Весь Петербург в Интернете

Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта


Информационная безопасность

Вирусы


Сетевой червь Palyh распространяется в электронных письмах и по ресурсам локальных сетей и маскируется под сообщения от службы технической поддержки Microsoft. На данный момент уже зарегистрировано большое количество случаев заражения данной вредоносной программой в разных странах мира.
Palyh доставляется на целевой компьютер в виде файла, вложенного в письмо электронной почты или записанного в систему через локальную сеть. Червь активизируется при запуске этого файла-носителя, после чего заражает компьютер и запускает процедуру распространения.
При установке Palyh копирует себя под именем MSCCN32.EXE в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою загрузку в память компьютера при старте ОС. По причине ошибки, в некоторых случаях Palyh копирует себя в другие каталоги и поэтому функция автозапуска иногда не срабатывает.
После этого червь начинает процедуры распространения. Для рассылки по электронной почте он сканирует файлы с расширениями TXT, EML, HTML, HTM, DBX, WAB и выделяет из них строки, похожие на электронные адреса. Затем Palyh в обход установленной почтовой программы подключается к используемому SMTP-серверу и рассылает через него на эти адреса свои копии.
В качестве отправителя все письма червя имеют фальсифицированный адрес (support@
microsoft.com), но содержат различные заголовки, тексты и имена вложенных файлов. Следует отметить, что все файлы имеют расширение PIF (например, PASSWORD.PIF), хотя на самом деле являются обычными EXE-файлами. В═данном случае Palyh использует ложное представление пользователей о безопасности PIF-файлов и недостаток Windows.
Как известно, эта ОС обрабатывает файлы не по расширению, но по внутреннему формату. Для распространения по локальной сети червь сканирует другие сетевые компьютеры и, если находит на них каталоги автозапуска Windows, записывает туда свою копию. В═целом Palyh нельзя назвать опасным. Однако у него есть ряд особенностей, которые представляют собой потенциальную опасность для владельцев зараженных компьютеров. Червь имеет функцию загрузки с удаленных web-серверов дополнительных компонентов. Таким образом, он в состоянии незаметно устанавливать свои более свежие версии или внедрять в систему программы-шпионы.
Автор Palyh встроил в программу временной триггер: если системная дата зараженного компьютера превосходит 31═мая, то червь автоматически отключает все свои функции за исключением загрузки дополнительных файлов. Эта особенность практически обрекает Palyh, поскольку web-серверы, откуда он скачивает свои обновления, в ближайшее время будут закрыты. Более подробная информация о сетевом черве Palyh доступна в ╚Вирусной Энциклопедии Касперского╩ (http://www.viruslist.com/viruslist.html?id=2304774).

Интернет-червь Fizzer помимо рассылки по электронной почте, содержит процедуры рассылки через P2P-сеть KaZaA клавиатурного ╚жучка╩ и троянца для удаленного управления зараженным компьютером.
Fizzer доставляется на целевой компьютер в виде исполняемого файла и активизируется при его запуске. После этого на диске создаются 5 дополнительных файлов, и модифицируется секция автозапуска программ системного реестра Windows для загрузки Fizzer при старте ОС.
Отличительной, но отнюдь не уникальной чертой этого червя является многовекторность: он одинаково эффективно распространяется по электронной почте и через файлообменную сеть KaZaA.
Для рассылки по e-mail Fizzer сканирует адресные книги Outlook и Windows (Windows Address Book) или использует в качестве объекта атаки случайные адреса в крупнейших публичных почтовых системах, таких как hotmail.com и yahoo.com. После этого червь от имени владельца компьютера незаметно рассылает зараженные сообщения, которые могут иметь различные темы, тексты и имена вложенных файлов. Например: Тема: Re: I think you might find this amusing┘ Вложенный файл: Logan6.exe. Текст: Let me know what you think of this┘
Для распространения по KaZaA Fizzer создает свои копии со случайными именами в директории этой файлообменной сети, так что они становятся доступными для других ее участников.
Fizzer имеет ряд опасных побочных эффектов, которые могут спровоцировать утечку конфиденциальной информации с зараженного компьютера. Червь устанавливает клавиатурного ╚жучка╩, который перехватывает и записывает в отдельный файл все нажатия клавиш. Для передачи этих и других данных в систему внедряется backdoor-утилита (утилита несанкционированного удаленного управления), которая позволяет незаметно контролировать компьютер через чат-каналы IRC и по протоколам HTTP и Telnet. Кроме того, червь регулярно соединяется с web-страницей на общедоступном сервере Geocities и пытается загрузить обновленную версию своих исполняемых модулей. Наконец, для предотвращения обнаружения, Fizzer сканирует память компьютера и закрывает активные процессы ряда наиболее популярных антивирусных программ. Более подробное описание этой вредоносной программы доступно в ╚Вирусной Энциклопедии Касперского╩ (http://www.viruslist.com/viruslist.html?id=2267809).

╚Лаборатория Касперского╩ сообщает об обнаружении 5 новых модификаций Интернет-червя Lovgate, впервые обнаруженного в конце февраля 2003═г. (http:/www.viruslist.com/index.html?tnews=1001&id=1863361).
По своей сути новые модификации червя, получившие индексы H, I, J, K и L, ничем не отличаются от своих 7 предшественников. Lovgate распространяется по электронной почте и локальным сетям. Заражение происходит, только если пользователь самостоятельно запустит файл-носитель червя, присланный в виде вложения или скопированный на открытые сетевые ресурсы компьютера. В═дополнение Lovgate устанавливает в зараженной системе программу-шпиона, которая позволяет злоумышленникам незаметно управлять компьютером, что может привести к утечке конфиденциальной информации.
Отличие новых модификаций состоит исключительно в реализации описанной вредоносной функциональности. Автор червя переработал исходные тексты Lovgate и заново скомпилировал исполняемые модули. Таким образом, при сохранении функциональности внешний вид червя изменился.


       КОМПЬЮТЕР-ИНФОРМ 
          Главная страница || Статьи ╧ 10'2003 (2 - 15 июня) || Новости СПб || Новости России || Новости мира

Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка

Главная страница

Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.

Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей