки сообщений случайным образом выбираются либо из найденных на компьютере .doc- и .txt-файлов, либо из содержащегося в теле вируса списка стандартных фраз на английском, французском и испанском языках. Сообщения не содержат никаких текстов, а в качестве вложенных файлов вирус использует случайно выбранный на компьютере PE EXE или SCR-файл длиной меньше 132 КБ. Подобная неустойчивость внешних признаков существенно затрудняет идентификацию пользователями зараженных писем. Важно отметить, что в процессе рассылки инфицированных писем вирус случайным образом искажает адрес отправителя (удаляет или заменяет некоторые буквы). Это обстоятельство также способствует сокрытию вирусной активности на зараженном компьютере, поскольку его владелец во многих случаях не сможет получить ответ от получателя с подтверждением о прочтении файла или вопросом о его содержании: при попытке ответить письмо будет автоматически адресовано на несуществующий адрес.
После запуска Magistr заражает все файлы форматов PE EXE и SCR в каталогах Windows, WinNT, Win95 и Win98 всех локальных дисков. После этого он сканирует все доступные сетевые ресурсы и снова ищет те же каталоги и заражает обнаруженные там файлы. В процессе внедрения в файлы вирус использует ряд исключительно сложных методов, что значительно осложняет процедуру его обнаружения и удаления. Для этого тело вируса разделяется на 3 части, 2 из которых шифруются полиморфным кодом.
Таким образом, после запуска зараженного файла, вирус перехватывает его выполнение в точке входа и переадресовывает обработчик на код вируса. И только после окончания выполнения основного кода вируса управление снова передается оригинальной программе.
Для обеспечения своего постоянного присутствия в системе, Magistr модифицирует конфигурационный файл Windows WIN.INI и системный реестр таким образом, что вирус активизируется каждый раз при запуске ОС. При заражении сетевых ресурсов вирус модифицирует только WIN.INI.
Magistr содержит исключительно опасную деструктивную функцию. Через месяц после заражения компьютеров под управлением Windows NT/2000 вирус уничтожает все файлы на локальных и сетевых дисках, записывая в них фразу ╚YOUARESHIT╩. В дополнение к этому, на компьютерах с установленной Windows 95/98/ME вирус сбрасывает данные в памяти CMOS (CMOS содержит аппаратные параметры загрузки компьютера) и, подобно вирусу ╚Чернобыль╩ (CIH), уничтожает содержимое микросхемы FLASH BIOS. После этого он показывает следующее сообщение:
Another haughty bloodsucker.....
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY
A CHUNK OF SHIT
Кроме того, в зависимости от ряда условий, вирус запускает еще одну процедуру, вызывающую эффект ╚убегающих иконок╩: при установке указателя мыши на какой-либо иконке рабочего стола, она тут же меняет свое местоположение, так что пользователь не в состоянии запустить соответствующую ей программу.
http://www.kasperskylab.ru
2. Интернет-червь Naked обнаружен в диком виде. Он распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. Для этого он использует почтовую систему MS Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге программы. Рассылаемые письма имеют следующий вид:
Имя прикрепленного файла: NakedWife.exe
Тема письма: Fw: Naked Wife
Сообщение в письме:
My wife never look like that!
Best Regards,
[CurrentUser],
где [CurrentUser] является именем отправителя письма (именем пользователя зараженной машины).
При запуске червя (если пользователь ╚кликнет╩ на файле-вложении) червь рассылает зараженные письма и выполняет деструктивные действия: уничтожает файлы .INI, .LOG, .DLL, .EXE, .COM, .BMP в каталоге Windows и файлы .INI, LOG, .DLL, .EXE, .BMP в системном каталоге Windows.
Червь не инсталлирует себя в систему (как это делают многие прочие вирусы-черви) и не создает новых ключей в системном реестре, т. е. является червем ╚однократного╩ действия.
При запуске Naked скрывает свою активность и ╚прячется╩ под видом приложения Macro-media Flash Player и в бесконечном цикле выводит следующее сообщение:
⌠Loading■, ⌠Loading■, ⌠Loading■.
Подробную информацию см. в Вирусной Энциклопедии Касперского (http://www.viruslist.com/viruslist.asp?id=4301&key=00001 000140000100066).
n═Центр Интернет-безопасности (Center For Internet Security, CISecurity) выпустил ПО PatchWork, предназначенное для поиска уязвимых мест в корпоративных сетях и Web-сайтах. Обнаружив бреши в защите, PatchWork сообщает администратору о необходимости установки определенных программных заплат и обновлении версий используемого в сети ПО.
Это ПО можно бесплатно скопировать с сайта http://www.cisecurity.com.
Криминал
и борьба с ним
n═ФБР выпустило отчет, в котором высказало опасение, что несколько хакерских группировок, действующих в Восточной Европе, выкрали частные сведения у сотен сайтов и заполучили более 1 млн номеров банковских счетов. Как считает ФБР, большинство хакеров, о которых идет речь, являются гражданами России и Украины, т. к. именно в этих странах недавно было зарегистрировано увеличение случаев использования краденых кредитных карт и мошенничеств, связанных с кредитками. Заполучить эти сведения хакерам удалось благодаря недоработкам в ОС MS Windows NT, которая стоит на компьютерах пострадавших компаний. В заявлении ФБР также говорится о том, что Россия все больше и больше завоевывает репутацию страны, в которой живут самые квалифицированные хакеры. Так, например, в декабре прошлого года ФБР начало изучать ╚русский след╩, оставленный при краже 55.000 номеров кредитных карт клиентов Интернет-компании CreditCards.com.
После того, как компания отказалась выплатить $100.000, хакеры предали огласке часть этой информации в Интернет. Похожий случай затронул в декабре 1999 г. владельцев примерно 300.000 счетов, пользующихся услугами компании CDUniverse.com. Тогда русский хакер-подросток также обнародовал большую часть незаконно полученной им информации после того, как ему было отказано в ╚выкупе╩ в размере ≈ $100.000.
http://www.cnews.ru/news/ebusiness/2001/03/11/20010311102200.shtml
n═В соответствии с данными отчета CSI (Computer Security Institute) и ФБР, потери от атак на корпоративные и государственные ИТ-системы увеличились на 42% в сравнении с 1999 г. (c $265 млн до $378 млн). $151 млн потерь приходятся на кражу корпоративной информации у 34 респондентов. 21 респондент потерял $93 млн вследствие электронного мошенни-чества. Наиболее часто атаки осуществляются из Интернет и внутри самой компании. В 2000 г. 85% респондентов обнаружили дыры в системах безопасности своих корпоративных сетей, а 64% из них понесли из-за этого финансовые потери.
При этом эксперты полагают, что огромное количество случаев Интернет-пиратства не разглашалось пострадавшими, и поэтому их общее число не может быть названо с точностью. Известно, однако, что в большинстве случаев кибермошенники пользуются недоработками в ОС MS Windows NT. Среди компаний, пострадавших от действий хакеров ≈ Yahoo!, eBay, Buy.com и Microsoft.
Как констатирует ФБР, в последние месяцы наиболее привлекательными для хакеров оказались сайты, так или иначе связанные с банковской деятельностью: киберпреступники выкрали более 1 млн номеров кредитных карточек. В отчете проанализированы результаты опроса 538 специалистов по безопасности различных компаний.
[email protected]
n═В Великобритании принят закон по борьбе с кибертерроризмом. C его помощью британское правительство собирается бороться с хакерами международных организаций различного террористического толка, обосновавшимися в Великобритании. Стоит напомнить, что проникновение хакера-террориста в компьютерную сеть критически важных объектов (например, электростанции или больницы) может привести к тяжелейшим последствиям. По данным международной организации WRDC, занимающейся зашитой информации, такие попытки уже неоднократно имели место, но замалчивались соответствующими службами.
http://www.wrdc.com
n═Г-н Роберт Ханссен, обвиненный в шпионаже в пользу России, является высококвалифицированным программистом, считают официальные американские представители. Опасения по поводу возможного вторжения в компьютерные системы даже теперь, когда он находится под следствием, заставило ФБР и госдепартамент начать массовые проверки компьютеров в этих организациях на предмет наличия в них внедренных г-ном Ханссеном программ. Проверке подвергаются как компьютеры с секретной информацией, так и компьютеры общего назначения. Проверка компьютеров с секретной информацией в ФБР не выявила каких-либо вредоносных программ для повреждения сети или незаконного доступа к секретам. Пока нет никаких данных о компьютерных системах в госдепартаменте, где г-н Ханссен с 1995 г. сотрудничал с отделом по контролю деятельности иностранных дипломатов. Сейчас коллектив специалистов занимается детальным изучением ЖД, карт памяти, дискет и самих компьютеров, конфискованных у г-на Ханссена. Официальные представители контрразведки сообщили, что случай г-на Ханссена является самым сложным в истории их деятельности, намного превосходящим по уровню сложности все предыдущие шпионские скандалы. Г-н Ханссен еще в 1991 г., до широкого развития Интернет, начал применять передовые технологии обмена сообщениями с использованием компьютеров, сообщила Washington Post.
n═5 марта компания Sanyo выпустила цифровую видеокамеру для нужд безопасности ≈ DSR-A1000. В камеру встроен 10.2 ГБ винчестер, она оборудована 1.5 Мегапиксельной CCD-матрицей. Она может снимать как видео в низком разрешении, так и изображения в разрешении 1360х1024 со скоростью 3 кадра/с (около 17000 таких изображений).
Камера оборудована как NTSC ТВ-выходом, так и USB-портом. Ее также можно подключить и к Ethernet (10Base-T) через соответствующий PC Card-адаптер.
Цена ≈ около $3000.
http://www.ixbt.ru
Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (с 27.08.2021) - (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
Пейджер 238-6931(аб.3365)
e-mail:
Для пресс-релизов и новостей