Представительство Microsoft в СНГ сообщает, что на адреса электронной почты их клиентов приходит сообщение от их имени с прикрепленным файлом patch_Y2Kcount.exe. Сообщения могут приходить с разных адресов (например, year2000@aport. ru).
Текст этого сообщения (он приведен ниже) дословно повторяет опубликованный в изданиях ИД Коммерсантъ анонс совместной акции Представительства Microsoft и ИД Коммерсантъ по помощи пользователям ПК в преодолении Проблемы 2000 года. Представительство Microsoft сообщает, что оно не отправляло подобных сообщений, и призывает пользователей быть внимательными, поскольку файл, прикрепленный к данному письму, является вирусом и не имеет никакого отношения к программным обновлениям Microsoft, связанным с переходом в 2000 год.
Как сообщили представители Лаборатории Касперского, запуск вложения приводит к внедрению в компьютерную систему троянской программы Trojan.PSW. Stealth.d, которая обеспечивает несанкционированную передачу данных (имена и пароли доступа в Интернет) с зараженного компьютера на адрес электронной почты uu@ru.ru. Корпорация Microsoft предупреждает, что никогда не распространяет программные продукты по электронной почте, а только через Интернет. Программы размещаются на Web-узле, http://www.microsoft.com , или могут быть получены на сайте FTP ftp://ftp.microsoft.com
Корпорация периодически информирует своих клиентов по электронной почте о наличии обновлений. Однако такие сообщения содержат только ссылки на Web-адреса. Если вы получили электронное сообщение, в котором утверждается, что к данному письму прикреплен программный продукт корпорации Microsoft, не запускайте прикрепленный файл, а немедленно удалите такое сообщение вместе с прикрепленным файлом.
Текст рассылаемого злоумышленниками сообщения:
From: year2000
Subject: Microsoft Year2000
Sender: year2000
Date: Sun, 14 Nov 1999 19:11:30 +0300
Ваш компьютер в опасности. Не исключено, что придя после Нового года на работу (домой), вы не найдете в нем нужных документов. Вернувшись домой обнаружите, что персоналка отказывается загружаться. Это может означать срыв контрактов, сбой в технологическом процессе и значительные затраты времени и денег на возвращение компьютера к жизни. Всему виной Проблема 2000: из-за изменения формата системной даты в ночь на первое января, многие электронные машины могут отказаться работать. Еще не поздно предотвратить сбой. Корпорация Microsoft поможет вам это сделать. Мы выпустили специальную программу, которая поможет решить Проблему 2000 для популярных программ Microsoft.
Они представляют реальную опасность для компьютерных пользователей и корпоративных сетей. I-Worm.BubbleBoy является первым известным Интернет-червем, способным распространяться по электронной почте, не прибегая к использованию вложенных файлов. Данный червь внедряется на компьютеры сразу же после попытки прочтения зараженного письма. Все ранее обнаруженные Интернет-черви использовали стандартный прием саморассылки при помощи вложенных файлов. BubbleBoy внедряется на компьютер сразу же после прочтения зараженного письма и незаметно для пользователя рассылает себя по адресам из адресной книги почтовой программы MS Outlook.
Червь помечает свое присутствие на компьютере посредством внесения изменений в следующие ключи системного реестра: HKEY_LOCAL_MACHIN\Software\ OUTLOOK.BubbleBoy\ = OUTLOOK.Bubbleboy 1.0 by Zulu или (в зависимости от версии червя) HKEY_LOCAL_MACHIN\Software\ OUTLOOK.BubbleBoy\ = OUTLOOK.Bubbleboy 1.1 by Zulu HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\ RegisteredOwner= Bubbleboy HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\ RegisteredOrgan ization = Vandelay Industries
Для обеспечения 100% защиты от проникновения
BubbleBoy на компьютер или корпоративную сеть,
необходимо выполнить следующие действия:
1) Установить дополнение компании Microsoft, которое
устраняет брешь в защите Internet Explorer 5. Данное
дополнение находится по адресу http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP.
2) Если вы не используете HTML-приложения (HTA-файлы) в
своей работе, то можно обезопасить себя от
BubbleBoy-подобных программ, удалив ассоциацию с
расширением .HTA. Для этого необходимо выполнить
следующие шаги:
- Открыть окно My Computer (Мой компьютер), дважды
щелкнув по значку My Computer (Мой компьютер) на
рабочем столе;
- В меню выбрать пункт View (Вид), затем
Options...(Параметры...);
- На закладке File Types (Типы файлов) в списке
Registered file types (Зарегистрированные типы файлов)
выбрать HTML Applicaton;
- Щелкнуть на кнопке Remove (Удалить) и подтвердить
действие;
- Закрыть диалоговое окно настроек.
Технические детали
Этот червь распространяется по Интернет в письмах электронной почты. Зараженные письма не имеют прикрепленных файлов червь использует несколько приемов для запуска своего кода прямо из текста письма.
Когда пользователь открывает письмо, чтобы его прочесть, червь активизируется, получает доступ к ресурсам компьютера (файлам, реестру и т.д.), берет адреса электронной почты из адресной книги Outlook и отправляет по этим адресам зараженные письма (таким же образом, как это делает вирус Melissa).
Внедрение
Когда пользователь открывает зараженное письмо, скрипт, содержащийся внутри письма, автоматически активизируется и выполняется. Этот скрипт создает (используя брешь в защите) файл UPDATE.HTA в каталоге C:\WINDOWS\START MENU\PROGRAMS\STARTUP. Такой же файл червь пытается создать и в каталоге C:\WIN-DOWS\MENUINICIO\PROGRAMAS\I NICIO\ (Имя каталога автозагрузки для испанской версии Windows).
Этот файл UPDATE. HTA содержит основной код червя. При следующем старте Windows этот файл будет исполнен, так как он находится в каталоге автозагрузки. Червь имеет небольшую ошибку: он предполагает, что Windows всегда установлена в каталоге C:\WINDOWS, и если это не так, червь не может создать файл и, как следствие, не может далее распространяться.
Чтобы распространять свои копии, червь использует два нестандартных приема. Первый прием червь использует возможность MS Outlook создавать письма в формате HTML. Письма в этом формате могут содержать скрипты, которые будут автоматически выполнены в момент, когда пользователь откроет письмо. Червь использует это, чтобы активизироваться сразу при открытии письма.
Другой прием червь использует, чтобы обойти настройки безопасности в Internet Explorer. Для этого он использует уже известную брешь в защите Internet Explorer 5.0, называемую Scriptlet.Typelib security vulnerability. Эта брешь дает возможность HTML скриптам создавать файлы на диске без каких либо предупреждений об этом пользователя. Червь использует ее, чтобы создать HTA-файл (HTML-приложение, новый тип, появившийся в IE5) который содержит основной код червя. Этот файл создается в каталоге автозагрузки Windows и, как следствие, запускается при следующем старте Windows. Будучи запущенным из файла на локальном диске компьютера, червь получает доступ к ресурсам компьютера, берет адреса электронной почты из адресной книги Outlook и отправляет по этим адресам зараженные письма. Когда код червя в файле UPDATE.HTA получает управление, он запускает программу Outlook со скрытым окном и создает в ней письма, адресованные всем, чьи адреса хранятся в адресной книге Outlook. Червь создает письма в формате HTML и включает в них свой скрипт.
Созданные письма имеют тему BubbleBoy back!, и текст письма. После того, как письма были отправлены, чтобы исключить повторную отправку писем, червь создает в системном реестре новый ключ. В конце червь оставляет на экране окно с сообщением: System error, delete UPDATE.HTA from the startup folder to solve this problem.
Червь также меняет данные регистрации Windows (эта процедура выполняется в момент, когда скрипт в UPDATE.HTA получает управление): RegisteredOwner = BubbleBoy RegisteredOrganization = Vandelay Industries. http://www.kasperskylab.ru
Новый
Windows вирус Win32.FunLove
обнаружен в виде (In-the-Wild), т.е., для
компьютерных пользователей существует реальная
опасность заражения данным вирусом. Win32.FunLove
является неопасным резидентным паразитическим
Win32 вирусом. Он заражает PE (Portable Executable) файлы на
локальных и сетевых дисках.
Благодаря своей способности размножаться по локальной сети, вирус может заразить всю корпоративную сеть с одной рабочей станции, если ей предоставлены права записи на сетевые диски. Файлы, зараженные вирусом Win32.FunLove, можно легко распознать по строке (название популярной западной рок-группы), содержащейся в его теле: ~Fun Loving Criminal~. После запуска зараженного файла вирус создает в системной директории Windows файл FLCSS.EXE (Дроппер), в который записывает свой чистый код, и затем запускает его на выполнение.
Дроппер вируса является обычным файлом формата Win32 PE. Под ОС Windows 95 и Windows 98 он запускается в качестве скрытого (hidden) Windows приложения, а под Windows NT как сервис. После этого активизируется процедура заражения системы. В случае возникновения ошибки в процессе создания дроппера для заражения системы, вирус все равно запускает эту процедуру заражения, но уже непосредственно из своего тела, а не через дроппер. Процесс поиска и заражения файлов происходит в фоновом режиме (thread), в результате чего уже зараженные файлы выполняются без заметных задержек. В процессе заражения системы вирус сканирует все локальные диски от C: до Z:, затем просматривает дерево директорий сетевых ресурсов и заражает все PE файлы с расширениями .OCX, .SCR и .EXE. Вирус записывает свой код в последнюю секцию файла (увеличивая тем самым размер файла на 4099 байтов) и добавляет в стартовый адрес инструкцию JumpVirus. Данная инструкция обеспечивает запуск вируса из последней секции файла перед выполнением самой программы. Вирус проверяет имена файлов и не заражает файлы по следующим маскам: ALER, AMON, _AVP, AVP3, AVPM, F-PR, NAVW, SCAN, SMSS, DDHE, DPLA, MPLA. Вирус имеет черты семейства вирусов Bolzano. Он изменяет файлы NTLDR и WINNT\System32\ ntoskrnl.exe тем же самым способом, что и вирус Bolzano. Измененные файлы можно восстановить из резервной копии. Процедуры обнаружения и удаления вируса Win32.FunLove содержатся во внеочередном обновлении антивирусных баз AntiViral Toolkit Pro (AVP) и доступны по адресу http://www.avp.ru http://www.kasperskylab.ru
По сообщению
MSNBS,
28 октября в Интернет было зафиксировано необычно
большое количество электронных сообщений,
включающих в себя слова manifesto, terrorism, bomb и
kill Bill Clinton.
Не волнуйтесь, ничего страшного не случилось. Объяснением такой необычной активности спаммерских рассылок является объявленная так называемыми хактивистами акция, направленная против правительственных агентов США, которые, как утвержают активисты-спаммеры, ведут постоянный мониторинг электронных коммуникаций.
Система, которая не угодила этим борцам за свободу переписки, действительно, существует, и носит название Echelon. По некоторым данным, эта система способна проводить мониторинг около 2 млн электронных сообщений в час. Хактивисты решились на проведение спонтанной акции протеста именно 28 октября: каждый из них отослал максимально возможное число электронных сообщений, наполненных ключевыми словами, на которые реагирует система Echelon, в надежде на то, что система выйдет из строя из-за избыточного объема информации.
1
ноября компания Network Associates
выпустила антивирусный программный продукт
WebShield for Solaris 4.0, размещаемый на Интернет-шлюзе и
предназначенный для антивирусной защиты
приложений электронной коммерции под ОС Solaris.
WebShield for Solaris 4.0 взаимодействует со всеми
распространенными сетевыми экранами и сканирует
как электронную почту, так и апплеты Java Script; Java и
ActiveX. WebShield for Solaris 4.0 уже можно купить по цене $10600
за сервер, поддерживающий 1000 узлов. http://www.nai.com.
2
ноября компания Sterling Commerce
выпустила программный продукт CONNECT:Remote AntiVirus
Manager 2.0, предназначенный для антивирусной защиты
удаленных сетей и мобильных систем. CONNECT:Remote Anti
Virus Manager 2.0 функционирует даже тогда, когда
клиентские системы находятся в режиме off-line.
Кроме того, в нем реализована функция
автоматической модернизации антивирусного ПО.
Для работы CONNECT: Remote AntiVirus Manager 2.0 требуются ОС MS
Windows, сервер CONNECT:Remote и базовое клиентское ПО.
CONNECT:Remote AntiVirus Manager 2.0 уже можно купить. Цена одной
клиентской лицензии составляет $50. www.sterlingcommerce.com
В сравнительных тестах антивирусных
продуктов,
проведенных в октябре британским журналом Virus Bulletin , российский
антивирусный продукт AntiViral Toolkit Pro (AVP)
Лаборатории Касперского получил свою
очередную (десятую по счету) награду VB100%. ( www.kasperskylab.ru/productsawards1.asp
). Данная награда отражает способность того
или иного антивируса обнаруживать 100%
компьютерных вирусов ItW (In-the-Wild), т.е. имеющих
хождение среди компьютерных пользователей и
представляющих реальную опасность. Тестирование
продуктов проводится каждые два месяца на
свежей коллекции вирусов этого типа. Таким
образом, качество антивируса определяется не
отдельными фрагментарными успехами, а его
родословной, т.е. общими результатами участия в
тестировании Virus Bulletin (с января 1998 г.). В этом
отношении AVP является лидером среди всех
антивирусов мира. http://www.virusbtn.com/100/vb100sum.html