КОМПЬЮТЕР-ИНФОРМ Главная страница || Статьи 18'1999 || Новости СПб || Новости России || Новости мира
Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
I-Worm.Cholera это вирус-червь, поражающий ПК под управлением ОС MS Windows. Распространяется через Интернет и локальные компьютерные сети. На компьютер попадает обычно в виде электронного письма с вложенным EXE-файлом SETUP.EXE. Сообщение имеет заголовок (Subject) Ok..., а само сообщение состоит только из символа улыбки. Зараженный файл SETUP.EXE является исполняемым файлом длиной около 40 КБ и написанным на языке программирования MS C++. Большую часть исходного кода занимают библиотеки C++, а непосредственно сам червь занимает около 7 КБ. Червь получил свое название из-за строки в своем коде: CH0LERA Bacterium BioCoded by GriYo / 29A. Эта строка, как и все остальные данные червя, зашифрованы. Сразу же после запуска червя (т.е., после запуска зараженного файла, вложенного в сообщение электронной почты), он самоинсталируется в директорию Windows под именем RPCSRV.EXE. Для того, чтобы запускаться каждый раз при очередной загрузке ОС Windows, червь добавляет команду Run= в файл WIN.INI в директории Windows (в случае Win9x) или модифицирует соответствующий ключ системного реестра.
При следующем запуске Windows червь активизируется посредством команды Run= в инициализационном файле WIN.INI. После этого он берет контроль на себя, регистрирует себя в памяти Windows в качестве скрытого приложения (невидимого сервиса), что дает червю возможность оставаться активным, даже если пользователь выйдет из системы (log off). Вслед за этим червь запускает две другие подпрограммы. Одна из них обеспечивает распространение червя через локальную сеть, другая через электронную почту. Кроме того, остается активной подпрограмма инсталяции. Это означает, что заражаются и все новые обнаруженные на инфицированном компьютере версии Windows. Все перечисленные подпрограммы работают как основные процессы, т.е. параллельно. Адреса электронной почты, по которым червь рассылает свои копии, берутся из файлов в подкаталогах Windows. Червь сканирует эти каталоги и ищет файлы с расширениями .HTM, .TXT, .EML, .DBX, .MBX, .NCH, .IDX. Затем он просматривает эти файлы и выбирает строки, похожие на адреса электронной почты. За каждый прием червь рассылает себя не более чем 10 адресатам.
24 сентября вышла версия 4.13 антивирусных семейств DrWeb (для DOS) и DrWeb32 (для Win32, DOS/386, OS/2 и Novell NetWare). В новой версии сторожа SpIDer Guard усилена антивирусная технология SpIDer-Netting, нацеленная в первую очередь на противодействие неизвестным вирусам. Hовая усиленная технология позволяет обнаруживать и блокировать широкий класс резидентных Windows-вирусов на этапе запуска и тем самым предотвращать загрузку вируса в память компьютера в момент запуска зараженного Windows-приложения. Новая технология обеспечивает также перехват любых вирусов, построенных на базе алгоритмов известного вируса Win95.CIH.mailto:vladimir@drweb.ru
16 сентября
правительство США оставило контроль над
экспортом ПО для шифрования информации,
чем заслужило одобрение производителей этих
программных средств. Раньше для экспорта ПО,
шифрующего с более чем 56-разрядным ключом, была
необходима правительственная лицензия. Теперь
любое шифрующее ПО может поставляться без всяких
лицензий во все страны мира, за исключением
Ирана, Ирака, Ливии, Сирии, Судана, Северной Кореи
и Кубы.
4 октября
компания Sybari Software выпустила новую версию
своего комплекта антивирусных программных
средств
- Antigen for MS Exchange 2000. Поставки Sybari Antigen for Exchange 2000 Server
должны начаться вместе с поставками MS Exchange 2000
Server. Версия данного программного продукта для 250
пользователей обойдется в $4995. http://www.sybari.com
O безопасности Windows NT
Лаборатория Касперского сообщила об обнаружении первого в мире компьютерного вируса, внедряющегося на самый высокий уровень безопасности Windows NT - область системных драйверов. Эта особенность делает вирус труднодоступным для лечения в памяти многими антивирусными программами.
Вирус был прислан 7 октября клиентами Лаборатории Касперского, пожаловавшимися на странное поведение их компьютерных систем. Детальный анализ подозрительных объектов подтвердил наличие в них нового вируса Infis.
Технические подробности
| Общая характеристика | Infis является резидентным файловым вирусом, который работоспособен только под Windows NT версии 4.0 с предустановленным Service Pack 2, 3, 4, 5 или 6. Вирус не заражает системы под управлением Windows 9x, Windows 2000 и другие версии Windows NT. |
| Симптомы заражения | Основным симптомом заражения является невозможность запустить некоторые программы. Например, MSPAINT.EXE, CALC.EXE, CDPLAYER.EXE и ряд других. По причине некорректного заражения вирус портит содержимое этих файлов. Другим признаком присутствия вируса на компьютере является файл INF.SYS в каталоге /WinNT/System32/Drivers. |
| Инсталляция |
При запуске зараженного файла вирус
копирует из него свой код, записывает его в виде
отдельного файла INF.SYS в каталог драйверов Windows
\WinNT\System32\Drivers. Затем Infis создает в системном
реестре ключ с тремя секциями: \Registry\Machine\System\CurrentControlSet\ Services\inf Type = 1-стандартный драйвер WinNT Start = 2 - режим старта драйвера ErrorControl = 1 - игнорировать ошибки. В результате копия вируса в файле INF.SYS активизируется при каждом перезапуске Windows NT. При активизации файла INF.SYS запускается процедура заражения памяти Windows, которая выделяет необходимый вирусу блок памяти и перехватывает внутренние (недокументированные) функции этой операционной системы. Вирусный перехватчик обрабатывает только открытие файлов, затем проверяет их имена и внутренний формат и вызывает процедуру заражения. |
| Заражение | Вирус заражает все PE (Portable Executable) EXE-файлы, за исключением CMD.EXE (командный процессор Windows NT). При заражении вирус увеличивает размер файла на длину своего чистого кода - 4608 байт. Infis избегает повторного заражения файлов, распознавая их по записанному ранее в поле дата и время значению -1 (FFFFFFFFh). |
| Проявление | Infis не оказывает никакого разрушительного воздействия на зараженные компьютеры. Однако процедура заражения файлов содержит ряд ошибок, из-за которых вирус портит некоторые файлы при попытке внедрения в них. При запуске испорченные файлы вызывают стандартное сообщение Windows NT об ошибке в приложении. |
Процедуры обнаружения и удаления вируса Infis содержатся во внеочередном обновлении антивирусных баз AVP, доступном на корпоративном WWW сайте Лаборатории Касперского по адресу http://www.avp.ru
Более подробная информация о вирусе Infis и тысячах других вредоносных программ содержится в Вирусной энциклопедии AVP по адресу
http://www.viruslist.com
http://www.kasperskylab.ru ,
http://www.viruslist.com ,
FTP: ftp://ftp.kasperskylab.ru ,
E-mail: info@avp.ru
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru