Реферат: Вирусы и их разновидности

Чтотакое вирусы?

Знаете, кто всё это придумал? Нет, неЧерчиль в восемнадцатом году. Всё гораздо прозаичнее. Как обычно, идею созданиякомпьютерных вирусов вышеупомянутым «козлам» подбросилписатель-фантаст Т. Дж. Райн. В одной из своих книг, опубликованной в США в1977 г., он описал эпидемию, за короткое время поразившую более 7000компьютеров. Причиной эпидемии стал компьютерный вирус, который передаваясь отодного компьютера к другому, внедрялся в их операционные системы и выводил ихиз-под контроля человека. Тогда, в 70-х, всё это казалось именно фантастикой.Безобидной и весёлой. Но уже через 10-15 лет как компьютерные сети, так иодиночные машины, стали поражать самые настоящие вирусы, созданные не природой,а человеком.
Компьютерный вирус — это всего-навсего программа, которая может копировать себяв другие программы, чтобы продолжать размножение, выполняясь вместе с ними и,возможно, совершать некоторые побочные действия от безобидных шуток додействий, ведущих к потере информации и полной остановке работы компьютера. Этоопределение дается скорее на интуитивном уровне, поскольку строгого определениякомпьютерного вируса пока не существует. Можно выделить только три основныхсвойства программ-вирусов: способность к саморазмножению, скрытность и способностьнести деструктивные действия. Авторами вирусов могут быть профессиональныепрограммисты, студенты и даже дети школьного возраста. Написать работающийвирус не составляет большого труда.

Почемуих надо бояться?

95% процентов всех вирусов — существа, вобщем, безобидные, которые просто размножаются на вашем диске, но иих тоже надо бояться. Ведь вы хотите иметь здоровые программы, которые неподведут вас никогда? Кроме того вам вряд ли понравится отдавать и без тогодрагоценное место на винчестере и в памяти совершенно ненужному балласту.Думаю, в этом вы со мной полностью согласитесь. Но кроме этих 95 процентов естьещё 5, которые вовсе не являются безобидными «амёбами», так каксовершают еще и какие-либо вредные действия: затирают файлы, шифруют диски ит.п. Убытки, понесённые человечеством из-за поведения заражённых машин с каждымгодом возрастают на порядки. Так, по данным исследований International ComputerSecurity Association (ICSA), за семь месяцев далёкого 1988г. компьютеры,принадлежащие фирмам-членам ассоциации, подверглись 300 массированным вирусныматакам, поразившим более 60 тыс. компьютерных систем, восстановление которыхпотребовало значительных материальных и временных затрат. А в последние тригода число заражений компьютерными вирусами ежегодно удваивается и в феврале1999 года достигло 88 случаев в месяц на каждую 1000 компьютеров по сравнению с21 случаем за тот же период 1997 года и 32 — за тот же период 1998 года. Почтиполовина из 300 опрошенных компаний пострадала от инфекций с заражением 25 иболее машин одним и тем же вирусом. Согласно данным исследовательской фирмыComputer Economics, на защиту информационных систем от вирусных атак в 1999 г.во всем мире было потрачено 12,1 млрд дол. Причем, в эту сумму входят толькозатраты на установленные антивирусные средства защиты, а не на восстановлениекомпьютерных систем, вышедших из строя из-за вирусов. В этом году (вы навернякаслышали или читали) прогремело уже несколько эпидемий: от повторного«Чернобыля» до злополучного «ILoveU», поразившего простонеимоверное количество сетей и машин по всему миру. И это не предел — с каждымднём появляются новые и новые экземпляры, среди которых становится всё меньшебезобидных шуток. И если раньше авторы вирусов писали их развлечения ради, тотеперь они «воюют» с производителями антивирусных средств, производявсё более изощрённые «бактерии». Сама угроза вирусов порождаетмногомиллиардный рынок соответствующих продуктов. Организации, хотя бы разподвергнувшиеся опустошительному нашествию вирусов, вряд ли впоследствии станутэкономить на антивирусном ПО. Сейчас ситуация с вирусами и антивирусаминапоминает гонку вооружений недавних времен. Почти каждый день появляются новыевирусы, а антивирусные компании выпускают дополнения к своим антивирусным базамданных. Этому не видно конца, но пока никто не придумал ничего лучше, чемрегулярное обновление антивирусного ПО. Вот и становись после этогофантастом… Впрочем, что придумано, то придумано, теперь надо не подавшегоидею ругать, а бороться с заразой. Причём бороться наиболее эффективно — предупреждая её.

Классификация вирусов.

Вирус может внедрится в файлы трехтипов: командные файлы (файлы с расширением ВАТ), загружаемые драйверы (файлы срасширением SYS или BIN в том числе IO.SYS MSDOS.SYS) и выполняемые двоичныефайлы (файлы с расширениями ЕХЕ, СОМ). Возможно внедрение вируса в файлыданных, но эти случаи возникают либо в результате ошибки вируса, либо припроявлении вируса своих агрессивных свойств. Конечно, возможно существованиевирусов, заражающих файлы, которые содержат исходные тексты программ,библиотечные или объектные модули, но подобные способы распространения вирусаслишком экзотичны.

Загрузочные (бутовые) вирусы заражаютзагрузочный (ВООТ) сектор флоппи-диска и ВООТ-сектор или Мaster-Boot сектор(MBR) винчестера. При инфицировании диска вирус в большинстве случаев переноситоригинальный Boot-Sector (или MBR) в какой либо другой сектор диска (например,в первый свободный). Если длина вируса больше длинны сектора, то в заражаемыйсектор помещается первая часть вируса, остальные части помещаются в другихсекторах (например, в первых свободных). Затем вирус копирует системнуюинформацию, хранящуюся в первоначальном загрузчике в свои коды и записывает ихв загрузочный сектор (для MBR этой информацией является Disk Partition Table,для Boot-сектора дискет _ BIOS Parametr block.)

Вирусы невидимки (Stealth)представляют собой весьма совершенные программы, которые перехватываютобращения DOS к зараженным файлам или секторам и подставляют вместо себя незараженныеучастки информации. Такие вирусы, использующие приемы маскировки, нельзяувидеть средствами операционной системы. Например, если просмотреть зараженныйфайл, нажав клавишу F3 в системе Norton Commander, то на экране будет показанфайл, не содержащий вируса. Это происходит потому, что вирус, активноработающий вместе с операционной системой, при открытии файла на чтениенемедленно удалил свое тело из зараженного файла, а при закрытии файла заразилего опять.

Полиморфные вирусы иливирусы-«призраки». Достаточно трудно обнаруживаемые вирусы, неимеющие постоянных сигнатур (масок), т.е. не содержащие ни одного постоянногоучастка кода. В большинстве случаев два образца одного и того жевируса-призрака не будут иметь ни одного совпадения.
Это достигается шифрованием основного тела вируса и модификациямипрограммы-расшифровщика.

Действия против вируса в заражённомкомпьютере.

Если AVP выдал сообщение о подозрениина заражение какого-либо объекта вирусом, то сделайте следующее:

·        скопируйтеподозрительные файлы на дискету обычным способом, если подозрение выдано накакие-либо файлы;

·        скопируйте системныесектора, содержащие Boot-сектор (загрузочный сектор), Master Boot Record(главную загрузочную запись), Partition Table (таблицу разбиения диска), с помощьюспециальных программ (например Norton Disk Edit), если подозрение выдано насистемные сектора;

·        каким-либо образомдоставьте подозрительные объекты дистрибьютерам (дилерам), у которых Выприобрели AVP, или непосредственно в Лабораторию Касперского.

Резидентный вирус при заражениикомпьютера оставляет в оперативной памяти свою резидентную часть, которая затемперехватывает обращение системы к объектам заражения (файлы и загрузочныесектора) и внедряется в них. Резидентные вирусы находятся в памяти и являютсяактивными вплоть до выключения или перезагрузки компьютера (в прочем некоторыевирусы могут «пережить» перезагрузку). Нерезидентные вирусы незаражают оперативную память компьютера и являются активными ограниченное время.Некоторые вирусы оставляют в памяти небольшие резидентные программы, которые нераспространяют вирус. Такие вирусы считаются нерезидентными.

По особенностям алгоритма можновыделить следующие группы вирусов:

·        Вирусы-спутники — этовирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, чтоони создают для ЕХЕ файлов файлы-спутники, имеющие такое же имя, но срасширением СОМ. Вирус записывается в СОМ файл и никак не изменяет ЕХЕ файл.При запуске такого файла DOS первым обнаружит и выполнит СОМ файл то естьвирус, который затем запустит и ЕХЕ файл.

·        Вирусы-черви — вирусы,которые распространяются в компьютерной сети и, так же как и вирусы спутники,не изменяют файлы или сектора на дисках. Они проникают в память компьютера изкомпьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают поэтим адресам свои копии.

·        Паразитические — всевирусы, которые при распространении своих копий обязательно изменяют содержимоедисковых секторов или файлов. В эту группу попадают все вирусы, которые неявляются червями или спутниками.

·        Студенческие — крайнепримитивные, часто не резидентные и содержащие большое число ошибок.

·        Стелс-вирусы (вирусы-невидимки), представляющие собой весьма совершенные программы,которые перехватывают обращения ДОС к зараженным файлам или к секторам иподставляют вместо себя не зараженные участки информации.

·        Вирусы-призраки (полиморфные) достаточно трудно обнаруживаемые вирусы, не имеющиепостоянных сигнатур (масок), т.е. не содержащие ни одного постоянного участкакода. В большинстве случаев два образца одного и того же вируса-призрака небудут иметь ни одного совпадения. Это достигается шифрованием основного телавируса и модификациями программы-расшифровщика.

Поскольку неизвестны случаи инфицирования IBM-совместимых компьютеров сетевыми«червями», а вирусы-«спутники» имеют, как правило, оченьпростой алгоритм и составляют менее 0.5 процента от известных вирусов, торассматриваются только вирусы, относящиеся к «паразитическим».

Симптомы наличия вируса.

Основные симптомы вирусного пораженияследующие:

·        Замедление работынекоторых программ.

·        Увеличение размеровфайлов (особенно выполняемых).

·        Появление несуществовавших ранее странных файлов.

·        Уменьшение объемадоступной оперативной памяти (по сравнению с обычным режимом работы).

·        Внезапно возникающиеразнообразные видео и звуковые эффекты.

При всех перечисленных вышесимптомах, а также при других странных проявлениях в работе системы(неустойчивая работа, частые самостоятельные перезагрузки и прочее) мынастоятельно рекомендуем Вам, немедленно произвести проверку Вашей системы наналичие вирусов с помощью AVP. При этом лучше, если программа будет иметь самуюпоследнюю версию и самые свежие обновления антивирусных баз.

Предохранения и способ лечения от вирусов.

WScript.KakWorm — это не совсем вирус,а интернет червь, причем способ его распространения достаточно хитрый. Онраспространяется по электронной почте, но зараженное письмо не содержитвложения, заражен сам текст письма. Т.е. однажды открыв письмо (или если у Васвключен режим предпросмотра, то просто установив курсор на письмо) Вы заражаетеВаш компьютер. Более полную информацию по этому червю Вы можете прочитать ввирусной энциклопедии.

Удаление:

Если Ваш компьютер еще не заражен KakWorm'ом (т.е. Вы не открывали зараженноеписьмо) то чтобы избавиться от червя надо сделать следующее:

отключить режим предпросмотра в почтовой программе;
временно деактивировать AVP Монитор;
запустить почтовую программу;
удалить зараженное сообщение из всех папок (не открывая его);
сжать все папки;
активировать AVP Монитор.

Если Ваш компьютер уже заражен KakWorm'ом, то придется сделать следующее:

Выключить режим предпросмотра в почтовой программе.
Удалить из ветки «HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun»системного реестра ключ «cAg0u = „C:WINDOWSSYSTEM(name).hta“,где „(name)“ — это 8-символьное имя (например 68DAEF80.HTA).
Перегрузить компьютер.
Удалить следующие файлы:
KAK.HTA из C:Windows
KAK.HTM из C:WindowsSystem
(name).HTA из C:WindowsSystem, где (name) — это 8-символьное имя
KAK.HTA из C:WindowsStart MenuProgramsStartup
Удалить подпись по умолчанию в почтовом клиенте.
Удалить все зараженные сообщения из всех папок (как это описано выше).

При инсталляции червьI-Worm.PrettyPark копирует зараженный файл в системный каталог Windows подименем FILES32.VXD и регистрирует его в системном реестре таким образом, чтофайл FILES32.VXD запускается при старте каждой программы. Для этого червьсоздает в системном реестре новый ключ, который ключ ассоциирован с файломFILES32.VXD (копией червя). Этот файл имеет расширение VXD, однако он являетсяне VxD-драйвером Win95/98, а абсолютно нормальной программой Windows32.

Чтобы полностью избавиться от PrettyPark надо сделать следующее:

переименовать regedit.exe в regedit.com;
запустить regedit и установить
»HKEY_CLASSES_ROOTexefileshellopencommand" в ""%1"%*";
запустить AVP и пролечить компьютер;
переименовать regedit обратно.

При инсталляции в систему червьсоздает в системном каталоге Windows файлы SKA.EXE и SKA.DLL и сохраняет файлWSOCK32.DLL с именем WSOCK32.SKA и дописывает сегмент своего кода в файлWSOCK32.DLL.

Удаление зараженных файлов:

Необходимо удалить файлы SKA.EXE и SKA.DLL из системного каталога Windows,заменить инфицированный файл WSOCK32.DLL на его незараженную копию WSOCK32.SKA.Следует также найти и удалить первоначальный EXE-файл HAPPY99.EXE.


Для дальнейшей защиты компьютера от данного червя достаточно всего лишьустановить атрибут «только чтение» у файла WSOCK32.DLL. Червь не всостоянии заразить систему в этом случае, поскольку он не обрабатывает атрибутыфайлов.

<img src="/cache/referats/11291/image001.gif" v:shapes="_x0000_s1034">

Антивирусныепрограммы

Если вы любитель новых программ,игрушек, ведете активную переписку по электронной почте и используете при этомWord, либо просто хотите следовать вышеуказанным правилам, вам необходимоиспользовать антивирус. Какой антивирус самый лучший? Всё зависит от вашихвкусов и предпочтений, так что решайте сами. Есть несколько параметров, покоторым различные антивирусы можно сравнить между собой. Судя по собственному опытуих использования и мнениям специалистов, антивирусная программа, достойная кприменению, должна «уметь»:

·        создавать аварийнуюдискету;

·        сканироватьзагрузочный сектор и создавать копию исходного загрузочного сектора;

·        сканировать файлы,включая архивные (.ARJ, .ZIP, .RAR);

·        сканироватьоперативную память;

·        автоматическисканировать диск по заранее заданному расписанию;

·        проверять файлы при ихпоступлении на компьютер и при обращении к дисковому или сетевому устройству,сканировать эти устройства в поисках вирусов;

·        при перезагрузкепроверять, не осталась ли в дисководе дискета, и предупреждать об этомпользователя;

·        сканировать диск вфоновом режиме;

·        обнаруживатьмакро-вирусы в документах Word и Excel;

·        регистрироватьрезультаты просмотра в виде отчета на экране или в распечатке.

Список не маленький, но обязательный.Иначе толку от такой программы не будет никакого. Кроме вышеперечисленногоантивирус должен быть надежен, быстр и удобен в работе (отсутствие«зависаний» и прочих технических проблем), качественно обнаруживатьвирусы всех распространенных типов, не иметь «ложных срабатываний»,обладать возможностью лечения зараженных объектов, периодически (чем чаще, темлучше) обновляться (пополнять базу новыми вирусами), быть мультиплатформенным (DOS,Windows, Windows95, Windows NT, Novell NetWare, OS/2, Alpha, Linux и т.д.) ииметь возможность администрирования сети.
На сегодняшний день существует несколько ведущих антивирусных пакетов:российские Antiviral Toolkit Pro лаборатории Евгения Касперского (www.avp.ru) иDr. Web от «ДиалогНауки» (www.drweb.ru), а также западные McAfeeTotal Virus Defence от Nеtwork Associates (www.macafee.com), Norton AntiVirusот Symanteс (www.symantec.com) и некоторые другие.
Тема выбора антивируса требует отдельного разговора, поэтому в следующем номеремы подробно остановимся на последних версиях этих продуктов, разберём все ихпреимущества и недостатки, и даже проведём некоторые тесты. До встречи черезмесяц. Предохраняйтесь и не болейте!

Новые вирусы.

www.kaspersky.ru

<img src="/cache/referats/11291/image002.gif" v:shapes="_x0000_s1035">
8-12-2001 Эпидемия интернет-червя Goner

<img src=«www.semsk.kz/images/white_emp.gif» v:shapes="_x0000_s1027">

Мировая эпидемия Интернет-червя Goner (другие названия — Gone и Pentagone) началась на этой неделе во вторник 4 декабря. Начало былодовольно бурным, так что некоторые эксперты поспешили предупредить население,что этот вирус по нанесенному им материальному ущербу может оставить далекопозади печально известный вирус Love Bug. В принципе основания для этого были:этот вирус удаляет с зараженного компьютера антивирусные и другие защитныепрограммы и оставляет компьютер на растерзание хакерам и другим вирусам.

Но по прошествии нескольких дней стало ясно, что не все так страшно. По всейвидимости, многочисленные вирусные эпидемии чему-то все-таки учат пользователейПК. По оценкам компании Computer Economics, вирус Love Bug, появившийся в 1999году, посетил по всему миру 40 млн компьютеров и заразил из них 4,5 миллиона, аобщий ущерб от его деятельности составил около 8,75 млрд дол. По данным этой жекомпании, с минувшего вторника вирус Goner получили по электронной почте иличерез ICQ 800 тысяч обладателей компьютеров по всему миру, но заразились из нихтолько 7%, то есть только 56 тысяч человек по небрежности или недомыслиюзапустили присланный файл на исполнение. К тому же после вируса Love Bugантивирусные компании добавили в свои защитные программы целый ряд функций поавтоматической очистке от вирусов (особенно в ПО для корпоративных компьютерныхсетей, где полагаться на сознательность и подкованность рядовых пользователейбыло бы очень наивно). Так что о миллионах заразившихся! говорить рановато, иущерб от вируса Goner пока составляет порядка 5 млн дол.

То есть ему далеко и до чемпиона Love Bug, и до призеров (вирус Code Redобошелся миру в 2,6 млрд дол., SirCam стоил около 1 млрд дол., а Nimda — 590млн дол.).

Но расслабляться, конечно же, нельзя, ведь вирусописатели не дремлют ипостоянно придумывают что-то новое и изощренное.

8-12-2001 Informer.ru представляет антивирусныйонлайн-сервис

<img src=«www.semsk.kz/images/white_emp.gif» v:shapes="_x0000_s1028">

Число онлайновых сервисов Рунета пополнилось антивируснымприложением. Компания AV-online ипортал Informer.ru объявилио запуске совместного проекта. Теперь пользователи Сети смогут бесплатноустановить на своих сайтах информер, с помощью которого возможна удаленнаяпроверка файлов на наличие вирусов. Посмотреть, как выглядит новый информер,можно здесь .

Алгоритм работы сервиса будет следующим: файлы, предназначенные для проверки,при помощи информера загружаются на сервер AV-online, где средствами пакетаDrWeb осуществляется их проверка. Помимо процедуры проверки, пользователи такжесмогут получить доступ к статистике файлов, прошедших проверку.

Собственную серию информеров предложила «Лаборатория Касперского» . В состав этойсерии вошли информеры, содержащие новости компании, новости проекта VirusList.com ,рейтинг top10 вирусов и перечень наиболее активных вирусов дня.

Комментируя внедрение нового сервиса и новостных информеров, руководительпроекта Informer.ru Елена Митькина заявила следующее: «Сервис AV-online, впервую очередь, ориентирован на администраторов интернет-проектов. С егопомощью порталы, осуществляющие обмен файлами (почтовые сервисы), смогуторганизовать их автоматическую проверку на наличие вирусов, что, несомненно,будет оценено пользователями. Что касается информеров „ЛабараторииКасперского“, то они, безусловно, будут полезны владельцам информационныхпроектов, специализирующихся на вопросах сетевой безопасности и распространениивирусов».

8-12-2001 Новый Интернет-червь I-Worm.Updater

<img src=«www.semsk.kz/images/white_emp.gif» v:shapes="_x0000_s1029">

Российский разработчик систем антивирусной защиты компания«Лаборатория Касперского» сообщила об обнаружении новогоИнтернет-червя I-Worm.Updater. Уже зафиксировано несколько заражений этимвирусом.

Новый Интернет-червь «Updater» написан на языке программированияVisual Basic и представляет собой EXE-файл размером около 12 килобайт,упакованный утилитой сжатия UPX. Распространяется он по электронной почте черезпочтовую программу Outlook, рассылая письма со своими копиями по всем адресамиз адресной книги зараженного компьютера.

Вариантов оформления письма с вирусом Updater несколько. Строка«Тема» состоит из четырех частей и случайным образом формируется изследующего списка:

Часть 1: «Have you », «You Should », «Just »,«Why Not you », «How to », «Re: », «Fwd:», " "
Часть 2: «Check », «Check out », «Watch out »,«Open », «Look at »
Часть 3: «this », «my », «For this », «The»
Часть 4: «Picture», «Program», «Patch»,«Nude pic», «Report», «Documment»,«Quotation», «Transaction», «Bank Account»,«WTC Tragedy», «Osama Vs Bush», «Account»,«Private Pic»

Например: You Should Look at this Osama Vs Bush

Тело письма имеет следующий вид:

Hi:
This is the file you ask for, Please save it to disk and open this file, it'svery important.

Вложенный файл-носитель червя может иметь имена: «Setup.EXE»,«install.exe», «Readme.exe», «Files.exe»,«Picture.exe», «Quotation.Doc.exe»,«Letter.Doc.exe», «Picture.jpg.exe»

«Updater» имеет неприятное побочное действие. Он создает вредоноснуюскрипт-программу UPDATE.VBS, записывает ее в каталог автозагрузки Windows изапускает на выполнение. Эта программа ищет на диске файлы с расширением .EXE,.DOC и .VBS и создает для них файлы-компаньоны, содержащие копию червя. Этифайлы-компаньоны имеют те же имена, что и оригинальные файлы плюс«второе» расширение .VBS. Например: MPLAYER.EXE.vbs REPORT.DOC.vbs

Рекомендации пользователям не отличаются оригинальностью: не открывать файлов(особенно исполняемых), прикрепленных к подозрительным письмам.

6-12-2001 Internet-червь Gone удаляет антивирусныепрограммы и распространяется как лесной пожар

<img src=«www.semsk.kz/images/white_emp.gif» v:shapes="_x0000_s1030">

Антивирусные компании распространили сообщение о появлениинового вируса-червя под названием Gone (другие названия: Pentagone и Goner).Несмотря на то, что вирус этот совсем не отличается замысловатостью,распространяется он очень быстро. Английская компания MessageLabs заявила, что еепочтовая служба блокировала уже более 23 тысяч копий этих вирусов. По даннымэтой компании, вчера во второй половине дня в Великобритании зараженныеэлектронные письма приходили со скоростью 100 штук в минуту.

Он приходит по электронной почте в присоединенном к письму файле с названиемGone.scr, то есть он замаскирован под скринсейвер. В заголовке письма стоитвсего одно слово: «Hi». Текст в теле письма следующий: «How areyou? When I saw this screen saver, I immediately thought about you. I am in aharry, I promise you will love it!» («Привет, когда я увидел этотскринсейвер, я сразу же подумал о тебе. Сейчас мне некогда, но я обещаю, что онтебе понравится»). Распространяется вирус только через почтовую программуMicrosoft Outlook на компьютерах с ОС Windows, на остальных он не действует.

На зараженном компьютере вирус Gone останавливает работу большинстваантивирусных и защитных программ и удаляет все файлы из папок, содержащих этиприложения. В частности, вирус находит и удаляет антивирус AVP от «ЛабораторииКасперского» и защитные программы ZoneAlarm производства Zone Labs и BlackIce от Internet Security Systems.

Сняв защиту с компьютера, вирус открывает диалоговое окно со своим именемPentagone и именами создателей, а также с благодарностями пользователямИнтернет. Затем вирус устанавливает на компьютер программу «черногохода», которая может быть использована хакером для организации атак типа«отказ в обслуживании» против серверов IRC-чата.

Вирус пытается распространяться по электронной почте и через чат-программу ICQ.По почте он рассылает свои копии по всем адресам из адресной книги, а в ICQ он- по всем пользователям из списка контактов.

Антивирусные компании настоятельно рекомендуют пользователям обновить своеантивирусное ПО и не открывать писем, подпадающих под вышеупомянутое описание.

6-12-2001 Новый вирус поражает почту и ICQ

<img src=«www.semsk.kz/images/white_emp.gif» v:shapes="_x0000_s1031">

Червь Goner распространяется по электронной почте.Зараженные письма имеют следующий вид:

Тема письма: «Hi»
Тело письма: «How are you?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!»
Вложенный файл: GONE.SCR.

Для активизации «Goner» пользователь должен самостоятельно запуститьфайл-носитель червя (GONE.SCR), после чего начинается процедура внедрениявредоносного кода на компьютер жертвы. Для этого «Goner» записываетсвою копию в системный каталог Windows под тем же именем (GONE.SCR) ирегистрирует этот файл в секции автозагрузки системного реестра Windows. Такимобразом, червь автоматически запускается при каждой перезагрузке операционнойсистемы.

Затем «Goner» начинает процедуру распространения по сети Интернет.Для этого одновременно используются два канала передачи данных: электроннаяпочта и популярный Интернет-пейджер ICQ. Для распространения по электроннойпочте червь получает доступ к почтовой программе Microsoft Outlook, создаетписьмо, содержащее зараженный файл GONE.SCR и незаметно для пользователярассылает его по всем получателям из адресной книги Outlook.

«Goner» также пытается рассылать свои копии при помощиИнтернет-пейджера ICQ. Для этого он постоянно отслеживает список активных(online) пользователей и периодически пытается передать им файл-носитель червя.Для сокрытия своего присутствия в системе и несанкционированной работы с ICQ«Goner» постоянно сканирует имена вновь появившихся окон и закрываетслужебные окна ICQ.

Помимо распространения по Интернет червь также проводит атаку на IRC-канал#pentagonex через сервер twisted.ma.us.dal.net. Для достижения этой цели назараженном компьютере незаметно запускается вредоносная скрипт-программа,которая с помощью клиента mIRC регулярно создает в этом канале пользователей сослучайными именами. В некоторых случаях это может привести к перегрузке сервисаи, безусловно, нервирует других участников IRC-канала.

Специалисты «Лаборатории Касперского» считают, что эпидемия«Goner» скоро пойдет на убыль. Обычно в первые часы появления новоговируса наблюдается резкий всплеск его активности, но через 2-3 дня он идет наубыль. Данный вирус не использует никаких нестандартных методов проникновенияна компьютеры, поэтому, скорее всего, вскоре его эпидемия затихнет.

<img src=«www.semsk.kz/images/white_emp.gif» v:shapes="_x0000_s1032">

NB!

P.S. Когда верстался номер, пришлосообщение, что Ассоциация SANS Institute опубликовала перечень десяти самыхненадежных звеньев компьютерной защиты. В их число, в частности, попали крайнеуязвимые программы Common Gateway Interface, модули расширений, устанавливаемыена Web-серверах, и ненадежный sendmail. Одновременно опубликованы и пять самыхопасных ошибок, которые совершают пользователи. Среди них, бесспорно, лидируетчтение присоединенных файлов в сообщениях электронной почты, полученных отнеизвестных адресатов. Оба рейтинга опасностей можно найти в Сети по адресу www.sans.org/topten.htm