Здоровье Вашего компьютера


Червивый конь или лошадиный червь?

Обнаружен новый вирус с функциями Интернет-червя и троянского коня ≈ Win95.Babylonia. Вирус успел поразить несколько десятков компаний в США, Европе и Австралии. Win95.Babylonia является резидентным  паразитическим Windows вирусом с функциями Интернет-червя и ╚троянского коня╩ несанкционированного удаленного администрирования (Backdoor). Вирус внедряется в систему под управлением Windows 95/98 и заражает несколько типов файлов: PE EXE файлы (исполняемые файлы Win-dows), файлы помощи (HLP) Windows. Кроме того, он заражает библиотеку работы с сетями WSOCK32.DLL и обладает возможностями несанкционированной загрузки из Интернет дополнительных вирусных модулей (virus plug-ins). Последнее обстоятельство дает возможность вирусу получить, практически, полный контроль над зараженной системой. Вирус использует специфические команды Windows 95/98, что делает его неработоспособным на компьютерах под управлением Windows NT и Windows 2000. Win95.Babylonia содержит ряд особенностей, используемых другими вирусами: распространение по Интернет (I-Worm.Happy), заражение файлов помощи Win-dows (WinHLP.Demo), инсталляция в памяти (Win95.CIH) и некоторые другие.

Инсталляция

После запуска зараженного EXE-файла вирус внедряется в память Windows, записывает на диск дополнительный файл и возвращает управление основной программе. Для внедрения в память вирус просматривает ядро Windows, получает необходимые функции и инсталлирует себя, как резидентный системный драйвер (VxD). Для этого он выделяет блок Windows VxD памяти, помещает туда свою копию и перехватывает низкоуровневые функции доступа к файлам (IFS API). Для переключения режима своей работы с уровня приложения на уровень системных драйверов (т.е. с Ring3 на Ring0) вирус использует стандартную уловку с IDT (Interrupt Descriptor Table). Затем Win95.Babylonia создает файл BABYLONIA.EXE длиной 4 КБ в корневом каталоге диска C и запускает его на выполнение. Этот файл является вирусной компонентой, которая выполняется как самостоятельное приложение и реализует его дополнительные возможности. В теле вируса файл находится в сжатом виде, где занимает не более 2 КБ. В процессе инсталляции в память вирус сканирует список системных драйверов в поисках антивирусных мониторов AVP9 и SPID и изменяет их таким образом, что они теряют возможность открывать файлы для проверки. Данная процедура имеет ошибку, что вызывает системный сбой при попытке изменить драйвер AVP Monitor. Таким образом, вирус не может инсталлировать себя в память в присутствии этой программы.

Заражение EXE-файлов

Вирус перехватывает три типа функций доступа к файлам: чтение/изменение атрибутов файлов, открытие и переименование файлов. При перехвате одной из этих функций вирус передает управление процедуре заражения файлов. В случае запуска исполняемого PE EXE файла, вирус проверяет его внутренний формат и записывает свое тело в конец файла, тем самым увеличивая его общий размер. Если файл имеет достаточно большую секцию привязки адресов (Fixup Section), то вирус отключает ее и записывает свой код на ее место. В этом случае размер файла не меняется. Для того, чтобы перехватывать управление при запуске зараженных файлов, вирус не трогает стартовый адрес программы, а вместо того изменяет точку входа. Для этого он использует технику ╚сокрытия точки входа╩ (Entry Point Obs-curing), при которой сканирует код файла и перезаписывает код функции CALL_ Virus.

Заражение файлов  помощи Windows (HLP)

При открытии зараженного HLP-файла Windows обрабатывает встроенный в него вирусный скрипт и выполняет все указанные в нем инструкции. При помощи неочевидного приема одна из вирусных инструкций выполняет как код (как обычную программу Windows) данные, которые указаны в этой инструкции. Таким образом, скрипт вируса переключает себя из режима скрипта HLP-файла в режим обычного приложения Windows. Выполняемый при этом код является ╚стартером╩ вируса, который при помощи полиморфного кода реконструирует главную процедуру вируса ≈ процедуру заражения ≈ и передает на нее управление. Процедура заражения во многом напоминает другие Win32-вирусы: она сканирует ядро Windows (KERNEL32.DLL), ищет в нем адреса необходимых вирусу функций и вызывает подпрограмму поиска HLP-файлов Windows и внедрения в них. При заражении конкретного HLP-файла вирус разбирает его структуру, ищет секцию скриптов ╚SYSTEM╩, записывает в нее необходимые инструкции и дополняет их полиморфным ╚стартером╩.

Заражение библиотеки WSOCK32.DLL.

В процессе заражения библиотеки WSOCK32.DLL вирус получает доступ к функции ╚SEND╩ и внедряет в нее процедуру, которая посылает резидентной копии вируса инструкцию на распространение по сети Интернет. После загрузки зараженной библиотеки WSOCK32.DLL вирус просматривает все отсылаемые в Интернет сообщения и добавляет к ним зараженные файлы. В случае если сообщение уже имеет вложенные файлы, то вирус все равно добавляет еще один, так что всего их может быть два и более. Вирус рассылает исполняемым Win32 PE файл с именем X-MAS.EXE. В зависимости от текущего месяца вирус пытается перебирать шесть различных вариантов названия рассылаемых файлов. Однако, по причине ошибки, это ему не удается, так что имя файла всегда X-MAS.EXE. Полный список возможных названий зараженных файлов выглядит следующим образом:

I-WATCH-U
BABILONIA
X-MAS SURPRISE!
JESUS
BUHH
CHOCOLATE

Этот файл занимает около 17 КБ дискового пространства (6 КБ ≈ основная программа и 11 КБ ≈ тело вируса. В принципе, вирус не заражает файлы длиной менее 8 КБ, но в данном случае он делает ╚исключение╩). При запуске файла вирус инсталлируется в систему и возвращает управление основной программе. Эта программа открывает все файлы в текущей директории, Windows и системной директории Windows. Поскольку вирус уже находится в памяти, то все эти файлы подвергаются заражению. После выполнения этой процедуры основная программа показывает следующие сообщения:

Loader Error
API not found!
Loader Error
Windows xx required!
This program will be terminated.
(где ▒xx▓ может быть ▒95▓ или ▒NT▓. Если компьютер работает на ОС Windows 95/98, то показывается ▒NT▓, если Windows NT, то ▒95▓).

Дополнительные компоненты и встраиваемые модули

Когда вирус внедряется в систему, он создает в корневом каталоге диска C: файл BABYLONIA.EXE, куда записывает код ╚троянской╩ программы (backdoor), около 4 КБ длиной. Данная программа является самостоятельным приложением и не связана с вирусом. Он даже не заражает ее, поскольку запрограммирован на заражение файлов длиной более 8 КБ. Несмотря на это данная ╚троянская╩ программа является даже более функциональной, нежели сам вирус. После запуска файла BABYLONIA.EXE программа регистрирует себя в качестве ╚сервиса╩ (т.е. ее нельзя увидеть в списке активных задач). Затем она копирует себя в системную директорию Windows под именем KERNEL32.EXE (название очень похоже на имя стандартной библиотеки KERNEL32.DLL) и регистрирует этот файл в секции автозагрузки системного реестра.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

После этого программа связывается по Интернет с хакерским WEB сайтом, базирующимся в Японии, и загружает оттуда файл ╚vecna/virus.txt╩. Данный файл содержит список дополнительных модулей и их местонахождение, которые могут использоваться троянской программой. Затем она поочередно загружает эти файлы из Интернет. В случае если в данный момент нет соединения с Интернет (т.е. указанный (указанные) в файле virus.txt сайт (сайты) недоступен (недоступны), то ╚троянец╩ остается в памяти компьютера и каждую минуту пытается получить (загрузить) эти дополнительные модули. Только когда файлы полностью загружены и запущены, ╚троянец╩ выгружается из памяти. Узнать больше о данном вирусе (а также посмотреть на визуальные эффекты, вызываемые им) можно на сайте ╚Лаборатории Касперского╩ по адресу www.avp.ru. Процедуры обнаружения и удаления данного вируса добавлены во внеочередное обновление антивирусных баз AntiViral Toolkit Pro (AVP), которое доступно по тому же адресу.
http://www.kasperskylab.ru 


Обнаружен новый Интернет-червь IWorm.MyPics, имитирующий ╚ошибку 2000 года╩ и использующий приемы вируса ╚Мелисса╩

Он представляет собой исполняемый Windows-файл с расширением EXE, длиной 34304 байт, присылается на компьютер в сообщении электронной почты, во вложенном файле ╚PICS4YOU.EXE╩. Сообщение имеет пустое поле ╚Subject╩, а в теле письма, помимо вложенного файла, содержит текст: Here▓s some pictures for you! При запуске вложенного файла, ╚червь╩ получает управление и остается в памяти Windows как активная задача с именем ╚MYPICS╩. Затем он активизирует процедуру внедрения в систему, регистрируя себя в описанных ниже ключах системного реестра.

Закончив процедуру внедрения, ╚червь╩ приступает к распространению своих копий по Интернет. Эта особенность подчеркивает его схожесть с обнаруженным в конце марта макровирусом ╚Мелисса╩. I-Worm.MyPics открывает базу данных почтовой программы Outlook, считывает из ее адресной книги до 50 адресов электронной почты и, незаметно для пользователя, рассылает свои копии этим получателям. Червь не рассылает свои копии дважды на один и тот же адрес. Для этого он проверяет наличие в системном реестре первого из указанных выше ключей.

Червь имеет крайне опасную процедуру, которая активизируется в 2000 году: в файл C:\AUTOEXEC.BAT записываются команды, которые форматируют диски C: и D:. Кроме того, создается и запускается файл C:\CBIOS.COM, который портит содержимое CMOS-памяти.

Обнаружить присутствие ╚червя╩ на компьютере можно следующим образом:

1) просмотреть список активных задач при помощи одновременного нажатия клавиш ALT и TAB. ╚Червь╩ присутствует в памяти компьютера под именем ╚MYPICS╩;
2) проверить присутствие в корневом каталоге диска C: файла PICS4YOU.EXE, содержащего копию ╚червя╩;
3) проверить ключ системного реестра HKEY_CURRENT_USER\
Software\Microsoft\Office\  ╚jpgs2?╩. В случае присутствия ╚червя╩ на компьютере его значение будет ╚... by sfkwnty╩.
4) также проверить наличие следующих ключей системного реестра:
SOFTWARE\Microsoft\Windows\
CurrentVersion\Run ╚Creative╩ = ╚C:\Pics4You.exe╩ SOFTWARE\
Microsoft\WindowsNT\CurrentVersion\
Windows\Run ╚Creative╩ = ╚C:\Pics4You.exe╩

Признаком заражения также является изменение загрузочной (стартовой) страницы Интернет-браузера MS Internet Explorer на http://www.geocities.com/SiliconValley/Vista/8279/index.html.

Профилактика и лечение

Ни в коем случае не запускайте файл ╚PICS4YOU.EXE╩, содержащийся в сообщениях электронной почты. Помните, что ╚червь╩ может содержаться в письмах даже заслуживающих доверия источников, поскольку рассылает свои копии без ведома пользователя. Обновите антивирусные базы AntiViral Toolkit Pro (AVP). Процедуры обнаружения и удаления I-Worm.MyPics добавлены в очередное еженедельное обновление антивирусных баз.
http://www.kasperskylab.ru 


BubbleBoy вырвался на оперативный простор

Появился в ╚диком╩ виде Интернет-червь Bubble Boy. Ранее существовавший в коллекциях представителей компьютерного андерграунда, теперь он свободно распространяется по Интернет. Это означает, что пользователи должны быть максимально внимательны к обеспечению антивирусной безопасности.
BubbleBoy был обнаружен 10 ноября этого года. Он является первым известным ╚червем╩, способным распространяться по Интернет без использования вложенных файлов и проникать в компьютеры сразу же после прочтения зараженных писем электронной почты.
http://www.kasperskylab.ru    


Червяк Explore Zip

Вернулся и вновь путешествует по корпоративным сетям вирус-червь Explore Zip, известный своей способностью удалять огромное количество файлов. Новая версия получила название ╚Worm.ExploreZip (pack)╩. Он обладает мощной проникающей способностью, поскольку автор использовал для изготовления своего вируса формат сжатия ╚Neolite╩, позволяющий получить файлы с расширением *.pac, на борьбу с которыми корпоративное антивирусное ПО до сих пор не было рассчитано. Вирусу уже удалось поразить внутренние сети нескольких компаний, входящих в список 500 крупнейших мировых корпораций, составленный журналом Fortune.

Так же, как и печально известная ╚Мелисса╩, вирус ExploreZip является ╚червем╩, способным самостоятельно рассылать свои копии по адресам, содержащимся в адресной книге пораженной машины, и прибывает, как правило, от знакомого вам корреспондента. Вирус приходит по электронной почте в виде письма с файлом-приложением, который называется ╚zipped_files.exe╩. Само тело электронного сообщения, как правило, содержит следующий текст: I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs. (╚Я получил ваше письмо и отвечу на него, как только смогу, пока же взгляните на эти документы╩).
Если получатель открывает файл zipped_files.exe, вирус ╚червь╩ просматривает диски от C до Z, находящиеся на локальной машине и на всех машинах в сети. Он уничтожает данные в файлах с расширениями DOC, XLS, PPT, ASM, C, HA. Уничтоженные данные восстановлению не подлежат. Затем вирус автоматически рассылает себя всем адресатам, означенным в адресной книге жертвы. Вирус настолько активен, что может даже уничтожать файлы на машине, на которой установлено специальное антивирусное ПО, рассчитанное на борьбу именно с этим вирусом. Опасности подвергается любой пользователь, компьютер которого связан с другими в пределах корпоративной сети.

В системе ╚червь╩ прописывает себя двумя путями. Или под именем EXPLORE.EXE в системный каталог Windows (c:\windows\system), или как _SETUP.EXE в каталоге Windows (c:\windows). В обоих случаях ╚червь╩ добавляет запуск этих программ в конфигурационный файл WIN.INI (команда ╚run=╩). ╚Червь╩ имеет характерную особенность, позволяющую легко узнать о его присутствии на компьютере. Данные о его работе присутствуют в списке задач Windows, вызываемом посредством нажатия комбинации клавиш Ctrl-Alt-Del.
Для недопущения проникновения данного Интернет-червя на Ваш компьютер достаточно не запускать вложенный файл ZIPPED_FILES.EXE. Пользователи AntiViral Toolkit Pro (AVP) могут бесплатно получить внеочередное дополнение к антивирусной базе, содержащее процедуры обнаружения и удаления I-Worm.ZippedFiles.Packed, на сайте по адресу http://www.avp.ru 
http://www.kasperskylab.ru 


╚Лаборатория Касперского╩ выпустила версию антивирусной программы AntiViral Toolkit Pro (AVP) для ОС BSDi Unix

Пакет AVP для BSDi содержит два основных компонента: классический антивирусный сканер, запускаемый системным администратором вручную или при помощи внешнего планировщика и специальный антивирусный фильтр (AVP Daemon), являющийся разновидностью антивирусного сканера с оптимизированной структурой загрузки. AVP Daemon ориентирован для работы на WEB серверах, специализированных почтовых системах и межсетевых экранах, а также может использоваться для интеграции с различными продуктами сторонних производителей. Данная версия построена на том же антивирусном ядре (engine) (лицензированном для использования в антивирусных продуктах ряда крупных западных компаний), а также использует ту же антивирусную базу (обновляемую еженедельно), что и остальные продукты семейства AVP. В комплект поставки продукта включены услуги круглосуточной технической поддержки по телефону и электронной почте на русском и английском языках.
http://www.kasperskylab.ru 


6 декабря компания Symantec заявила о подключении в свое антивирусное ПО Norton AntiVirus средств защиты от нового вируса W97M.Prilissa.A.

Этот вирус, заразивший компьютеры во всем мире, поражает документы MS Word 97 и распространяется с помощью рассылки инфицированного документа по первым 50 адреса MS Outlook. Тема этого опасного сообщения такова: ╚Message From .╩, а текст сообщения звучит так: ╚This document is very Important and you-ve GOT to read this!!!╩ (╚Этот документ очень важен, вы должны его прочесть!╩). Когда инфицированный вирусом документ открывают, вирус отключает систему антивирусной защиты, систему запроса подтверждений конвертации файлов и список недавно использовавшихся файлов. Кроме того, вирус W97M.Prilissa.A проверяет системные часы и устанавливает время активизации. 25 декабря, при загрузке зараженных ПК, пользователи увидят окно со следующим сообщением: ╚Vine... Vide...Vice... Moslem Power Never End... You Dare Rise Against Me... The Human Era is Over, The CyberNET Era Has Come!!!╩ Затем вирус помещает несколько цветных пятен в открытый документ, изменяет файл AUTOEXEC.BAT, прописывая в него команду форматировать диск C, а после перезагрузки системы выдает сообщение: ╚Vine... Vide... Vice... Moslem Power Never End... Your Computer Have Just Been Terminated By -= CyberNET =- Virus!!╩ Symantec идентифицирует W97M.Prilissa.A, как разновидность вирусов W97M.AntiSocial.G и W97M.Melissa. Пользователи пакета Norton AntiVirus могут загрузить последние обновления, включающие защиту от вируса W97M.Prilissa.A, с помощью встроенной функции LiveUpdate или с сайта Symantec по адресу:
www.symantec.com/avcenter/download.html  
http://www.symantec.com 


Управление безопасности гражданской авиации Австралии потребовало от всех компаний, так или иначе связанных с авиаперевозками, к 13 декабря представить подробный отчет о мерах, направленных на борьбу с Проблемой 2000 года. Те компании, которые не предоставят такого отчета в срок или же их отчет не будет признан удовлетворительным, будут отстранены от любой деятельности, связанной с авиаперевозками на период с 18:00 31 декабря 1999 года до 18:00 7 января 2000 года. Таких компаний в Австралии насчитали около 2000 и к настоящему моменту около 98% из них уже защитили свои законные права.


9 декабря компания Computer Associates International заявила о доступности своего антивирусного ПО InoculateIT Personal Edition 5.0 для ОС Windows 95, Windows 98 и Windows NT Workstation 4.0. Оно автоматически обнаруживает и уничтожает вирусы, находящиеся в обычных файлах и загрузочном секторе, макровирусы (инфицирующие документы, электронные таблицы и базы данных) и ╚червей╩. В новую версию включен ряд усовершенствований: возможность автоматической модернизации; улучшенная технология обнаружения вирусов; полная поддержка неанглоязычных сред; сканирование новых типов файлов (PowerPoint и RTF); поддержка Office 2000. InoculateIT Personal Edition 5.0 уже можно бесплатно загрузить с Web-сайта
http://antivirus.cai.com http://www.cai.com


30 ноября совет министров связи стран Европейского Союза одобрил закон, наделяющий цифровые подписи равными правами c рукописными. В соответствии с соглашением, в течение 18 месяцев страны-участники Европейского Союза должны ввести на своей территории необходимые законы. Ожидается, что вышеупомянутый закон даст мощный толчок развитию электронной коммерции на территории Евросоюза.


1 декабря выпущена новая версия ADinf32 v2.01. Исправлена ошибка в разборе больших сжатых файлов на разделах с файловой системой NTFS. На дисках с NTFS при переходе с версии 2.00 таблицы будут автоматически пересозданы. Добавлена поддержка магнитооптических дисков. Учтена недокументированная особенность формирования имен на разделах с файловой системой FAT под Windows NT. Дополнительную информацию можно получить на сервере http://www.ADinf.ru  


КОМПЬЮТЕР-ИНФОРМ ╧  23