КОМПЬЮТЕР-ИНФОРМ Главная страница || Статьи 22'2002 (16 - 22 декабря) || Новости СПб || Новости России || Новости мира
Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
1.ВирусCIH.1106(W32/CIH.1106) уничтожает содержимое жесткого диска и препятствует загрузке зараженного компьютера. Для того чтобы осуществить заражение, CIH.1106 проникает в резидентную часть системы. На компьютерах с ОС Windows95, 98 или Millennium вирус ищет файлы с расширением EXE и записывает свой код в неиспользуемые части этих файлов. Таким образом, размер зараженных файлов не увеличивается, и у пользователя не возникает подозрений. На компьютерах с ОС Windows2000, NT или XP червь размещается в памяти системы резидентно и не инфицирует файлы.
Будучи единожды активирован, CIH.1106 выполняет следующие действия второго
числа каждого месяца:
•переписывает заново таблицу размещения файлов (FAT) на жестком диске,
уничтожая тем самым его содержимое;
•уничтожает содержимое памяти BIOS на компьютерах с материнскими платами,
выполненными на чипсете Intel430TX, в результате чего компьютеры не работают
и даже не загружаются.
CIH.1106 распространяется различными способами: в электронных письмах с зараженными документами, по компьютерным сетям, через CD-ROM, флоппи-диски, FTP, Интернет-загрузки и проч.
CIH.1106 является разновидностью вируса W95/CIH, также известного как CIH. Первое появление CIH зафиксировано в 1998г. Это один из наиболее деструктивных вирусов, которые когда-либо были написаны. После активации он уничтожает содержимое жесткого диска и переписывает FLASH BIOS в материнских платах. По данным последнего расследования, его автором является двадцатичетырехлетний тайваньский студент Chen Ing-Halu (по инициалам своего имени он и назвал вирус). Существует множество разновидностей CIH, наиболее разрушительным и широко распространенным среди них является Чернобыль (Chernobyl).
2. Червь под видом интерфейсной темы (скина) Magic Eightball распространяется в файлобменной сети KazAa для клиентской программы KazAa2.0 (более ранние версии не поддерживают скинов). После установки на компьютер вирус удаляет с его дисков все музыкальные файлы.
Файл имеет имя eightball2.zip, а найти его можно, введя в строке запрос вида eightball skin. При попытке открыть архивный файл активируется червь. При его запуске на экран выводится диалоговое окно с надписью see some magic. Если в этом окне нажать на кнопку Yes (Да), то начнут появляться диалоговые окна, ведущие обратный отсчет с пяти до единицы. Если в них также нажимать кнопки Yes, то червь удалит все MP3-файлы. Кроме этого, обозреватели TechTV сообщают, что и после того, как Eightball сделает свое черное дело, на экран выводились сообщения об ошибках, из- за которых компьютер пришлось перезагрузить.
Механизм распространения Eightball, по-видимому, прост до крайности. Червь попросту помещает свою копию в папку с общим доступом и ждет, пока его скачает и установит какой-нибудь доверчивый пользователь. Поэтому всем пользователям KazAa ради собственной безопасности лучше не загружать скины или программы, в названии которых фигурирует слово Eightball. Не следует волноваться лишь пользователям Windows98: на их компьютерах червь откажется запускаться, сославшись на отсутствие нужной библиотеки.
3. Червь Winevar (также известен как Корейский червь) распространяется по электронной почте. Зараженные письма могут иметь различные заголовки, текст и имена вложенных файлов. Червь использует бреши в системе безопасности Internet Explorer: MS VM ActiveX Component и IFRAME Vulnerability. Это обстоятельство делает возможным заражение компьютера непосредственно в момент чтения письма, без запуска файлов с червем самим пользователем.
После внедрения в систему он модифицирует загрузочные файлы Windows для активизации при перезагрузке операционной системы и инициирует процедуру распространения. Для этого он сканирует все найденные на компьютере файлы формата .HTM и .DBX и извлекает из них адреса электронной почты. На эти адреса червь отсылает копии Winevar, используя для этого прямое подключение к почтовому (SMTP) серверу.
Winevar имеет ряд опасных проявлений, вследствие которых владельцы зараженных компьютеров могут безвозвратно потерять все данные. Во-первых, червь уничтожает в памяти и на дисках антивирусные программы, программы-отладчики и межсетевые экраны. Внекоторых случаях Winevar также удаляет на компьютере все остальные файлы. Во-вторых, червь заражает компьютер вирусом Win32.Funlove. В-третьих, Winevar реализует DoS-атаку на Web-сайт компании Symantec, запуская бесконечный цикл обращений нему.
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru