1. Червь Davinia распространяется по электронной почте при помощи почтовой
программы MS Outlook. HTML/LittleDavinia (по другой кодификации) воздействует
только на компьютеры, на которых установлен текстовый редактор Word 2000. Это
HTML, VBS, e-mail и макровирус, написанный в Испании программистом, подписывающимся
как Onel 2 (автор вируса VBS/Loveletter употреблял имя Onel de Guzmn). Вирус
распространяется по электронной почте со следующими характеристиками:
пробел в поле Subject;
в поле сообщения содержится HTML-код вируса.
Механизм проникновения следующий. На компьютер приходит электронное письмо,
содержащее скрипт-программу, которая запускает окно Internet Explorer и соединяется
с хакерским Web-сайтом. Этот сайт содержит другую скрипт-программу, которая
открывает документ Word, находящийся на том же сайте. В этом документе содержится
макро-вирус, незаметно отключающий встроенную в MS Word защиту от макровирусов,
и пользователь не получает предупреждения о наличии в документе макросов. Для
этого червь использует обнаруженную в мае 2000 г. брешь в системе безопасности
под названием Office 2000 UA Control Vulnerability.
После этого червь получает доступ к MS Outlook и рассылает по адресам из адресной
книги электронное письмо, описанное выше. Таким образом, вирусная компонента
всегда находится на удаленном Web-сайте, а от компьютера к компьютеру пересылаются
лишь ссылки на него.
Деструктивное действие Davinia: уничтожает все файлы на всех обнаруженных
дисках, записывая на их место файл, при запуске которого выводится сообщение.
На данный момент служба технической поддержки Лаборатории Касперского не получила
ни одного сообщения об обнаружении Davinia в диком виде. Специалисты Лаборатории
уверены, что червь не представляет опасности, поскольку Web-сайт, использовавшийся
для внедрения вредоносного кода на компьютеры пользователей, был закрыт практически
сразу после его обнаружения.
Однако не исключена возможность появления новых версий, которые будут использовать
другие сайты. В связи с этим рекомендуется установить заплатку для MS Office,
закрывающую брешь в системе безопасности этого пакета, которая используется
червем. Заплатку можно загрузить с Web-сайта Microsoft.
2. Вирус W97M/Afeto распространяется по электронной почте, ищет на ПК пользователя
JPEG-файлы и посылает первый найденный им файл на другие компьютеры, вставляя
картинку в документ MS Word. В тексте данного документа содержится предложение
на португальском языке Para voces com afeto. Особенностью вируса является
то, что он сканирует не адресную книгу, а уже отправленные сообщения и повторно
отправляет зараженные им файлы именно по этим адресам. При этом тема сообщения
электронной почты и название присоединенного файла изменяются при каждой отправке.
Защита от вируса W97M/Afeto уже включена в InoculateIT. Ее можно найти по адресу:
http://antivirus.cai.com.
3. Интернет-червь Ramen атакует компьютеры с установленной ОС Red Hat Linux
6.2 или 7.0. Для незаметного проникновения он использует набор брешей под названиями
in.ftpd, rpc.statd и LPRng, обнаруженных и закрытых в период июня-сентября 2000
г. Эти бреши позволяют засылать исполняемый код на удаленный компьютер и
выполнять его там без вмешательства пользователя. Процедура работы: сначала
на компьютер засылается запрос, переполняющий внутренний буфер, так что код
червя получает системные привилегии и запускает командный процессор, который
выполняет последующие инструкции червя. Затем Ramen создает каталог /usr/src/poop,
куда потом копирует архив червя RAMEN.TGZ. После этого запускается Интернет-браузер
lynx, который загружает с удаленной машины RAMEN.TGZ, разархивирует его и запускает
основной файл START.SH. Червь не имеет каких-либо дополнительных деструктивных
действий, кроме замены содержимого всех файлов с именем INDEX.HTML на следующее:
RameN Crew
Hackers looooooooooooooove noodles.
Технические подробности о Ramen можно найти по адресу: (http://www.viruslist.com/viruslist.asp?id=4286&key=
00001000140000500000).
http://www.kasperskylab.ru
4. Червь Tqll-A (также известный под названием VBS/Tqll-A) распространяется
по электронной почте с New Year! в поле темы сообщения, с текстом Wow Happy
New Year! в поле сообщения, к которому также присоединен файл happynewyear.txt.vbs.
При исполнении Tqll-A инсталлирует и запускает в зараженной компьютерной системе
троянский вирус Backdoor/Psychware.G.Server, а затем рассылает свою копию в
виде присоединенного файла по всем зарегистрированным контактам в адресной книге
MS Outlook. Дополнительная информация о вирусе Tqll-A находится по адресу: http://ca.com/virusinfo/.
5. W32.Kriz это Windows 9x/NT вирус, заражающий портативные исполняемые
(PE) файлы Windows. После заражения ПК вирус становится резидентным и старается
заразить все файлы, открываемые пользователем или приложениями. Кроме того,
вирус модифицирует файл KERNEL32.DLL (что позволяет ему распространяться по
всей системе) и старается испортить некоторые PE-файлы, замещая их пустыми backup-файлами
(или файлами из инсталляционного пакета). 25 декабря вирус старается удалить
BIOS с компьютера (соответственно, препятствуя загрузке), что в большинстве
случаев вынуждает пользователя заменить свои аппаратные средства. Также вирус
переписывает файлы на всех доступных дисках, включая сетевые, флоппи и RAM.
По действию W32.Kriz очень похож на вирус W95.CIH.
20 декабря компания Symantec выпустила антивирусную программу для обезвреживания
вируса W32.Kriz (ее можно найти по адресу: http://www.symantec.com/avcenter).
http://www.symantec.com
6. DMSETUP.EXE это троянский вирус, загружаемый пользователем или рассылаемый
через IRC. Он инсталлируется без каких-либо проблем, однако перед окончанием
инсталляции на экране монитора ПК появляется диалоговая панель с сообщением
об ошибке. Вследствие этого пользователи считают, что по какой-то причине файл
загрузился некорректно.
DMSETUP.EXE может делать несколько своих копий в разных местах ЖД зараженного
ПК и генерирует копию файла MIRC.INI. Вследствие этого каждый раз, когда
пользователь зараженного ПК входит в чат, он может потерять контроль над
своим компьютером.
Хотя и существуют скрипты, которые осуществляют мониторинг портов,
используемых вирусами, и предупреждают пользователей об их внешнем применении
все равно они недостаточно эффективны. Поэтому пользователям следует
быть особенно осторожными при просмотре полученной электронной почты и
применять эффективное антивирусное ПО.
oxygen3_staff@pandasoftware.com
Лаборатория Касперского разъясняет
ситуацию, сложившуюся вокруг якобы разрушительных компьютерных вирусов California
IBM и Girl Thing. Лаборатория Касперского заявляет, что оба так называемых
вируса есть не что иное, как вирусная мистификация: они не представляют угрозы
для компьютеров, и более того, они попросту не существуют!
Обе мистификации написаны по стандартному сценарию и уже успели наделать шума
во многих странах Европы, в частности, существует их английская, нидерландская,
датская версии.
Суть мистификаций сводится к следующему. Пользователь получает письмо от знакомого
адресанта с пересылкой новости о якобы крайне опасном вирусе (например, California
IBM), против которого еще не существует защиты. Обычно в подобных сообщениях
содержится ссылка на известную компанию, как правило, не имеющую отношения к
антивирусам (например, Microsoft). Текст представляет собой однотипное предупреждение,
например, такое:
По сообщению Microsoft, эти вирусы обладают большой разрушительной силой, еще
большей, чем у вируса LOVE LETTER. Пока против них нет никакого антивируса.
Они пожирают всю информацию на ЖД, разрушают браузеры MS Internet Explorer и
Netscape Navigator. Ни при каких обстоятельствах не открывайте файлы с такими
названиями. Пока мало, кто в курсе. Перешлите это сообщение как можно большему
количеству ваших знакомых.
Лаборатория Касперского убедительно просит пользователей не поддаваться подобным
провокациям. При получении подобного письма рекомендуется его удалить.
Типичные черты вирусной мистификации:
1. Предупреждает о необыкновенно опасном вирусе, против которого нет защиты;
2. Ссылается на хорошо известную компанию, как правило, не связанную с
антивирусами;
3. Просит разослать информацию как можно большему количеству адресатов.
Практическое руководство по нейтрализации вирусных мистификаций можно найти
по адресу: http://www.kaspersky.ru/news.asp?tnews=0&nview=1&id=
115&page=3. http://www.kasperskylab.ru
Поправки
22 января компания Compaq выпустила патч, исправляющий проблему переполнения
буфера при Web-управлении (через Compaq Management Agents version 4.70) ее NT-серверами.
Патч находится по адресу: ftp://ftp.compaq.com/pub/softpaq/sp14001-14500.
Неприятная статистика
По данным компании Attrition из всех ОС в прошедшем году чаще всего взламывали
Windows NT (56%). На втором месте ОС Linux 12% взломанных серверов. Серверы
под Win2000 пострадали в 2% случаях от общего количества успешных хакерских
атак. http://www.attrition.org/mirror/attrition/os.html#ALL
И утешительные прогнозы
По мнению экспертов аналитического агентства Gartner Group, появления первых
серьезных вирусов в беспроводных устройствах стоит ожидать не ранее конца 2001
г. середины 2002 г. Подробнее на http://www.handy.ru/news/2001/jan/news3.html.
Безопасность бизнеса
По данным NUA Internet Survey
среди служащих Интернет-компаний и высокотехнологичных компаний стремительно
растет число алкоголиков и наркоманов. По мнению экспертов, среди способствующих
этому факторов высокая зарплата, ненормированный рабочий день и бурное развитие
экономики. Так как квалифицированных кадров не хватает, руководство закрывает
глаза на причуды сотрудников. http://www.netoscope.ru
По сообщению японского информационного
издания The Daily Yomiuri, количество аварий на дорогах за прошлый год удалось
сократить более чем вдвое. Специалисты связывают это с запретом властей на использование
мобильных телефонов во время управления автомобилем, который вступил в силу
в ноябре 1999 г. http://www.handy.ru/news/2001/jan/news74.html
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ. Свидетельство Эл 77-4461 от 2 апреля 2001 г. Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru
Лаборатория Касперского разъясняет
ситуацию, сложившуюся вокруг якобы разрушительных компьютерных вирусов California
IBM и Girl Thing. Лаборатория Касперского заявляет, что оба так называемых
вируса есть не что иное, как вирусная мистификация: они не представляют угрозы
для компьютеров, и более того, они попросту не существуют!