КОМПЬЮТЕР-ИНФОРМ Главная страница || Статьи 3'2000 || Новости СПб || Новости России || Новости мира
Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
(Продолжение. Начало - в # 2'2000)
8. Win32/H4.1852 заражает пользователей во время Интернет браузинга. Он малоопасен и не встречался в диком виде. Заражение происходит, когда пользователь просматривает Web-страницу с помощью MS Internet Explorer на ПК с инсталлированным Windows хост скриптингом (Windows 98, Windows 2000 или Windows NT 4 с инсталлированным расширением Scripting Host). Загрузочный модуль вируса создается процедурой VBScript, которая может быть встроена в любую страницу HTML. Вирус генерирует отладочный скрипт и загрузочные файлы, которые во время их исполнения создают дополнительные файлы, заражающие систему. Кроме того, процедура VBScript создает усеченное имя, указывающее на Web-страницу автора вируса: C:\WINDOWS\Favorites\FreeSex.Hypererotika.URL. Сам URL не действует в это время, однако содержит ссылку на страницу, откуда возможна загрузка вируса. Скрипт инфицирует HTML файлы посредством добавления себя самого. Вирус заражает .EXE и .SCR файлы в нескольких каталогах и удаляет файлы данных некоторых антивирусных программ. VBScript, создающий загрузочный модуль вируса, может быть встроен в любую Web-страницу, таким образом обеспечивая дифференцированный механизм его распространения.
В настоящее время вирус неэффективен вследствие наличия жучков в своем коде, но эти проблемы могут быть легко зафиксированы, а механизм его распространения активизироваться. Защиту от вируса обеспечивает последняя версия ПО InoculateIT.
9. Червь Wscript/Kak заражает системы под
ОС Windows98. Хотя этот вирус и был замечен в диком
виде, он требует очень специфичных условий для
заражения и распространения.
Wscript.Kak распространяется через электронную
почту при использовании Outlook Express 5.0 только в
системы под Windows98, при этом инфицирует систему,
даже если пользователи не открывают
присоединенные файлы из зараженной почты. Как
только пользователь получает по электронной
почте зараженный HTML файл, скрытый (встроенный)
скрипт код будет исполнен даже без запроса
пользователя (если режимы безопасности в Internet
Explorer 5 установлены в medium или low). Wscript.Kak
использует Internet Explorer 5 для записи своего кода в
стартовый каталог Windows, как Kak.HTA. Кроме того,
он записывает части своего кода, как Kak.HTM и
создает собственную копию в каталоге System,
которая будет зарегистрирована под следующим
ключом:
HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\
Run\cAgOu
Это вызовет повторное исполнение вируса при
загрузке Windows.
После этого червь ищет Identities в Outlook Express 5.0 и изменяет их установки по умолчанию в соответствии с C:\Windows\Kak.HTM. Вирус будет воздействовать только на те системы, в которых User Identity находится не в режиме умолчания. Как только сигнатурные установки будут изменены, вирус Wscript.Kak будет присоединять свой скрипт код к каждому сообщению электронной почты, отправляемому пользователем. Во время исполнения вирус проверяет системные дату и время. Если число первое, а час больше 17, то на мониторе отобразится в мигающей предупреждающей панели следующее сообщение: Kagou-Anti-Kro$oft says not today!
После этого вирус попытается закончить работу Windows.
10. Скрытый троян Win32/Crypto инфицирует ОС Windows 95, Windows 98, Windows NT и бета-версию Windows 2000. Вирус шифрует все DLL библиотеки на диске C:, заражает файл ядра и удаляет антивирусные базы. Вирус распространяется через электронную почту, распределенные устройства или флоппи диски. Он маскирует тот факт, что у зараженного файла увеличенный размер. Всякий раз при загрузке системы Win32/Crypto заражает 20 исполняемых файлов. Он также заражает сжатые архивы (zip, .arj и другие).
11. Новый троянский вирус Feliz.Trojan при
загрузке немедленно удаляет файлы system.
dat;user.dat;c:\command.com; c:\windows\command\command.com;
c:\windows\system.ini;c:\windows\
win.ini; c:\windows\system.cb;c: \windows\win.com. После удаления вирус
отобразит на экране монитора битовую карту с
улыбающимся лицом и надписью FELIZ ANO NOVO!!! (С
Новым Годом!).
Когда пользователь нажмет EXIT, вирус отобразит
количество почтовых ящиков в Португалии и
закончит работу. После этого компьютер нельзя
будет загрузить. Вирус тяжело поражает
инсталляционный каталог Windows (C:\windows). Если Windows
будет установлена в другом каталоге, то Feliz.
Trojan не причинит системе никакого вреда.
Антивирусное ПО InoculateIT 7.73 обеспечивает
обнаружение вируса Feliz.Trojan.
12. Вред вируса Lucky 2000 заключается в том, что он переписывает скрипты Visual Basic. Lucky2000 исполняется на ОС Windows 95, Windows 98 и Windows NT, если в них установлен скрипт Visual Basic. Он заражает все файлы в текущем каталоге, вне зависимости от их расширения. При заражении файла все его содержимое замещается телом вируса. Вирус не изменяет оригинальное имя файла, поэтому невозможно определить факт заражения файла по изменению имени. При исполнении Lucky2000 отображается сообщение и создается сокращение C:\WINDOWS\Favorites\Lucky2000.URL с адресом http://www.chat.ru/~smf/. Как только сокращение размещено, по умолчанию запускается Интернет браузер и выходит на указанную вирусом Web-страницу.
13. Червь VBS.Tune.A распространяется по
электронной почте. Он проверяет адресную книгу
пользователя в MS Outlook, создает копию оригинальной
электронной почты и форвардирует себя по всем
записанным группам и индивидуальным адресам. При
его получении в поле subject записано Please Read, а в
сообщении будет содержаться следующий текст: Hey,
you really need to check this attached file I sent you...please check it out as soon as
possible. К сообщению будет подсоединен файл Tune.VBS.
Вирус может частично повредить адресную книгу.
При исполнении подсоединенного файла Tune.VBS,
вирус создаст файл VBScript в каталогах Windows и Windows\
System. В процессе заражения Tune.A создает
следующие ключи для обеспечения своей
автоматической загрузки каждый раз при
перезагрузке ПК:
HKEY_Current_User\Software\
Microsoft\Windows\Current
Version\Run\ScanRegistry
HKEY_Current_User\Software\
Microsoft\Windows\Current
Version\Run\Taskmonitor.
Как только Tune.A инсталлировался, он ищет все доступные локальные и сетевые устройства и копирует себя в корень каждого найденного каталога. Однако ему не удается создать соответствующие загрузочные установки на этих устройствах, поэтому зараженные там файлы не могут быть исполнены. В завершение, Tune.A пытается использовать двух IRC клиентов (MIRC и PIRCH) для своего распространения при начале следующей IRC сессии. Вирус модифицирует IRC клиентов для скрытия факта отправки зараженных файлов.
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru