Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Появилось
новое семейство компьютерных червей, получивших
название Worm.Firkin. Также известны под именем
вирус 911 по причине своего проявления и шума,
поднятого в информационных каналах. Червь был
обнаружен в диком виде, т. е., он имеет свободное
хождение на компьютерах пользователей и
представляет реальную опасность.
Распространяются по локальной сети. Написаны
на командном языке DOS и состоят из набора BAT- и
PIF-файлов. Используют только команды DOS и
некоторые внешние утилиты.
На зараженной машине червь записывает в каталог
автозагрузки Windows (Start Menu\Programs\Startup\) свой
PIF-стартер, который активизирует основной BAT-файл
червя. В стартовый каталог Windows записывается
также второй PIF-файл, который вызывает утилиту,
скрывающую DOS-окно программы-червя. В результате
червь продолжает работу в скрытом фоновом
режиме.
Для распространения червь перебирает IP-адреса
и пытается установить контакт с компьютером по
этому IP-адресу. Если это удается, червь считывает
список доступных (shared) ресурсов (каталогов) на нем
и определяет права доступа. Если какой-либо
каталог удаленного компьютера открыт на запись,
то червь ищет на нем каталог Windows и устанавливает
себя на этот диск. При заражении червь создает
собственный подкаталог в каталоге Program Files на
заражаемом диске и записывает свои PIF-стартеры в
каталог автозапуска Windows.
Червь способен заразить удаленный компьютер и в
дальнейшем продолжать заражение других
компьютеров только в том случае, если Windows уста-
новлена только в каталоге C:\WIN- DOWS. В противном
случае червь неспособен к размножению.
В зависимости от значения своего случайного
счетчика червяк форматирует жесткие диски
компьютера или набирает при помощи модема номер
911 (номер Службы Спасения США).
Известно несколько вариантов червя. Они
отличаются лишь деталями:
Каталог, куда червь копирует свои компоненты:
Firkin.a,b:
C:\PROGRA~1\FORESKIN\
(C:\Program Files\FORESKIN\)
Firkin.c:
C:\PROGRA~1\CHODE\
(C:\Program Files\CHODE\)
Наиболее важные файлы
червя:
Firkin.a:
A,B,C,D,E,F,G,H,I,J,ADD,FINAL,HIDE,
SLAM .BAT
ASHIELD.EXE, ASHIELD.PIF
MSTUM.BAT, MSTUM.PIF
Firkin.b:
A,B,C,D,E,F,G,H,I,J,ADD,ZULU,HIDE,
SLAM, ASHIELD.EXE, ASHIELD.PIF
MSTUM.BAT, MSTUM.PIF
Firkin.c:
ADD, RANDOM
ASHIELD.EXE, ASHIELD.PIF
CHODE.BAT, NETSTAT.PIF
PIF-файлы также копируются в стартовый каталог
Windows.
Обязательно проверьте список ресурсов Вашего
компьютера, доступных для других пользователей.
Будьте предельно осторожны, определяя права
доступа к ним. Ни в коем случае не открывайте на
полный доступ корневую директорию. Явным
признаком заражения компьютера Worm. Firkin является
наличие в указанных выше директориях файлов
червя.
В случае проникновения червя Firkin на компьютер
или в локальную сеть необходимо обновить
антивирусные базы и просканировать ЖД. http://www.kasperskylab.ru
Появился
новый вирус по имени VBS/Irok.Trojan worm троянский
червь. Он распространяется через MS Outlook и
активно атакует установленные антивирусные
программы. Червь был обнаружен в полевой форме.
Вирус прибывает как электронная почта с полем
subject: I thought you might like to see this. Тело сообщения: I
thought you might like this. I got it from paramount pictures website. Its a startrek
screen saver. К почте приложен исполняемый файл Irok.exe,
хотя никаких значков не отображается.
При запуске полученного файла экран показывает
летящее звездное поле. На этом фоне вирус
копирует себя в каталог С:\Windows\System. Вирус
пытается удалить подписи или файлы контрольной
суммы различных антивирусных программ, чтобы
предотвратить свое обнаружение и удаление.
Для исполнения червяку необходимо, чтобы был
установлен Windows Scripting Host (WSH). Это значит, что не
только Windows 98 подвержен вирусу. Пользователи Windows
95 также могут залететь, если установили себе WSH.
Червяк не работает под Windows 2000 или NT, если они
установлены по умолчанию.
При запуске системы устанавливается WSH и при
следующем системном старте выполняется код
Irokrun.vbs. Он пытается разослать почту первым 60
адресам записной книжки Outlook и удаляет себя после
выполнения. Специалистами компании исследуется
действие вируса Irok.exe также и вне зависимости от
наличия WSH.
Информация по VBS/Irok.Trojan см. http://www.ca.com/virusinfo.
Бесплатное антивирусное ПО можно скачать по
адресу: http://antivirus.ca.com
Всем пользователям предлагается посылать
подозрительные файлы на virus@ca.com, где эксперты
компании в считанные часы проведут
профессиональный анализ и быстро устранят
вирусную угрозу.
Лаборатория
Касперского выпустила бета-версию Антивируса
Касперского (AVP) для почтовых шлюзов Sendmail, работающих
под управлением ОС Linux для платформы Intel.
Программа обеспечивает централизованной
защитой от всех типов вредоносных кодов, включая
компьютерные вирусы, Троянские кони,
Интернет-черви, опасные Java апплеты и др. В
реальном времени она позволяет обнаружить и
удалить вредоносные коды как из тела сообщения
электронной почты, так и из прикрепленных файлов
любого уровня вложенности. Защита
осуществляется на уровне сервера, т. е., до того,
как потенциально опасный код попадет на
клиентский компьютер.
Пользователь может настраивать AVP на проверку
различных потоков электронной почты
(внутреннего, внешнего или обоих сразу). AVP для
Sendmail позволяет изолировать зараженные и
подозрительные сообщения и файлы. В случае
обнаружения вирусной атаки программа посылает
оповещения системному администратору на
указанный адрес. В ближайших планах компании
перенос AVP для Sendmail на другие ОС семейства UNIX, в
первую очередь FreeBSD. Можно присоединиться к
команде бета-тестирования AVP для Sendmail. Запрос
необходимо прислать по адресу электронной почты info@avp.ru! http://www.kasperskylab.ru
Лаборатория
Касперского сообщила, что ее продукты для Windows
95/98 и Windows NT прошли тестирование на обнаружение
программ типа Троянский конь и были
сертифицированы независимой тестовой
лабораторией West Coast Labs ( http://www.check-mark.com ). Сертификат Trojan Checkmark
является подтверждением того, что
протестированный продукт действительно
способен обнаружить все Троянские программы
из коллекции West Coast Labs, одной из наиболее полных в
мире. Контрольное тестирование антивирусов
проводится каждые 3 месяца и, в случае, если
продукт не обнаруживает все экземпляры
троянцев, действие сертификата
приостанавливается.
http://www.kasperskylab.ru
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru