Лаборатория Касперского сообщает
об обнаружении троянской программы FireAnvil, встроенной в коммерческий продукт
Firehand Ember Millennium американской компании Firehand Technologies Corporation.
Это ПО для просмотра и редактирования графических изображений, продаваемое через
Интернет на сайте www.firehand.com. Троянские подпрограммы обнаружены в двух
файлах продукта: Ember32.exe основной файл данного программного продукта,
fireutil.dll библиотека. Активизация вредоносного кода происходит при вводе
регистрационных данных пользователя, при условии, если в поле Registered User
ID вводится строка czy (в любом регистре).
При активизации троянская программа выводит следующее сообщение:
CrAcKiNg SoFtWaRe! PlEaSe WaIt!
Затем FireAnvil ищет каталог, в котором установлена ОС Windows, и во все файлы
данного каталога записывает следующий текст:
CzY CrAcKiNg CrUe! We CrACk EvErYtHiNg!
В результате срабатывания данной деструктивной функции вредоносной программы
все файлы системной директории Windows уничтожаются без возможности восстановления
К сожалению, случай с Firehand Technologies Corporation, допустившей коммерческую
реализацию продукта без его тщательной проверки на наличие деструктивных бомб-закладок,
далеко не единственный пример оплошности софтверных компаний. Сдругой стороны,
это еще одно доказательство коварства вредоносных программ последнего поколения,
обнаружить которые зачастую действительно непросто. Надеюсь, что этот инцидент
заставит всех производителей программных продуктов с большим вниманием относиться
к проблемам безопасности собственных пользователей, сказал Евгений Касперский,
руководитель антивирусных исследований Лаборатории Касперского.
Обнаружен новый опасный Интернет-червь
Slapper, заражающий компьютеры под управлением ОС Linux и использующий технологию
распространения в исходных текстах, впервые примененную в 1988г. в черве Морриса.
Для определения потенциальной жертвы Slapper сканирует компьютеры в Интернет
и определяет те из них, на которых установлена ОС Linux и Web-сервер Apache.
При обнаружении такого компьютера червь незаметно загружает на него свою копию,
используя для этого брешь в системе безопасности программного пакета OpenSSL
(переполнение буфера). Главное отличие Slapper заключается в том, что копия,
передаваемая на компьютер-жертву, представляет собой исходный, некомпилированный
код червя. После загрузки Slapper запускает установленный практически на каждой
Linux-машине компилятор языка C (gcc), получает исполняемую версию червя и запускает
ее на выполнение.
Такой оригинальный подход обеспечивает Slapper совместимость с любыми типами
Linux вне зависимости от производителя дистрибутива и версии ядра. Во всяком
случае, для модификаций от компаний Mandrake, SuSe, Slackware, RedHat и Debian
это утверждение верно.
Этот способ был изобретен в ноябре 1988г. и впервые применен в черве Морриса,
который за короткое время поразил более 6000 компьютерных систем США (включая
NASA Research Institute) и нанес убытки в размере более $96млн. Стех пор метод
распространения в исходных кодах не использовался ни в одной вредоносной программе,
вплоть до сегодняшнего дня.
Побочным эффектом Slapper будет появление его многочисленных клонов: для
создания модификаций червя достаточно лишь внести необходимые поправки в исходный
код программы, достать который не составляет труда. Кроме этого Slapper также
представляет реальную угрозу безопасности данных на зараженных компьютерах.
Вчерве содержатся backdoor-функции (функции несанкционированного удаленного
администрирования), которые позволяют злоумышленникам совершать на зараженном
компьютере ряд специфических (передача IP-адреса, адреса е-mail) и деструктивных
(выполнение команд, участие в распределенной DoS-атаке, перебор файлов на диске,
передача данных на удаленный компьютер ит.д.) действий.
Подробнее прочесть об этом вирусе можно по адресу организации Computer Emergency
Response Team Coordination Center (CERT/CC): http://www.cert.org/advisories/CA-2002-27.html.
Компания Panda Software сообщила
о появлении нового червя VBS/Nedal (Laden наоборот). Для своего распространения
червь использует текст, связанный с печальными событиями 11 сентября 2001 года
в Нью-Йорке.
Червь VBS/Nedal вредоносный код, уничтожающий содержимое исполняемых файлов.
Он распространяется в чатах с помощью программ mIRC, pIRCH и по электронной
почте, рассылая себя каждому адресату, найденному в Адресной Книге MS Outlook
на зараженном компьютере.
Инфицированное письмо имеет следующие характеристики:
Тема: Osama Bin Laden Comes Back! [Осама Бен Ладен возвращается!].
Текст письма:
Hello People, You have received Email from Osama Bin Laden. Allah is The One
Of God. No god in the World Accept Allah! All people in the world love peace
and no wars. America and Israel must be destroy to prevent from wars. Your Sincerely,
Osama Bin Laden Al-Qaeda Network.
На зараженном компьютере вирус VBS/Nedal создает три файла в директории Windir.
Первый файл, с именем Osama.exe, представляет собой вирус, заражающий файлы
с расширением exe (исполняемые файлы), разрушая их исходное содержимое. Второй
файл называется Laden.exe, а третий Alta.exe. Последний файл удаляет содержимое
папки Windows/System.
Червь VBS/Nedal перезаписывает файлы со следующими расширениями: vbs, vbe,
gif, jpg, bmp, avi, mp3, mpg, zip, cab, mdb, xls, lnk, doc, txt, rtf. Кроме
того, червь вносит изменения в реестр Windows и выводит на экран различные сообщения.
Этот вирус вышел в Интернет
в классическую для вирусов дату пятницу, 13. Программа, названная Ghost Girl,
представляет собой троян, попадающий на компьютер в виде исполняемого файла
Gfg.exe размером 106,496 байт.
При запуске файла активизируется вирус, который незаметно устанавливается в
системе. Пользователь может обнаружить присутствие Ghost Girl на своем компьютере
благодаря тому, что троян время от времени демонстрирует на экране картинку
с призраком. Кроме того, пораженный компьютер под воздействием потусторонних
сил ни с того ни сего начинает открывать лоток привода компакт-дисков.
Десятка электронных мошенничеств
по версии Sophos в августе 2002:
1.JDBGMGR 14,0% 2.Budweiser frogs screensaver 6,9% 3.A virtual card for you 6,2% 4.Hotmail hoax 6,0% 5.Nigerian letter 5,9% 6.Bill Gates fortune 3,9% 7.Frog in a blender/Fish in a bowl 3,7% 8.JS/Exploit 2,7% 9.Meninas da Playboy 2,4% 10.Mobile phone hoax 2,3%
Прочие 45,8%
Против мошенничества Sophos предлагает для начала вооружиться здравым смыслом
и не верить обещаниям много счастья (денег, здоровья, ит.п.) и совершенно
даром. Аво-вторых, обращаться на их сайт http://www.sophos.com/virusinfo/infofeed/
за списком наиболее распространенных обманов.
Только два августовских вируса новички. Восновном это старые, давно бороздящие
просторы Сети Klez-H, Badtrans-B, Sircam и Nimda. То, что за полгода владельцы
ПК не собрались обновить антивирусники, подтверждает русскую народную мудрость
пока жареный петух не клюнет
Если учесть, что ежемесячно появляются сотни новых вирусов, такое наплевательское
отношение к собственной безопасности до добра не доведет.
Компания Trend Micro представила
свою десятку наиболее распространенных вирусов в августе:
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ. Свидетельство Эл 77-4461 от 2 апреля 2001 г. Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru
Лаборатория Касперского сообщает
об обнаружении троянской программы FireAnvil, встроенной в коммерческий продукт
Firehand Ember Millennium американской компании Firehand Technologies Corporation.
Это ПО для просмотра и редактирования графических изображений, продаваемое через
Интернет на сайте www.firehand.com. Троянские подпрограммы обнаружены в двух
файлах продукта: Ember32.exe основной файл данного программного продукта,
fireutil.dll библиотека. Активизация вредоносного кода происходит при вводе
регистрационных данных пользователя, при условии, если в поле Registered User
ID вводится строка czy (в любом регистре).
КОМПЬЮТЕР-ИНФОРМ