30 октября был обнаружен новый
Интернет-червь Sonic. Его особенностью является способность к автоматической
загрузке дополнительных компонент через Интернет. Червь состоит из загрузчика
и основного модуля. Копии загрузчика распространяются через электронную почту.
Попав на компьютер, он инициирует соединение с хакерским сайтом, загружая оттуда
основной модуль для установки на зараженном компьютере. После установки основного
модуля червь получает доступ к адресной книге Windows, считывает из нее адреса
электронной почты и рассылает по ним зараженные сообщения. В известных версиях
червя сообщения имеют тему письма Choose your poison и вложенный файл с именем
GIRLS.EXE. Процедуры защиты от червя Sonic добавлены в антивирусные базы Антивируса
Касперского (AVP).
Лаборатория Касперского обращает
внимание пользователей на серьезную угрозу, которую могут представлять программы
с расширением PIF для безопасности ПК и корпоративных сетей. Из-за низкого уровня
информированности по данной проблеме в последнее время значительно участились
случаи проникновения вирусов с использованием PIF-файлов.
PIF-файлы (Program Information File) являются стандартными файлами ОС Windows,
которые используются для хранения информации о параметрах запуска DOS-приложений.
В них записываются данные об имени, размере, рабочей директории, датах создания
и модификации, размере окна приложения, использовании памяти, приоритетности
процесса и др. Такая особенность Windows позволяет избежать необходимости кропотливой
настройки DOS-программ каждый раз при их запуске. Это достаточно сделать один
раз и сохранить все настройки в PIF-файле.
Таким образом, PIF-файлы содержат исключительно техническую информацию о работе
DOS-программ в Windows и, казалось бы, не могут быть вредоносными программами.
Это ошибочное мнение порождает невнимательность пользователей по отношению к
файлам с таким расширением. Многие владельцы ПК запускают эти программы, не
проводя проверку на вирусы.
Опасность заключается в том, что в PIF-файлы можно встраивать исполняемые модули,
например, .BAT, .EXE или .COM программы, которые будут автоматически выполняться
при запуске основного файла.
Наглядным примером внедрения в PIF-файл вредоносной программы является Интернетчервь
Fable. Он попадает на компьютер в виде сообщения электронной почты, имеющего
заголовок, случайно выбираемый из 3 вариантов:
Fable.
Something You Should Read.
Very Important That You Receive This.
В теле письма значится одна из следующих фраз:
A nice little fable.
Wanted to make sure you received this.
Кроме того, сообщение содержит вложенный файл FABLE.PIF. При его запуске червь
посредством хитрых манипуляций создает дополнительные файлы, обеспечивающие
его распространение по каналам IRC и электронной почте. Последнее происходит
довольно стандартным путем: специально созданная скрипт-программа незаметно
для пользователя получает доступ к функциям почтового клиента Outlook и рассылает
зараженные сообщения описанного выше формата по всем адресам, находящимся в
адресной книге.
Другим наглядным примером злоупотребления PIF-файлов является Интернет-червь
MTX (http://www.viruslist.com/viruslist.asp?id=4206&key=0000100
0140000100038&f_page=0), обнаруженный в сентябре и вызвавший крупномасштабную
эпидемию во всем мире. В рассылаемых им сообщениях электронной почты также содержатся
файлы с расширением PIF. Однако, на самом деле, эти файлы являются обыкновенными
EXE-программами с переименованным расширением. При запуске такого PIF-файла
программа успешно выполняется. Тонкий расчет сделан на то, что пользователи,
дезориентированные кажущейся безопасностью PIF-файла, запустят его.
Лаборатория Касперского до сих пор не получала от пользователей сообщений
о фактах заражения Интернет-червем Fable. Техническое описание Интернет-червя
Fable доступно в Вирусной Энциклопедии Лаборатории Касперского по адресу:
http://www.viruslist.com/viruslist.asp?id=4248&key=000
01000140000100047.
27 октября компания Computer
Associates International заявила, что антивирусное решение CA InoculateIT обеспечивает
защиту против вируса-червя QAZ.TROJAN. В отличие от предыдущих вирусов-червей
QAZ.TROJAN распространяется не через электронную почту, а от компьютера к компьютеру,
используя незащищенные сетевые драйверы общего доступа. Этот вирус обычно маскируется
под Notepad, приложение Windows, используемое для чтения текстовых сообщений.
Вирус-червь действует по принципу черного хода предоставляет вторгшимся нарушителям
возможность управлять инфицированным компьютером на удалении. Такой дистанционный
доступ может быть использован для кражи информации, включая конфиденциальные
файлы и пароли. Пользователи могут получить новейшую информацию по этому вирусу-червю
и последние вирусные сигнатуры по адресу: http://www.ca.com/virusinfo.
http://www.ca.com
Компания McAfee выпустила антивирусную
программу для беспроводных устройств VirusScan Wireless for Mobile. Уже существует
вирус Phage для PalmOS, который размножается, переходя от приложения к приложению.
Он представляет небольшую угрозу, так как не существует в дикой природе, однако
является прообразом возможных новых вирусов. Известен также троянский вирус
LibertyCrack, который, будучи переписанным на Palm Pilot под видом игры, удаляет
с диска программы. Существует также возможность кражи банковских реквизитов
пользователя, а именно номера кредитной карты и PIN-кода к ней, запрашиваемых
троянской программой под видом банковской, и отказ в обслуживании, например,
известный случай в Японии, когда вредоносная программа звонила в полицию через
NTT DoCoMo в то время, как пользователь играл в игру. VirusScan Wireless работает
на Nokia Communicator, Ericsson R380 и Handspring VisorPhone. Программа может
скачивать дополнения через Интернет.
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ. Свидетельство Эл 77-4461 от 2 апреля 2001 г. Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru
30 октября был обнаружен новый
Интернет-червь Sonic. Его особенностью является способность к автоматической
загрузке дополнительных компонент через Интернет. Червь состоит из загрузчика
и основного модуля. Копии загрузчика распространяются через электронную почту.
Попав на компьютер, он инициирует соединение с хакерским сайтом, загружая оттуда
основной модуль для установки на зараженном компьютере. После установки основного
модуля червь получает доступ к адресной книге Windows, считывает из нее адреса
электронной почты и рассылает по ним зараженные сообщения. В известных версиях
червя сообщения имеют тему письма Choose your poison и вложенный файл с именем
GIRLS.EXE. Процедуры защиты от червя Sonic добавлены в антивирусные базы Антивируса
Касперского (AVP).