Здоровье Вашего компьютера
Любовные письма
Обнаружен очередной вариант
скрипт-вируса I-Worm.LoveLetter.bd. Вирус использует известный психологический
прием, когда пользователю предлагается ознакомиться с резюме, находящимся во
вложенном файле RESUME.TXT.VBS, якобы от Швейцарской Интернет-компании, приглашающей
на работу профессионального программиста. После запуска зараженного файла вирус
автоматически открывает текстовый редактор Notepad (по умолчанию поставляется
со всеми версиями ОС Windows), где демонстрирует содержание резюме: Knowledge
Engineer, Zurich Intelligente Agenten im Internet sammeln Informationen, erkluren
Sachverhalte im Customer Service, navigieren im Web, beantworten Email Anfragen
oder verkaufen Produkte. [skipped] Одновременно с этим, незаметно для пользователя
вирус получает доступ к почтовой программе Outlook и, подобно своему оригиналу
≈ LoveLetter, рассылает свои копии (вместе с тем же вложенным резюме) по всем
адресам из адресной книги программы. Отличительной особенностью вируса является
его способность ╚докачивать╩ дополнительные вредоносные компоненты из Интернет.
Однако эта функция активизируется только в случае, если на компьютере используется
программа USB PIN Объединенного банка Швейцарии Union Bank of Switzerland для
осуществления банковских операций через Интернет.
Hезаметно для пользователя вирус последовательно пытается соединиться с одним
из трех Web-сайтов для того, чтобы загрузить троянскую программу. Эта версия
вируса пытается ╚скачать╩ файл HCHECK.EXE, в котором находится троянец Hooker.
Он, в свою очередь, собирает на зараженном компьютере всю информацию о пользователе,
включая имя, фамилию, установленное ПО, адреса, имена и пароли для входа в Интернет
и др., а также полностью контролирует все нажатия клавиш на клавиатуре. Позднее,
все эти сведения отсылаются автору вируса на анонимный адрес электронной почты.
Необходимо заметить, что вирус ╚докачивает╩ троянскую компоненту с Web-сайтов
достаточно солидных организаций, которые вовремя не позаботились о правильном
разграничении прав доступа к своим ресурсам. Среди них ≈ Мичиганский государственный
институт и Национальный институт здравоохранения США. По случайности, на сайтах
этих организаций открыт полный доступ как на запись, так и на чтение файлов
в публичной директории. Это дало автору вируса возможность использовать их для
своих криминальных целей. Для предотвращения заражения данных вирусом пользователи
не должны запускать вложенный файл RESUME.TXT.VBS, равно как и другие подозрительные
файлы, полученные из неизвестных источников, либо странные файлы от коллег или
знакомых. http://www.kasperskylab.ru
http://www.viruslist.com
Еще один вирус, похожий на
ранее известный ILOVEYOU ≈ VBS/PLAN.A WORM. Это VBS-вирус типа червя, распространяющийся
по всем адресам в адресной книге MS Outlook. Он прибывает со следующим сообщением
в поле subject: US PRESIDENT AND FBI SECRETS = PLEASE VISIT => (http://WWW.2600.COM)<=.
В поле сообщения содержится: VERY JOKE...! SEE PRESIDENT AND FBI TOP SECRET
PICTURES. Кроме того, в поле Subject и в поле сообщения могут находиться и сгенерированные
случайным образом текстовые строки. Файл с вирусом (с именем, генерируемым случайным
образом) присоединяется к сообщению электронной почты. При этом у него могут
быть следующие расширения: .GIF.vbs, .BMP.vbs или .JPG.vbs. Файлы с некоторыми
расширениями (.vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg и .jpeg) будут
замещены копией вируса с расширением VBS. Файлы форматов MP3 и MP2 будут помечены
как Hidden, а на их место будет помещена копия вируса с тем же именем файла
и расширением VBS. Помимо всего прочего, 17 сентября VBS/PLAN.A WORM создает
сообщение следующего вида: Dedicated to my best brother=>Christiam Julian (C.J.G.S.)
Att. (M.H.M. TEAM). После этого отсоединяются все сетевые устройства. http://www.ca.com
Вирус в сотах
Некто HSE создал программу,
которая позволяет в любое время и в любом количестве отправлять SMS-сообщения
на выбранный номер того или иного сотового телефона. Он назвал свое творение
SMS-Flooder (flood ≈ наводнение, потоп). Действительно, стремящийся на телефон
поток сообщений похож на наводнение и может вызвать цунами в душе владельца.
Для передачи SMS-сообщений программа использует публичные шлюзы в сотовые сети
связи: www.free-sms.com, sms-link.btn.de, www.nm-info.de, www.pcteam.de, www.mobidig.net,
www.lycos.de. Программа написана на MS Visual Basic 5.0 Программа вредоносная,
но сама по себе не является опасной, т. к. не несет деструктивных действий и
не способна к ╚размножению╩. Область действия данной программы ограничена сотовыми
сетями Германии. Однако эта программа может стать ╚первым шагом╩ для написания
╚троянского коня╩, позволяющего атаковать сотовые телефоны. Возможности, заложенные
в этой программе, к сожалению, позволяют это сделать.
http://www.kasperskylab.ru/products/updates.asp
Теперь и для AutoCAD на одном
из Web-сайтов, посвященных вирусам, впервые опубликован вирус, размножающийся
в системе автоматического проектирования (САПР) AutoCAD ≈ ACAD.Star. Он использует
для размножения встроенный в AutoCAD язык VBA (Visual BASIC for Applications).
Вирус занимает 568 байт и содержит ошибки, которые мешают ему распространяться.
Троянцы
Новый троянский вирус Trojan/Notepad
распространяется через Интернет в виде файла Notepad.exe. Он открывает TCP-гнезда
в зараженной системе, что дает возможность осуществлять к ней удаленный доступ
(используя IP-адрес, отправляемый вирусом по электронной почте хакеру или удаленному
пользователю). Название вируса способно ввести в заблуждение неискушенного пользователя,
т. к. оно похоже на MS Windows Notepad. Trojan/Notepad старается разместить
свои копии на устройствах коллективного доступа локальных сетей. При исполнении
зараженного файла Trojan/Notepad модифицирует Windows Registry таким образом,
чтобы вирус активировался при каждой загрузке Windows. Новая точка входа выглядит
следующим образом: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run. К ней добавляется ключ startIE NOTEPAD.EXE qazwsx.hsq.
Trojan/Notepad переименовывает оригинальный файл notepad.exe в note.com, а затем
помещает свою копию в папку Windows. Вследствие этого вирус исполняется каждый
раз, когда пользователь пытается использовать Windows Notepad. oxygen3_staff@pandasoftware.com
Прошла массовая рассылка троянских
программ от имени Doctor Kaspersky с адреса avp-support2000@mail.ru. Письмо
содержит текст (оригинальная орфография и пунктуация сохранены): ╚Для обновления
антивирусной базы АВП скопируйте файл update.exe в каталог с установленным антивирусным
пакетом. Запустите update.exe После обновления вы будете защищены от 156 новых
вирусов. Администрация АВП╩. Во вложенном в письмо файле содержится программа
под именем UPDATE.EXE, длиной 32 КБ. Данный файл и содержит ╚троянскую╩ программу
Hooker, принадлежащую к классу вредоносных программ PSW (Password Stealing Ware).
После запуска Hooker внедряется на компьютер и проводит поиск информации для
доступа в Интернет (имена пользователей, пароли и т. д.). Найденные данные программа
незаметно отсылает в Интернет непосредственно автору вируса. После этого владелец
зараженного компьютера быстро обнаруживает, что его счет по оплате Интернет-услуг
исчерпан. Следует добавить, что данная ╚троянская╩ программа может рассылаться
и под другим ╚соусом╩. Например, злоумышленники могут выдавать ее за коллекцию
фотографий красивых девушек, утилиту для ╚разгона╩ вашего компьютера и пр. ╚Лаборатория
Касперского╩ еще раз напоминает пользователям, что никогда не рассылает по электронной
почте какие-либо исполняемые файлы.
Обнаружен троянский вирус,
использующий новую технику похищения информации. Вирус PswForm использует
команды HTML и внешний Web-сервер, поддерживающий переадресацию. Троянец посылается
с адреса stack@aport.ru. Зараженное сообщение содержит файл ╚быстрая статистика
.html╩ и текст, якобы от Интернет-компании ╚Стек╩, предлагающей услуги по просмотру
статистики о личном счете клиента по оплате доступа в Интернет. При запуске
файла предлагается заполнить анкету, где необходимо указать свое имя и пароль
для входа в Интернет. Информация передается обработчику анкет на ресурсе www.narod.ru,
который пересылает данные автору троянца. Процедуры защиты добавлены в ежедневное
обновление базы ╚Антивируса Касперского╩.
Антивирусная компания Finjan
Software выпустила бесплатную версию SurfinGuard для отслеживания наиболее распространенных
макровирусов. Система использует поведенческие блокираторы, способные по косвенным
признакам распознать возможно опасный или вирусный код. После установки от пользователя
не требуется никаких действий. Для корректной работы не требуется
постоянного обновления вирусной базы. ПО реагирует на наличие следующих функций
≈ чтение и запись файлов, создание сетевого соединения, запись в реестр (Registry)
и запуск внешних программ без оповещения пользователя.
http://www.finjan.com
Компания F-Secure выпустила
антивирусное ПО F-Secure AntiVirus for EPOC для карманных Интернет-устройств
на платформе Symbian EPOC. Оно обеспечивает защиту от бинарных и скрипт-вирусов,
троянцев и вирусов, распространяющихся по электронной почте.
http://www.allnetdevices.com
Три американских математика
≈ Джеффри Хоффштейн (Jeffrey Hoffstein), Джилл Пифер (Jill Pipher) и Джозеф
Силверман (Joseph Silverman) ≈ получили патент No. 6.081.597 на новую систему
криптозащиты музыкальных файлов. Новшеством является то, что каждая секунда
записи кодируется отдельным открытым ключом. Таким образом, 3-х минутная запись
будет закодирована с использованием 180 различных ключей, а каждый, кто сможет
взломать ключ, насладится лишь одной секундой музыки. По словам разработчиков,
процесс кодирования-декодирования очень прост и может проводиться ╚на лету╩,
причем кодирование выполняется в один шаг, а декодирование ≈ в два (для сравнения:
некоторые системы используют до 1000 шагов). Это стало возможным благодаря особому
математическому аппарату, разработанному учеными. Кроме того, процесс требует
всего 1500 байт памяти, что очень важно для ╚карманных╩ устройств.
Компания ╚Инфотекс╩ (www.infotecs.ru)
выпустила версию сертифицированного решения ViPNet под Windows 2000. Область
применения приложений ViPNet простирается от защиты информации индивидуальных
пользователей Интернет до создания защищенных мультисерверных корпоративных
сетей и обеспечения безопасных транзакций для электронной коммерции.
11 июля компания Symantec выпустила
ПО Norton Personal Firewall 2000 для обеспечения безопасности при работе с Интернет.
Пользователь может выбрать наиболее подходящие параметры конфигурации из нескольких
предложенных и затем настроить межсетевой экран с помощью интуитивно понятного
╚помощника╩ (RuleAssistant).
Можно настроить разрешенный доступ в Интернет только для определенных приложений
и уведомлять пользователя, если какое-то другое приложение попытается отправить
информацию с ПК в Интернет. В ПО реализована технология автоматического конфигурирования
межсетевого экрана для наиболее распространенных Интернет-приложений.
ПО также включает улучшенные функции защиты, например, возможность предотвращения
загрузки определенных Java-апплетов и объектов ActiveX; поддерживает создание
журнала событий и статистику попыток вторжения, IP-адреса потенциальных хакеров
и сеансы санкционированных соединений. Информация из журнала событий может быть
использована для поиска автора попыток проникновения.
Пользователи могут установить режим конфиденциальности для своей частной информации
(номера банковских счетов, карточек и т. д.) и затем настроить Norton Personal
Firewall 2000 таким образом, чтобы он препятствовал несанкционированному доступу
к этой информации. Программа также обеспечивает анонимность пользователя во
время работы с Интернет, блокируя cookies и, тем самым, не позволяя отслеживать
свои передвижения в Интернет. Кроме того, Norton Personal Firewall формирует
журнал событий, в котором фиксируется передача информации с ПК в Интернет и
блокировка cookies, электронных адресов и т.п.
http://www.symantec.com
По заказу компании PricewaterhouseCoopers
специалистами издания Information Week Research было проведено исследование
потенциального ущерба от действий вирусов и хакеров в 2000 г. Они опросили 4900
ИТ-специалистов из 30 стран мира. По их общему мнению для 50000 американских
компаний ущерб составит $266 млрд или более 2.5% от валового внутреннего продукта
США. В мировом масштабе потери от вирусов и хакеров в 2000 г. превысят $1.5
трлн. http://cyberatlas.internet.com
Британское правительство объявило
о подготовке полицейского отдела по борьбе с компьютерной преступностью.
Отдел официально начнет свою работу в апреле 2001 г. Он будет работать совместно
с отрядами National Crime Squad и National Criminal Intelligence Unit. Помимо
непосредственно компьютерных преступлений, полицейских Великобритании волнует
также вопрос коммуникаций ╚обычного╩ криминального мира, представители которого
все чаще используют Интернет и технологии шифрования.