Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта

ЗАО "Техно-СПб" Системная интеграция

Здоровье Вашего компьютера


I-Worm.Cholera

I-Worm.Cholera ≈ это вирус-червь, поражающий ПК под управлением ОС MS Windows. Распространяется через Интернет и локальные компьютерные сети. На компьютер попадает обычно в виде электронного письма с вложенным EXE-файлом SETUP.EXE. Сообщение имеет заголовок (Subject) ╚Ok...╩, а само сообщение состоит только из символа улыбки. Зараженный файл SETUP.EXE является исполняемым файлом длиной около 40 КБ и написанным на языке программирования MS C++. Большую часть исходного кода занимают библиотеки C++, а непосредственно сам червь занимает около 7 КБ. Червь получил свое название из-за строки в своем коде: CH0LERA ≈ Bacterium BioCoded by GriYo / 29A. Эта строка, как и все остальные данные червя, зашифрованы. Сразу же после запуска червя (т.е., после запуска зараженного файла, вложенного в сообщение электронной почты), он самоинсталируется в директорию Windows под именем RPCSRV.EXE. Для того, чтобы запускаться каждый раз при очередной загрузке ОС Windows, червь добавляет команду ╚Run=╩ в файл WIN.INI в директории Windows (в случае Win9x) или модифицирует соответствующий ключ системного реестра.

При следующем запуске Windows червь активизируется посредством  команды ╚Run=╩ в инициализационном файле WIN.INI. После этого он берет контроль на себя, регистрирует себя в памяти Windows в качестве скрытого приложения (невидимого сервиса), что дает червю возможность оставаться активным, даже если пользователь выйдет из системы (log off). Вслед за этим червь запускает две другие подпрограммы. Одна из них обеспечивает распространение червя через локальную сеть, другая ≈ через электронную почту. Кроме того, остается активной подпрограмма инсталяции. Это означает, что заражаются и все новые обнаруженные на инфицированном компьютере версии Windows. Все перечисленные подпрограммы работают как основные процессы, т.е. параллельно. Адреса электронной почты, по которым червь рассылает свои копии, берутся из файлов в подкаталогах Windows. Червь сканирует эти каталоги и ищет файлы с расширениями .HTM, .TXT, .EML, .DBX, .MBX, .NCH, .IDX. Затем он просматривает эти файлы и выбирает строки, похожие на адреса электронной почты. За каждый прием червь рассылает себя не более чем 10 адресатам.  


Новая версия DrWeb

24 сентября вышла версия 4.13 антивирусных семейств DrWeb (для DOS) и DrWeb32 (для Win32, DOS/386, OS/2 и Novell NetWare). В новой версии сторожа SpIDer Guard усилена антивирусная технология SpIDer-Netting, нацеленная в первую очередь на противодействие неизвестным вирусам. Hовая усиленная технология позволяет обнаруживать и блокировать широкий класс резидентных Windows-вирусов на этапе запуска и тем самым предотвращать загрузку вируса в память компьютера в момент запуска зараженного Windows-приложения. Новая технология обеспечивает также перехват любых вирусов, построенных на базе алгоритмов известного вируса  


16 сентября правительство США оставило контроль над экспортом ПО для шифрования информации,
чем заслужило одобрение производителей этих программных средств. Раньше для экспорта ПО, шифрующего с более чем 56-разрядным ключом, была необходима правительственная лицензия. Теперь любое шифрующее ПО может поставляться без всяких лицензий во все страны мира, за исключением Ирана, Ирака, Ливии, Сирии, Судана, Северной Кореи и Кубы.


4 октября компания Sybari Software выпустила новую версию своего комплекта антивирусных программных средств
- Antigen for MS Exchange 2000. Поставки Sybari Antigen for Exchange 2000 Server должны начаться вместе с поставками MS Exchange 2000 Server. Версия данного программного продукта для 250 пользователей обойдется в $4995. http://www.sybari.com   


Вирусная атака на Windows NT:
обнаружен первый компьютерный вирус, внедряющийся на самый высокий уровень

O безопасности Windows NT

╚Лаборатория Касперского╩ сообщила об обнаружении первого в мире компьютерного вируса, внедряющегося на самый высокий уровень безопасности Windows NT - область системных драйверов. Эта особенность делает вирус труднодоступным для лечения в памяти многими антивирусными программами.

Вирус был прислан 7 октября клиентами ╚Лаборатории Касперского╩, пожаловавшимися на странное поведение их компьютерных систем. Детальный анализ подозрительных объектов подтвердил наличие в них нового вируса ╚Infis╩.

Технические подробности

Общая характеристика ╚Infis╩ является резидентным файловым вирусом, который работоспособен только под Windows NT версии 4.0 с предустановленным Service Pack 2, 3, 4, 5 или 6. Вирус не заражает системы под управлением Windows 9x, Windows 2000 и другие версии Windows NT.
Симптомы заражения Основным симптомом заражения является невозможность запустить некоторые программы. Например, MSPAINT.EXE, CALC.EXE, CDPLAYER.EXE и ряд других. По причине некорректного заражения вирус портит содержимое этих файлов. Другим признаком присутствия вируса на компьютере является файл INF.SYS в каталоге /WinNT/System32/Drivers.
Инсталляция
При запуске зараженного файла вирус копирует из него свой код, записывает его в виде отдельного файла INF.SYS в каталог драйверов Windows \WinNT\System32\Drivers. Затем ╚Infis╩ создает в системном реестре ключ с тремя секциями:
 \Registry\Machine\System\CurrentControlSet\
Services\inf
Type = 1-стандартный драйвер WinNT
Start = 2 - режим старта драйвера
ErrorControl = 1 - игнорировать ошибки. В результате копия вируса в файле INF.SYS активизируется при каждом перезапуске Windows NT. При активизации файла INF.SYS запускается процедура заражения памяти Windows, которая выделяет необходимый вирусу блок памяти и перехватывает внутренние (недокументированные) функции этой операционной системы. Вирусный перехватчик обрабатывает только открытие файлов, затем проверяет их имена и внутренний формат и вызывает процедуру заражения.
Заражение Вирус заражает все PE (Portable Executable) EXE-файлы, за исключением CMD.EXE (командный процессор Windows NT). При заражении вирус увеличивает размер файла на длину своего ╚чистого кода╩ - 4608 байт. ╚Infis╩ избегает повторного заражения файлов, распознавая их по записанному ранее в поле ╚дата и время╩ значению -1 (FFFFFFFFh).
Проявление ╚Infis╩ не оказывает никакого разрушительного воздействия на зараженные компьютеры. Однако процедура заражения файлов содержит ряд ошибок, из-за которых вирус портит некоторые файлы при попытке внедрения в них. При запуске испорченные файлы вызывают стандартное сообщение Windows NT об ошибке в приложении.

Процедуры обнаружения и удаления вируса ╚Infis╩ содержатся во внеочередном обновлении антивирусных баз AVP, доступном на корпоративном WWW сайте ╚Лаборатории Касперского╩ по адресу http://www.avp.ru 

Более подробная информация о вирусе ╚Infis╩ и тысячах других вредоносных программ содержится в Вирусной энциклопедии AVP по адресу

http://www.viruslist.com 
http://www.kasperskylab.ru ,
http://www.viruslist.com ,
FTP: ftp://ftp.kasperskylab.ru ,
E-mail:  


       КОМПЬЮТЕР-ИНФОРМ 
          Главная страница || Статьи ╧ 18'1999 || Новости СПб || Новости России || Новости мира

Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка

Главная страница

Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.

Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей