Компания Sophos каждый
месяц проводит статистические исследования
распространенности различных вирусов в диком
виде. По данным последнего исследования, первое
место сейчас занимает вирус WM97/Ethan. Он
упоминается в 12.6% сообщений об обнаружении
вирусов. Второе место по популярности занимает
вирус WM97/Class-ED 11.3% сообщений, третье место
вирус WM97/Marker-O (6.2%), который в ноябре занимал пятую
строчку в рейтинге. Знаменитый вирус WM97/Melissa-AG в
ноябре занимал 4-е место, а в декабре переместился
на шестое (4.1%). Все эти вирусы относятся к классу
макровирусов (Word Macro, WM), поражающих Word-документы.
Как заявил ведущий консультант Sophos Грэхем Клули
(Graham Cluley), если большинство пользователей станет
вместо Word-документов использовать RTF-файлы, то
электронный мир стал бы более безопасным.
Компания F-Secure, не
так давно известная под названием Data Fellows,
опубликовала предупреждение о новом вирусе под
названием Pri. Этот вирус имеет и другое название
PSD. Это полиморфный макровирус документов Word 97,
который активизируется при открытии зараженного
файла. После начала работы вирус проверяет, не
заражен ли общий шаблон документов, и если нет, то
делает это сам, при этом сам вирус
модифицируется. Встречается и вариант этого
вируса, который называется Pri.B, в отличие от
оригинала Pri.A. По сообщению F-Secure, вирус Pri.B очень
похож на Pri.A, но добавляет определенный код в меню
Tools/Macros/Visual Basic Editor, в результате чего редактор MS
Word закрывается сразу же после сохранения любых
изменений. Есть и еще одно отличие. Когда вирус
Pri.A заражает общий шаблон, он заражает и все
документы, которые будут закрыты после этого.
Кроме того, вирус блокирует меню Tools/Macros/Visual Basic
Editor. Затем вирус Pri.A проверяет время на
системных часах компьютера, и если число часов
равно числу минут, то вирус рассеивает по
открытому в данный момент документу 10 фигур
различной формы и цвета. При работе вируса Pri.B
число этих фигур может быть произвольным. По
сообщению F-Secure, вирус Pri активизируется 25
декабря. В этот день он переписывает файл
C:\Autoexec.bat и вносит в него команду о немедленном
переформатировании диска C: сразу после
перезагрузки системы. Как и многие другие
макровирусы этого типа, вирус Pri рассылает себя
по первым 50 адресам, записанным в адресной книге
пользователя.
Вирус
типа червь JS/The_Fly распространяется через Outlook
(рассылает себя во все алиасы адресной книги),
через IRC (Internet Relay Channel) посредством инфицирования
INI файла расширениями mIRC клиентов; через Pirch98
(используется для рассылки вируса всем IRC
пользователям, подсоединенных к тому же каналу,
что и инфицированный компьютер).
Вирус JS/The_Fly относительно безвреден, хотя при
определенных условиях может обрушить почтовые
серверы. Червь проявляется, как сообщение
электронной почты с названием Funny Thing и
следующим текстом: If you ride a motorcycle, close your mouth
(При гонках на мотоцикле закрывайте рот). К
сообщению присоединен файл The_Fly.CHM.
При исполнении вирус проверяет, разрешена ли
работа ActiveX. Если нет, то на мониторе отображается
следующее сообщение: The picture couldnt be shown. ActiveX wasnt
allowed, please reload and select to use it. (Картинка не может
быть отображена. Работа ActiveX не разрешена,
пожалуйста, перезагрузитесь и задайте режим его
использования).
В свою очередь, если работа ActiveX разрешена, то
вирус JS/The_Fly отобразит на мониторе файл The Fly.Jpg.
Затем JS/The_Fly копирует себя в директорию C:\windows под
названием The_Fly.CHM и в директорию C:\windows\system под
названием DXGFXB3D.DLL. Хотя у последнего файла
расширение DLL, он является всего лишь копией
самого себя.
После этого он создает файл MSJSVM.JS и вставляет
его в регистратор Windows таким образом, что этот
файл активизируется каждый раз при включении
компьютера (создается точка входа HKEY_LOCAL_
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).
Затем JS/The_Fly следует в регистратор Windows и
проверяет, инсталлированы ли mIRC и Pirch98. Если да, то
инфицируются все INI файлы. В mIRC он копирует свой
код в файл SCRIPT.INI, а в PIRCH98 заражает файл
EVENTS.INI. Таким образом, обеспечивается рассылка
вируса всем IRC пользователям, подсоединенных к
тому же каналу, как и уже зараженный ПК.
Как только MSJSVM.JS инсталлирован в
регистраторе, JS/The_Fly проверяет, возможно ли
использовать Outlook для рассылки сообщений
электронной почты по всему списку адресов в
алиасе адресной книги зараженного ПК. Если это
возможно, то такие сообщения создаются и
рассылаются.
Для предотвращения заражения вирусом JS/The_Fly
рекомендуется не исполнять любые файлы,
присоединенные к сообщениям электронной почты,
пришедшей из неизвестного источника, и обновить
свою антивирусную базу.
Происшествия, суды, скандалы
Компания Microsoft проиграла судебный процесс в
Китае против местной фирмы, которую обвинила в
распространении пиратского ПО. По приговору суда
Microsoft, как проигравшая сторона, заплатит судебные
издержки в размере 500 юаней (около $60). Суд в своем
приговоре констатировал, что Microsoft не
представила веских доказательств того, что
компания Beijing Yadu Science and Techno-logy Group пиратски
использовала ПО производства Microsoft. Как
сообщается, сотрудники правоохранительных
органов обнаружили на компьютерах в офисе Beijing Yadu
Science более 35 комплектов нелегальных копий ПО от
Microsoft. А инженеры, работающие в этом здании,
сказали, что нелегально полученное ПО было
установлено на 50 компьютерах.
Четыре
российских эмигранта были признаны виновными в
США в рассылке спама и мошенничестве. 14 сентября
ими были разосланы более 50 млн писем по адресам
пользователей, ищущих работу. Предприимчивые
россияне хотели получить за трудоустройство на
надомную работу по $35 с каждого обратившегося к
ним клиента. Адвокат обвиняемых заявил, что
сначала спамеры хотели открыть легальный бизнес,
но потом их планы изменились. В результате
проведенной кампании россияне получили чеки от
5000 человек на сумму от $150000 до $200000.
Последнее
время ряд правительственных и
неправительственных организаций
заинтереосвался правомерностью использования в
коммерческих целях информации, которую
пользователи Интернет оставляют о себе, заполняя
специальные опросные анкеты (так называемые
cookies). Многие онлайновые компании, опрашивающие
посетителей на своих сайтах, задают
разнообразные вопросы: какие сайты они посещают
или планируют посетить; какие новости читают и
даже какие медицинские обследования проводят.
Вся эта информация сохраняется в базах данных. С
помощью таких анкет изучается активность
пользователей Интернет, а также некоторые их
привычки и предпочтения при покупках.
Потребители закономерно опасаются того, что
частная информация о них может свободно
распространяться по Интернет. Федеральная
Торговая Комиссия даже сформировала комитет для
изучения этого вопроса.
Вице-президент одной из таких онлайновых
компаний (DoubleClick) Дэвид Розенблатт (David Rosenblatt)
фактически признал, что у его компании есть все
физические возможности для генерации любых
отчетов со сведениями о потребителях. Компания
.Com Group (также занимающаяся электронным
анкетированием потребителей), считает, что
существующие методы опроса пользователей
Интернет серьезно нарушают их права на
сохранение конфиденциальности частной
информации. В связи этим многие онлайновые
компании стали уделять больше внимания
сохранению приватности информации о
потребителях. Например, America Online недавно заявила,
что не собирается больше использовать данные о
привычках пользователей Интернет в своей
деятельности (однако она оставила за собой право
сохранять информацию о своих пользователях).
Компании Intel, Microsoft и IBM заявили о том, что они
уберут опросники, нарушающие конфиденциальность
информации о потребителях, со своих сайтов. http://TheDotComGroup.com
Безопасность
Принадлежащая
America Online компания Netscape подтвердила, что дефект
защиты позволяет хакерам взламывать пароли
компонента электронной почты веб-браузера
Communicator. Два инженера компании Reliable Software Tech-nologies,
специализирующейся на защите ПО, провели 8 часов
за восстановлением математического алгоритма,
используемого в Netscape Messenger для шифрования
паролей пользователей. Это позволило им найти
ключ к расшифровке этих паролей для всех
существующих версий Communicator. Представительница
Netscape не посчитала эту проблему серьезной и дала
понять, что компания не занимается ее
устранением. По ее словам, это средство хранения
паролей встроено в браузер исключительно для
удобства. В целях защиты пароли обычно
маскируются пробелами или звездочками. Лучше
всего, посоветовала она, не допускать к своему
компьютеру посторонних. Похоже, самым надежным
средством защиты от хакеров является выключение
компьютера, и большинство компаний не торопится
менять такое положение вещей.
Обнаружен
люк, оставленный компанией Intel в InBusiness Email Station,
специфическом серверном устройстве,
предназначенном для установки сервисов
электронной почты. Этот люк позволяет с
удаленного компьютера удалять файлы
пользователя и получать полный контроль над
функциями работы с электронной почтой. По словам
Мики Фуллера (Micki Fuller), люк был оставлен для
экстренного вмешательства компании в случае,
если пользователь столкнется с серьезными
неполадками в работе устройства. Сообщение о
люке было открыто и опубликовано на сайте www.rootshell.com После
того, как Фуллер признал наличие люка в системе,
он заявил, что Intel работает над кодом, позволяющим
закрыть дыру в безопасности.
16
декабря компания Software Munitions открыла Web-сайт www.badecommerce.com , на
котором вывешен рейтинг безопасности транзакций
некоторых сайтов электронной коммерции. Как
известно, при приобретении различных товаров
через Интернет покупатель заполняет различные
анкеты, оставляя о себе подробную информацию:
имя, адрес, данные о кредитной карте. Web-браузер
электронного магазина преобразует эту
информацию в группы пакетов и шифрует ее по
определенному алгоритму (заданному на сайте).
Существующие в настоящее время алгоритмы
шифрования достаточно устойчивы к дешифровке
(иногда для этого требуются многие годы). Тем не
менее, не во всех электронных магазинах
поддерживаются достаточно надежные средства
шифрования данных. Поэтому любому онлайновому
покупателю будет интересно взглянуть на рейтинг
безопасности транзакций в различных онлайновых
магазинах. Помимо всего прочего, на сайте
www.badecommerce.com можно найти рекомендации по
конфигурированию браузера для обеспечения
большей безопасности транзакций. Интересная
деталь значение рейтинга безопасности
транзакций в электронных магазинах можно узнать
и по телефону. http://www.software-munitions.com
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ. Свидетельство Эл 77-4461 от 2 апреля 2001 г. Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru
Компания Sophos каждый
месяц проводит статистические исследования
распространенности различных вирусов в диком
виде. По данным последнего исследования, первое
место сейчас занимает вирус WM97/Ethan. Он
упоминается в 12.6% сообщений об обнаружении
вирусов. Второе место по популярности занимает
вирус WM97/Class-ED 11.3% сообщений, третье место
вирус WM97/Marker-O (6.2%), который в ноябре занимал пятую
строчку в рейтинге. Знаменитый вирус WM97/Melissa-AG в
ноябре занимал 4-е место, а в декабре переместился
на шестое (4.1%). Все эти вирусы относятся к классу
макровирусов (Word Macro, WM), поражающих Word-документы.
Как заявил ведущий консультант Sophos Грэхем Клули
(Graham Cluley), если большинство пользователей станет
вместо Word-документов использовать RTF-файлы, то
электронный мир стал бы более безопасным. 
КОМПЬЮТЕР-ИНФОРМ