RSS

Компьютерная терминология    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z  .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

Вирусы

   
 Бесплатная консультация специалиста
Loading…
 

2005


Февральская вирусная двадцатка

  1. Email-Worm.Win32.Zafi.b - 21,71
  2. Email-Worm.Win32.NetSky.q - 18,30
  3. Email-Worm.Win32.Zafi.d - 13,31
  4. Email-Worm.Win32.Bagle.ay - 7,03
  5. Email-Worm.Win32.NetSky.b - 6,94
  6. Email-Worm.Win32.Bagle.at - 4,68
  7. Email-Worm.Win32.NetSky.aa - 3,29
  8. Email-Worm.Win32.Mydoom.m - 2,67
  9. Email-Worm.Win32.Bagle.ba - 2,45
  10. Email-Worm.Win32.NetSky.y - 2,08
  11. Email-Worm.Win32.Mydoom.l - 1,83
  12. Email-Worm.Win32.LovGate.w - 1,74
  13. Email-Worm.Win32.NetSky.d - 1,39
  14. Email-Worm.Win32.NetSky.x - 0,96
  15. Email-Worm.Win32.NetSky.r - 0,91
  16. Email-Worm.Win32.Bagle.ai - 0,81
  17. Email-Worm.Win32.NetSky.t - 0,79
  18. Trojan-Spy.HTML.Smitfraud.c - 0,55
  19. Trojan-Spy.HTML.Smitfraud.a - 0,49
  20. Email-Worm.Win32.NetSky.af - 0,49

2004


Обзор вирусной активности, октябрь 2004
1.I-Worm.NetSky.q(15.95%)
2.I-Worm.NetSky.aa(14.45%)
3.I-Worm.NetSky.b(10.52%)
4.I-Worm.Bagle.as(7.43%)
5.I-Worm.Bagle.z(6.59%)
6.I-Worm.Mydoom.m(5.90%)
7.I-Worm.Bagle.at(4.01%)
8.I-Worm.Zafi.b(3.03%)
9.I-Worm.NetSky.t(2.90%)
10.I-Worm.NetSky.d(2.83%)
11.I-Worm.NetSky.y(2.31%)
12.I-Worm.LovGate.w(2.30%)
13.I-Worm.Mydoom.l(1.82%)
14.I-Worm.Mydoom.ab(1.75%)
15.I-Worm.NetSky.r(1.39%)
16.I-Worm.Bagle.gen(1.37%)
17.I-Worm.Mydoom.r(1.31%)
18.I-Worm.NetSky.c(0.95%)
19.I-Worm.Bagle.ah(0.87%)
20.Backdoor.Win32.Rbot.gen(0.68%)


25.10.2004
Top 5 вирусов

1.I-Worm.Nocana (aka Naco)
Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам и по P2P-сетям обмена файлами. Содержит бекдор-процедуру. Червь является приложением Windows (PE EXE-файл), написан на Visual Basic. Является "родственником" червя I-Worm.Melare
2.Oeur.3072
Очень опасный резидентный файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера. При инсталляции в системную память перехватывает INT 13h, 21h, F5h (при загрузке с пораженого диска перехватывает также INT 1Ch). При вызове функции DOS ChDir вызывает INT F5h, которое указывает на подпрограмму заражения файлов. Эта подпрограмма ищет EXE-файлы и записывает вирус в их конец. INT 13h используется для реализации стелс-алгоритма.
3.AH.2241
Очень опасный резидентный зашифрованный стелс-вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при обращениях к ним. При открытии зараженных файлов лечит их и снова заражает при закрытии. По воскресеньям стирает сектора винчестера и выводит текст: Stealth Replication Engine
4.Brezhnev.974
Неопасный резидентный зашифрованный вирус. Трассирует и перехватывает INT 21h, затем записывается в конец запускаемых EXE-файлов. По воскресеньям сообщает: "10 нoябpя 1982 гoдa пepecтaлo битьcя cepдцe Гeнepaльнoгo Cekpетapя ЦK KПCC, Гepoя Coциaлиcтичeckого Tpyдa, чeтыpeжды Гepoя Coвeтckoгo Coюзa Лeoнидa Ильичa Бpeжнeвa..."
5.Coca.509
Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых COM-файлов. В воскресенье после 12:00 вместо запуска файлов выводит текст: "System halted. Кажется я пеpегpелся ! Сpочно заливай Кока-Колу в дисковод !! И учти - я больше пpедупpеждать не буду !" Также содержит строку: "Coca-Kola 1.0 By Raven"


6 октября 2004 года                      Рейтинг вирусной активности за сентябрь

  1. I-Worm.NetSky.q - 21,67%
  2. I-Worm.NetSky.aa - 13,79%
  3. I-Worm.Zafi.b - 12,70%
  4. I-Worm.NetSky.b - 9,63%
  5. I-Worm.Mydoom.m - 5,34%
  6. I-Worm.Bagle.z - 4,86%
  7. I-Worm.NetSky.d - 4,55%
  8. TrojanDownloader.JS.Gen - 4,41%
  9. I-Worm.NetSky.t - 2,51%
  10. I-Worm.NetSky.y - 1,62%
  11. I-Worm.LovGate.w - 1,41%
  12. I-Worm.Bagle.as - 1,35%
  13. I-Worm.Mydoom.l - 1,11%
  14. I-Worm.NetSky.r - 1,08%
  15. I-Worm.Mydoom.t - 0,93%
  16. I-Worm.Bagle.gen - 0,86%
  17. I-Worm.NetSky.c - 0,83%
  18. TrojanDropper.VBS.Zerolin - 0,73%
  19. I-Worm.Bagle.ah - 0,62%
  20. I-Worm.Mydoom.u - 0,51%

08.09.2004

Рейтинг вирусной активности в августе 2004 года

 Поз. Название Доля
 1 I-Worm.NetSky.aa 18,22%
 2 I-Worm.NetSky.b 16,37%
 3 I-Worm.NetSky.q 13,64%
 4 I-Worm.Zafi.b 7,55%
 5 I-Worm.Mydoom.m 5,41%
 6 I-Worm.NetSky.t 5,05%
 7 I-Worm.Mydoom.q 4,29%
 8 I-Worm.Bagle.z 3,36%
 9 I-Worm.NetSky.d 2,40%
 10 I-Worm.LovGate.w 2,26%
 11 I-Worm.NetSky.y 2,11%
 12 I-Worm.NetSky.r 1,30%
 13 TrojanDropper.VBS.Zerolin 1,06%
 14 I-Worm.Sobig.f 0,94%
 15 I-Worm.Mydoom.l 0,93%
 16 Backdoor.Rbot.gen 0,72%
 17 I-Worm.NetSky.o 0,72%
 18 I-Worm.Swen 0,66%
 19 I-Worm.Bagle.gen 0,65%
 20 TrojanDownloader.Win32.Agent.bq 0,61%
  Другие вредоносные программы 11,73%

09.09.04              Первый баг в истории
9 сентября официально был зарегистрирован первый в истории баг. Именно в этот день ученые Гарвардского университета, тестировавшие вычислительную машину Mark II Aiken Relay Calculator, нашли мотылька, застрявшего между контактами электромеханического реле. Извлеченное насекомое было вклеено в тех.дневник, с сопроводительной надписью: "First actual case of bug being found".
Дата события: 9 сентября 1945 года
Исполняется: 59 лет


Август 03, 2004 вирусы июля
Июльский вирусный хит-парад "Лаборатории Касперского" выглядит так:

I-Worm.Zafi.b (57,41%)
I-Worm.NetSky.aa (11,71%)
I-Worm.NetSky.b (10,72%)
I-Worm.NetSky.q (2,94%)
I-Worm.Bagle.z (2,34%)
I-Worm.NetSky.t (2,08%)
I-Worm.NetSky.y (1,72%)
I-Worm.NetSky.d (1,25%)
I-Worm.LovGate.w (1,18%)
I-Worm.Bagle.gen (0,75%)
I-Worm.NetSky.o (0,40%)
I-Worm.Bagle.ah (0,35%)
I-Worm.Sobig.f (0,31%)
Backdoor.Rbot.gen (0,28%)
I-Worm.Bagle.ai (0,27%)
I-Worm.Mydoom.g (0,26%)
I-Worm.NetSky.m (0,25%)
I-Worm.NetSky.r (0,25%)
I-Worm.Mydoom.e (0,24%)
I-Worm.Swen (0,24%)


Алгоритм работы файлового вируса

  Получив управление, вирус совершает следующие действия (приведен список наиболее общих действий вируса при его выполнении; для конкретного вируса список может быть дополнен, пункты могут поменяться местами и значительно расшириться):
резидентный вирус проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена. Нерезидентный вирус ищет незараженные файлы в текущем и (или) корневом оглавлении, в оглавлениях, отмеченных командой PATH, сканирует дерево каталогов логических дисков, а затем заражает обнаруженные файлы;
выполняет, если они есть, дополнительные функции: деструктивные действия, графические или звуковые эффекты и т.д. Дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий; в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т.д.;
возвращает управление основной программе (если она есть). Паразитические вирусы при этом либо a) лечат файл, выполняют его, а затем снова заражают, либо б) восстанавливает программу (но не файл) в исходном виде (например, у COM-программы восстанавливается несколько первых байт, у EXE-программы вычисляется истинный стартовый адрес, у драйвера восстанавливаются значения адресов программ стратегии и прерывания). Компаньон-вирусы запускают на выполнение своего "хозяина", вирусы-черви и overwriting-вирусы возвращают управление DOS.
Метод восстановления программы в первоначальном виде зависит от способа заражения файла. Если вирус внедряется в начало файла, то он либо сдвигает коды зараженной программы на число байт, равное длине вируса, либо перемещает часть кода программы из ее конца в начало, либо восстанавливает файл на диске, а затем запускает его. Если вирус записался в конец файла, то при восстановлении программы он использует информацию, сохраненную в своем теле при заражении файла. Это может быть длина файла, несколько байт начала файла в случае COM-файла или несколько байтов заголовка в случае EXE-файла. Если же вирус записывается в середину файла специальным образом, то при восстановлении файла он использует еще и специальные алгоритмы.


4.06.2004   Новый вирус парализует "Касперского"
В Сети появился новый опасный вирус. Вредоносная программа Plexus.a распространяется по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети, а также через уязвимости в службах LSASS и RPC DCOM Microsoft Windows. На настоящий момент антивирусные компании получили большое число сообщений о случаях заражения этим червем. На основании анализа текста вируса "Лаборатория Касперского" пришла к выводу, что источником его создания стали исходные коды печально известного червя Mydoom.
Чтобы сбить пользователей Сети с толку и увеличить число компьютеров-жертв, автор Plexer.a написал пять различных вариантов опасных писем. Они отличаются по формальным признакам: заголовку, текстовому содержанию и названию приложенного к сообщению файла. Неизменным остается его размер: упакованный в формате FSG файл занимает 16208 байт, распакованный - 57856.
После запуска червь копирует себя в системный каталог Windows с именем upu.exe и регистрирует данный файл в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера. Для определения своего присутствия в системе червь также создает уникальный идентификатор Expletus. Затем он сканирует файловую систему пораженного компьютера и рассылает себя по всем найденным адресам электронной почты.
Помимо процедуры самораспространения, Plexer.a располагает еще двумя деструктивными функциями, представляющими значительную угрозу для инфицированного компьютера. Во-первых, червь пытается разрушить антивирусную защиту машин, защищенных "Антивирусом Касперского". Для этого он нарушает работу механизма автоматической загрузки обновлений антивирусных баз. Это дает злоумышленникам доступ к удаленному управлению компьютером, в частности, позволяет запускать на выполнение различные команды и загружать файлы по усмотрению автора червя


1 июня 2004 года          Майская вирусная двадцатка Касперского
"Лаборатория Касперского" опубликовала традиционный список двадцати самых распространенных вирусов за последний месяц. В мае, как известно, в интернете бушевала эпидемия червя Sasser. Однако в двадцатку "Лаборатории Касперского" он не попал, так как в этом рейтинге учитываются только вредоносные программы, распространяющиеся по электронной почте. Sasser же является сетевым червем, использующим для распространения интернет и дыру в ОС Windows.
Вместе с тем, в российской антивирусной компании придают большое значение аресту в Германии автора Sasser, который, по совместительству, создал и несколько вариантов червя NetSky. Именно с арестом вирусописателя в "Лаборатории Касперского" связывают отсутствие новых вариантов NetSky в мае. Вместе с тем, различные варианты NetSky очень широко представлены в вирусной двадцатке, занимая в нем первые четыре места и несколько позиций ниже по списку. Помимо Netsky, в рейтинге присутствуют различные модификации червя Bagle. Самая распространенная из них, Bagle.z, занимает пятое место в рейтинге. Имеются в майском хит-параде и вирусы семейств MyDoom, MiMail, Swen, Sober и LovGate. Особо в компании отмечают восемнадцатое место вредоносного скрипта Exploit.HTML.ObjData, попадающегося в спамерских рассылках, и двадцатое место вируса Klez.h, который с небольшими перерывами пребывает в двадцатке уже два года.
Полностью майский рейтинг вирусов выглядит так:

  1. I-Worm.NetSky.aa - 31,47%
  2. I-Worm.NetSky.b - 30,98%
  3. I-Worm.NetSky.q - 6,89%
  4. I-Worm.NetSky.y - 5,03%
  5. I-Worm.Bagle.z - 5,00%
  6. I-Worm.NetSky.d - 3,12%
  7. I-Worm.LovGate.w - 1,74%
  8. I-Worm.NetSky.t - 1,66%
  9. I-Worm.Swen - 1,56%
  10. I-Worm.Mydoom.e - 1,32%
  11. I-Worm.Mydoom.g - 0,86%
  12. I-Worm.NetSky.o - 0,86%
  13. I-Worm.NetSky.c - 0,71%
  14. I-Worm.NetSky.r - 0,70%
  15. I-Worm.Bagle.y - 0,47%
  16. I-Worm.Sober.g - 0,44%
  17. I-Worm.Bagle.i - 0,43%
  18. Exploit.HTML.ObjData - 0,41%
  19. I-Worm.Mimail.j - 0,35%
  20. I-Worm.Klez.h - 0,34%

12 февраля 2004 года  Все свидетельствует о том, что атаки нашумевшего Mydoom не закончатся 12 февраля, когда этот червь должен был прекратить распространение. В сети появился новый червь, использующий результаты деятельности своего предшественника - Doomjuice.A. Вполне вероятно, что новый вредоносный код был написан тем же автором. Нового червя невозможно обнаружить даже в электронной почте, поскольку он использует порты, открытые Mydoom.A и Mydoom.B. Новый вирус ведет себя так же, как SQLSlammer, эксплуатировавший бреши серверов т.е. это сетевой червь, использующий открытые порты.
Doomjuice.A создает в реестре Windows запись HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Gremlin" intrenat.exe, затем копирует себя в папку System под именем intrenat.exe и создает файл sync-src-1.00.tbz в папках Windows, Temp, System.


3.02.2003           Январский вирусный хит-парад Касперского

Антивирусная компания "Лаборатория Касперского" представила очередной ежемесячный рейтинг самых распространенных вирусов. В нынешнем январе по интернету прокатились сразу несколько вирусных эпидемий. Самой масштабной из них стала, без сомнения,эпидемия червя Mydoom, который сумел побить все рекорды по скорости распространения вредоносных программ.

Информация о масштабности эпидемии Mydoom подтверждается и данными "Лаборатории Касперского". На долю червя Mydoom.a (первой и наиболее распространенной версии червя) пришлось 78,32% всех заражений в январе. Этот показатель выглядит особенно впечатляющим, если учесть тот факт, что появился Mydoom в самом конце месяца - 27 января.

Ближайший преследователь Mydoom и лидер декабрьской двадцатки января оказался отброшенным на второе место с долей всего 6,57%. Виновник еще одной заметной эпидемии января вирус Bagle.A находится на шестом месте рейтинга с долей 1,12%. Довольно-таки сильные позиции сохраняют и вирусы семейства Mimail. Не сдает своих позиций лидер прошлого года - червь Sobig.F. Поднявшись в декабре до девятого места, он и в январе смог удержаться на данной позиции. Это особенно удивительно, если вспомнить о заложенном в черве ограничении по сроку действия до 10 сентября 2003 года.

Целиком январская вирусная двадцатка выглядит так:

  1. NewI-Worm.Mydoom.a - 78,32%
  2. I-Worm.Swen - 6,57%
  3. I-Worm.Mimail.c - 3,63%
  4. I-Worm.Sober.c - 2,11%
  5. I-Worm.Mimail.a - 1,96%
  6. NewI-Worm.Bagle - 1,12%
  7. I-Worm.Klez.h - 0,80%
  8. I-Worm.Mimai.g - 0,74%
  9. I-Worm.Sobig.f - 0,54%
  10. 5 I-Worm.Tanatos.b - 0,34%
  11. I-Worm.Lentin.j - 0,30%
  12. I-Worm.Lentin.g 0,27%
  13. I-Worm.Lentin.m - 0,26%
  14. NewMacro.Word97.Swatch.b - 0,23%
  15. I-Worm.Dumaru.a - 0,22%
  16. Macro.Word97.Thus-based 0,22%
  17. Macro.Word97.Saver 0,21%
  18. I-Worm.Lentin.o - 0,20%
  19. NewI-Worm.Dumaru.j 0,15%
  20. I-Worm.Mimail.j - 0,15%

13.01.2004 Новый вирус маскируется под обновление для Windows

Сразу несколько антивирусных компаний сообщили об обнаружении новой вредоносной программы Xombe, маскирующейся под обновление для операционной системы WinXP. Для своего распространения вирус использует электронную почту. В тексте сообщения говорится, что на компьютере установлена бета-версия первого сервис-пака для вышеназванной ОС, и для повышения производительности работы рекомендуется инсталлировать полный вариант SP1. Для этого нужно лишь запустить вложенный файл, не забыв при этом закрыть запущенные антивирусы, поскольку они могут вызвать сбои в процессе установки.

После неосторожного открытия вложения winxp_sp1.exe (4096 байт) вредоносная программа соединяется с неким интернет-сайтом и загружает оттуда основной компонент - троян Mssvc-A размером 27136 байт. Mssvc-A, в свою очередь, превращает компьютер-жертву в платформу для организации распределенных DoS-атак. Такие атаки, длящиеся несколько дней и даже недель, могут использоваться для вывода из строя каких-либо серверов, например, антиспамовых служб. Как правило, подобного рода сервисы не выдерживают лавин фальшивых запросов и закрываются.

Троян представляет угрозу для пользователей операционных систем Win2K\95\98\Me\NT\ХР\Server 2003. Платформы Linux, Macintosh, OS/2, UNIX заражению не подвержены. Ведущие компании, специализирующиеся на вопросах безопасности, уже обновили свои базы данных, включив в них процедуры защиты от Xombe. Кроме того, следует помнить, что Microsoft никогда не распространяет обновления в виде вложений к письмам: все апдейты и заплатки можно загрузить исключительно через службу поддержки.


2003


01.12.2003                                                   Недельный отчет о вирусах
По мнению антивирусной компании Panda Software Russia, наиболее «интересными» червями прошлой недели следует признать вирусы «Sysbug.A», «Psshutdown.A», «Randex.BF» и «Dialer.CB».
«Sysbug.A» — это троянец, который был массово разослан по электронной почте в сообщении с темой «Re[2]:Mary» и вложенным файлом PRIVATE.ZIP. Это сжатый файл (в формате ZIP), содержащий файл с двойным расширением WENDYNAKED.JPG.EXE.
«Sysbug.A» похищает конфиденциальную информацию с зараженных компьютеров, в том числе пароли к почтовым ящикам, почтовым серверам (SMTP и POP3), новостям, учетным записям соединений с интернетом и т.п. После этого троянец сохраняет собранную информацию в файле и отправляет его хакеру. Кроме того, «Sysbug.A» открывает порт TCP 5555 и ожидает команд управления. Наконец, он соединяется с адресом finance.red-host.com и выполняет запросы GET/POST к двум скриптам Perl.
«Psshutdown.A» является утилитой скрытого управления, позволяющей хакеру выключать и перезагружать компьютеры жертв (схожа с командой Unix «shutdown»). Перезагрузка компьютера может привести к потере всей несохраненной информации. «Psshutdown.A» может использоваться некоторыми червями и троянцами.
«Randex.BF» — это червь с возможностями троянца, распространяющийся через компьютерные сети. Он генерирует произвольные IP адреса и пытается соединиться с ними, используя типичные и простые пароли. Если попытка оказывается удачной, то червь копирует себя на компьютер, к которому он получил доступ. «Randex.BF» также подключается к каналу #goep на IRC сервере opqleure.qopmafia.net и ожидает команд управления (таких как Ntscan и Sysinfo).


«Dialer.CB» — это дозвонщик, соединяющийся с интернетом и загружающий файлы, которые затем сохраняются в папке. Кроме того, он создает четыре файла (2_INFO_PERSIST, NAVPMC.DLL, NAVPMC.EXE и UNINSTALL.EXEin) в папке Windows NAVPMC. Помимо этого, «Dialer.CB» создает четыре записи в реестре.


22 июля 2003 года                Новый деструктивный вирус для DOS


Компания Symantec сообщила о появлении нового вируса для DOS. Вирус получил индекс Haver.1309 и, по мнению экспертов Symantec, несмотря на свою DOS-принадлежность, может быть опасен и для пользователей Windows. После запуска вирус начинает перехватывать прерывания 21h и 24h, заражая все загружаемые и исполняемые файлы с расширением .exe. Кроме того, вирус обладает и деструктивными свойствами: 6 апреля вирус пытается перезаписать контрольную сумму CMOS. Тем не менее, из-за экзотичности DOS и программ для нее в настоящее время, вирус охарактеризован Symantec как малоопасный.


22 июля 2003 года                 Программа для поиска уязвимых для вирусов мест в локальной сети
Компания Sophos объявила о выпуске нового компонента своего корпоративного антивирусного пакета. С помощью EM Reporter компания предлагает облегчить администраторам поиск уязвимых для вирусов и троянов мест в локальной сети. EM Reporter накапливает и анализирует информацию о каждом срабатывании антивируса в корпоративной сети. По итогам анализа информации EM Reporter генерирует подробные отчеты, которые сопровождаются графическими схемами, иллюстрирующими наиболее подверженные вирусным атакам сегменты корпоративной информационной инфраструктуры.


22 июля 2003 года                 Хакеры штурмуют маршрутизаторы
Организации, работающие в области компьютерной безопасности, сообщили о появлении в интернете средств для проведения атак на маршрутизаторы производства компании Cisco Systems. Напомним, что использовать уязвимость можно, направив на маршрутизатор определенным образом сформированный набор пакетов. Эти пакеты могут вызвать сбой в программном обеспечении маршрутизаторов, который приводит к отказу устройств обслуживать запросы. Для ликвидации дыры уже выпущен соответствующий патч, однако установлен он пока не везде. С другой стороны, несмотря на появление в интернете кода для использования уязвимости и первые попытки атаковать "дырявые" маршрутизаторы, никаких связанных с этим крупных инцидентов пока не зарегистрировано.


21 июля 2003 года                Малоопасные вирусы, поражающие файлы HTML
Сразу несколько антивирусных компаний сообщили о появлении двух скриптовых вирусов, поражающих файлы HTML. Вирусы VBS.Renegy и VBS.Dasbud.int (по классификации Symantec) очень схожи между собой. Они являются скриптами на Visual Basic, способными самостоятельно записываться в файлы HTML. Вирус VBS.Renegy записывается в файлы, расположенные в папках C:\InetPub\wwwroot и C:\Program Files\Microsoft FrontPage\bin. Кроме того, этот вирус меняет исходную запись в тэге title на "HTML.Replace Was Here". VBS.Dasbud.int заражает файлы в тех папках, что и VBS.Renegy, но вместо модификации заголовка страницы записывает в файл код для вывода окна с сообщением "PopUp Buddy was here...". Оба вируса малоопасны и мало распространены в "диком" виде.


21 июля 2003 года              Очередной вирус маскируется под обновление для Windows
Антивирусные компании предупреждают о появлении очередного почтового червя, маскирующегося под обновления для операционной системы Windows. Вирус Symten (W32.HLLW.Symten@mm по классификации Symantec или I-Worm.Symten.b по классификации "Лаборатории Касперского") написан на языке Visual Basic и приходит в электронном письме, якобы отправленном службой техподдержки Microsoft и содержащем обновления для модуля SVCHOST.EXE. Тема письма и имя файла выбираются случайно из большого числа вариантов. При открытии вложенного файла активируется червь, который записывает себя в систмные папки Windows, модифицирует реестр и заражает некоторые файлы. Затем червь рассылает себя по всем адресам электронной почты из книги Outlook. Деструктивных функций червь не выполняет, поэтому Symantec относит его к малоопасным вирусам.


21 июля 2003 года              Вирус BAT.Wimpey.dr безуспешно пытается удалять файлы

Компания Symantec предупреждает о появлении нового вируса BAT.Wimpey.dr. Этот вирус разрабатывался, чтобы выполнять ряд деструктивных действий, однако из-за ошибок в коде эти действия выполняются частично. При запуске вирус блокирует клавиатуру и мышь, копирует себя в разные папки в папке Windows и пытается удалить в этих папках файлы .jpg, .bmp, .avi, .mov, .sys, .txt, .dll и .pwd. Однако из-за ошибки в коде вируса эти папки остаются невредимыми. Вирус также открывает лотки приводов CD и DVD и, в конце концов, зацикливается, записывая информацию в файл start.txt в папке Windows. В Symantec новый вирус характеризуют как малоопасный.



5.08.2003                            Июльская двадцатка вирусов

Антивирусная компания "Лаборатория Касперского" представила двадцатку наиболее распространенных вирусов в июле 2003 года. При сравнении рейтингов июня и июля становится ясно, что ситуация в том, что касается распространенности вирусов, постепенно меняется. В июньской двадцатке лидером был вирус I-Worm.Lentin, отвечавший за 32,48% всех заражений.

В июле Lentin опустился на 3 место с 4,15% заражений. Лидеры новой двадцатки - вирусы Tanatos и Sobig - не смогли отвоевать значительную долю "рынка заражений", их показатели - всего 8,60% и 6,56%, соответственно. Таким образом, в прошедшем месяце ситуация кардинально отлична от ситуации в июне (когда имелся один определенный лидер, в данном случае, Lentin), и радикально отличается от положения в июле 2002 года. Тогда безусловным лидером был Klez, отвечавший год назад за 84,28% всех заражений.

Klez до сих пор присутствует в двадцатке на почетном четвертом месте с 3,59% от общего числа заражений. Однако в июле этого года рейтинг лишился определенного лидера, на голову опережавшего по числу заражений все остальные вредоносные программы. Ныне "лидером" стала безымянная армия вирусов, каждый из которых отвечает за мизерное число заражений. Это связано как с отсутствием действительно новых, по существу, вирусов, так и с активной работой антивирусных компаний. Полностью картина заражений в июле 2003 года выглядит следующим образом:

  1. I-Worm.Tanatos - 8,60%
  2. I-Worm.Sobig - 6,56%
  3. I-Worm.Lentin - 4,15%
  4. I-Worm.Klez - 3,59%
  5. Macro.Word97.Saver - 2,37%
  6. TrojanDropper.JS.Mimail - 1,50%
  7. Macro.Word97.Thus - 1,48%
  8. VBS.Redlof - 0,97%
  9. I-Worm.Ganda - 0,89%
  10. Backdoor.SdBot - 0,58%
  11. Macro.Word97.Flop - 0,48%
  12. Win32.Parite - 0,46%
  13. Backdoor.Optix.Pro - 0,43%
  14. Backdoor.Beastdoor - 0,42%
  15. I-Worm.Avron - 0,41%
  16. Worm.P2P.SpyBot - 0,38%
  17. I-Worm.Gibe - 0,37%
  18. I-Worm.Hybris - 0,37%
  19. Backdoor.Death - 0,32%
  20. Macro.Word97.Marker - 0,26%

Другие вредоносные программы вместе - 65,39%


Обзор вирусной активности за август 2003.Двадцатка наиболее распространенных вредоносных программ:

Вирусы в августе по данным Лаборатории Касперского

Другие вредоносные программы* - 20,86%
* не вошедшие в 20 наиболее распространенных
Доли различных типов вредоносных программ:
Сетевые черви - 90,47%
Вирусы - 5,67%
Троянские программы - 3,85%


"Лаборатория Касперского"предупреждает пользователей о регистрации в Рунете массовой спам-рассылки троянской программы-шпиона "Puppy".
На данный момент не зарегистрировано случаев заражения этой вредоносной программой. Несмотря на это "Лаборатория Касперского" рекомендует внимательно ознакомиться с деталями инцидента, чтобы исключить возможность успешной атаки на ваш компьютер.
"Puppy" доставляется на компьютер в электронных письмах в виде вложенного файла UPDATE.EXE. Заголовок письма содержит фразу "Антивирус ВИРУС-911", а тело письма текст, согласно которому в прилагаемом файле находится обновление для Антивируса Касперского.
Файл UPDATE.EXE содержит вредоносный код, который непосредственно внедряет на компьютер программу-шпиона "Puppy". Если пользователь имел неосторожность запустить этот файл, то на диск записывается копия "Puppy" и регистрируется в секции автозапуска системного реестра Windows. После этого "троянец" сканирует компьютер в поиске системных паролей, паролей доступа в интернет и другой конфиденциальной информации. Собранные данные незаметно для владельца компьютера отсылаются на анонимный адрес одной из публичных служб электронной почты.
Защита от массовой спам-рассылки "Puppy" уже добавлена в базу данных Антивируса Касперского.


21.09.2003 Почтовый вирус
Появился новый вирус, который выдает себя за заплатку для системы безопасности компьютера, но фактически пытается отключить действующие системы безопасности. Письмо приходит от имени корпорации Microsoft. Новый вирус под названием "Swen" или "Gibe", использует слабое место в программе Internet Explorer и рассчитан на тех, кто еще не установил патч устраняющий эту прореху, которая присутствует в популярном броузере вот уже 2 года. Вирус приходит вложением и выглядит как патч для программ Interner Explorer, Outlook и Outlook Express. На самом деле вирус рассылает свои копии по всем адресам, содержащимся в адресной книге жертвы. На сегодняшний день количество заражений приближается к 1 млн. компьютеров. В связи с этим фирма Microsoft напомнила, что никогда не высылает патчи, а лишь дает интернет-ссылки для их выкачивания.


05.10.2003                                Рейтинг распространения вирусов в сентябре

"Лаборатория Касперского" выпустила очередной рейтинг-лист, отражающий степень распространения различных вирусных программ. Посмотрим, какие эпидемии проистекают в настоящее время...

Рейтинг распространения вирусов в сентябре 2003 г.

 Поз. Название Доля
 1 I-Worm.Sobig 44.75%
 2 I-Worm.Swen 36.50%
 3 I-Worm.Mimail 6.50%
 4 I-Worm.Klez 2.52%
 5 I-Worm.Lentin 2.35%
 6 I-Worm.Tanatos 0.81%
 7 I-Worm.Dumaru 0.68%
 8 Worm.Win32.Lovesan 0.35%
 9 Worm.P2P.SpyBot 0.14%
 10 Win95.CIH 0.11%
 11 Backdoor.SdBot 0.09%
 12 I-Worm.Ganda 0.09%
 13 VBS.Redlof 0.08%
 14 Win32.Parite 0.08%
 15 Worm.Win32.Welchia 0.08%
 16 Win32.FunLove 0.08%
 17 I-Worm.Roron 0.07%
 18 Backdoor.Optix.Pro 0.07%
 19 I-Wom.Fizzer 0.07%
 20 Macro.Word97.Thus 0.05%
  Остальные 4.52%

Что ж, "червь" Sobig пока не собирается никому уступать пальму первенства. А вот на втором месте - стремительный дебют вируса Swen, маскирующегося под критическое обновление системы безопасности Windows. Напоминаем нашим пользователям, что Microsoft не распространяет посредством электронной почты заплатки и патчи конечным пользователям, и если вы столкнулись с таким сообщением, будьте уверены, что у вас в ящике - вирус.
В остальном ситуация - отнюдь не удивительная и особо - не примечательная. Немного участились случаи заражения "червями" Klez, Lentin, а вот темпы распространения вирусов Tanatos и Lovesan - снижаются. Также хотелось бы отметить "триумфальное возвращение" сразу на 10 позицию вируса Win95.CIH, известного в народе, как "Чернобыль".
В заключение новости хочется привести стандартно напоминание о насущной необходимости установки firewall и антивирусных программ на ваших компьютерах с доступом в Internet.



5 ноября 2003 года Октябрьский хит-парад вирусов "Лаборатории Касперского"


Kомпания "Лаборатория Касперского" представила список двадцати самых распространенных вирусных программ октября 2003 года. По сравнению с сентябрем, в вирусном хит-параде произошли серьезные изменения. В частности, список впервые покинули сетевые черви Klez и Lentin, которые не покидали двадцадку "Лаборатории Касперского" с ноября 2001 и марта 2002 года, соответственно. Серьезно пошатнулись позиции Sobig, лидировавшего на протяжении последних нескольких месяцев: он спустился с первого на восьмое место. Это, впрочем, легко объяснить тем, что последняя и самая распространенная версия этого червя Sobig.F автоматически деактивировалась 10 сентября.
Верхнюю позицию рейтинга занял червь Swen, появившийся в интернете в середине сентября, но уже в сентябрьском рейтинге прочно оккупировавший второе место. Swen маскируется под важное обновление для Windows и распространяется по электронной почте, в сети Kazaa и чатах IRC. На долю Swen в октябре пришлись более 70% всех заражений. Занявший втрое место вирус Tanatos был ответственен на 1,13% заражений, а третье место занял вирус Mimail с долей в 1,07%. На четвертой позиции идет бесспорный хит августа - вирус Blaster или, по классификации "Лаборатории Касперского", Lovesan. Из новых вирусов наиболее широкое распространение получил червь Sober. Он занимает шестую позицию в рейтинге с долей 0,63%. Самым "заслуженным" участником октябрьской двадцадки является вирус Win95.CIH или "Чернобыль", который свирепствовал еще во времена Windows 95.
Целиком октябрьский хит-парад вирусов выглядит так:
I-Worm.Swen - 70,94%
I-Worm.Tanatos - 1,13%
I-Worm.Mimail - 1,07%
Worm.Win32.Lovesan - 0,89%
Backdoor.SdBot - 0,70%
I-Worm.Sober - 0,63%
Worm.P2P.SpyBot - 0,59%
I-Worm.Sobig - 0,52%
Backdoor.Ciadoor - 0,47%
VBS.Redlof - 0,39%
TrojanDropper.Win32.Small - 0,38%
Backdoor.Agobot - 0,30%
Win95.CIH - 0,29%
Backdoor.Optix.Pro - 0,28%
TrojanProxy.Win32.Hino - 0,23%
Backdoor.IRCBot - 0,23%
Win32.Parite - 0,22%
Keylogger.Win32.PerfectKeyLogger - 0,21%
Macro.Word97.Flop - 0,18%
Trojan.Win32.StartPage - 0,18%
Что касается распределения вредоносных программ по типам, то на долю почтовых червей пришлось 90,76% всех инцидентов, традиционные файловые вирусы были виноваты в 2,77% заражений, а троянские программы виноваты в 6,46% инцидентов.Ноябрьская двадцатка самых распространенных вирусов отмечена появлением сразу нескольких вариантов сетевого червя Mimail, самый «успешный» из которых, I-Worm.Mimail.c, возглавил «хит-парад» с показателем в 34,57% от общего числа зарегистрированных инцидентов. Всего в ноябре появилось шесть новых модификаций Mimail, которые в сумме набрали около 57,19%. Это было вызвано тем, что исходные тексты первого червя семейства Mimail были опубликованы в интернете.
Mimail удалось потеснить лидера прошлого месяца, I-Worm.Swen, на третье место в вирусной статистике, а безусловный лидер 2003 года — Sobig.f — опустился на 11 место. Свою роль в этом сыграло и возвращение в список «старых знакомых» — червей семейства Klez и Lentin.
Также вернулись в 20-ку черви Dumaru и Lovelorn, причем Dumaru.a сразу же занял 8 место.
Смог укрепить свои позиции немецкий червь Sober, поднявшийся за месяц на две позиции, с 6 на 4 место.
Значительно уменьшилось число троянских программ, на этот раз в рейтинге всего две вредоносные программы этого типа (утилиты несанкционированного управления — backdoor) — Agobot и SdBot, да и те потеряли 7 и 14 мест соответственно и замыкают собой вирусную двадцатку ноября.
Таким образом, сетевые черви окончательно монополизировали вирусную статистику, отдав «троянцам» чуть более полпроцента рейтинга. Компьютерные вирусы впервые вообще покинули двадцатку.
Типы вредоносных программ
В двадцатке появились следующие новые вредоносные программы: черви семейства Mimail — c,e,f,g,h,j, и Hawawi.g. Повысил свой рейтинг только Sober. Понизили свои показатели Swen, Mimail.a, Sobig.f, Tanatos.b, Lovesan, Agobot, SdBot. В хит-парад вернулись Klez.h, сразу две версии Lentin, Dumaru.a и Lovelorn.


По следам "Чернобыльского" вируса
Вот уже несколько лет прошло после памятной даты 26 апреля 1999 г., когда сотни тысяч (а, может быть, и миллионы) компьютеров во всем мире в одночасье были превращены "Чернобыльским" вирусом в неработоспособные груды металлов и полупроводников. Но многие ли извлекли из этого события действительно полезные уроки?
Такая ситуация была бы невозможна, если хотя бы 1% людей, связанных с компьютерами, умел разбираться в сути проблемы компьютерных вирусов, был способен отличить действительно достоверную информацию от очередной журналистской "утки", и, главное, правильно использовать эту информацию.
Эта статья для тех, кто хочет увидеть собственными глазами и пощупать собственными руками, что собой представляет "Чернобыльский" вирус (официальное наименование – Win95.CIH), и чего стоит ждать от нескольких десятков вирусов, которые уже написаны, и которые продолжают создаваться вирусописателями- плагиаторами по его образу и подобию.
Эта статья принципиально не содержит рецептов по написанию новых вирусов, хотя в ней можно обнаружить немало фрагментов вирусного кода. С другой стороны, я надеюсь, что она выгодно отличается от доступного в Интернете авторского исходника этого вируса, прокомментированного обильно, но малоинформативно.
МИФ О "ЧЕРНОБЫЛЬСКОМ" ВИРУСЕ
Жил да был, и учился в одном из университетов острова Тайвань молодой человек по имени Чен Инг Хау. Однажды захотелось ему написать компьютерный вирус. Неизвестно, какой он был студент, но программист –очень хороший. Чен Инг Хау умел писать 32-разрядные Windows-приложения на языке ассемблера, к тому же он где-то как-то получил доступ к недокументированным подробностям строения MS Windows 95. (Не похоже, что он сам все "расхакал" – слишком уж глубоко лежат в недрах операционной системы использованные им "секреты", так что для доступа к ним "котлован рыть" надо, а не "скважину бурить"). Сказано-сделано. Всю весну 1998 г. Чен Инг Хау упорно трудился, и вирус у него получился на славу: компактный, рационально написанный и тщательно отлаженный. Настолько тщательно, что на зараженной машине был практически незаметен. Опечалился Чен Инг Хау: кто же на вирус внимание обратит, кто же его автора попомнит незлым тихим словом? Опечалился… и вставил в вирус фрагмент, который две вещи делает: 26 апреля Flash-BIOS компьютера стирает, а вдобавок еще и большие области винчестера (в том числе и системные) "мусором" заполняет.
Потом Чен Инг Хау похвастался этим вирусом перед своими друзьями, которые сами такие вещи писать не умели, зато в течение мая месяца 1998 г. быстро распространили вирус по машинам всего университета. Начальство университета провело "служебное расследование", выявило автора и в два счета отчислило его из студентов. А тут к нему сразу и повестка из военкомата пришла, и отправился Чен Инг Хау в доблестные вооруженные силы острова Тайвань чистить зубной щеткой тайваньские сортиры, стирать тайваньским дедам тайваньские портянки и делать все остальное, что полагается тайваньским солдатам по тайваньскому Уставу.
А вирус пошел дальше, и оказался в Интернете, на сайтах, содержащих различные полезные утилиты. Вероятно, свои шаловливые ручонки к этому приложили друзья Чен Инг Хау, а также друзья этих друзей. Сей факт практически сразу, в начале лета, отметили все антивирусные компании мира, выпустив предупреждающие пресс-релизы и обновления антивирусных баз. Но месяц шел за месяцем, вирус тихо и незаметно расползался по миру, ничего не взрывалось, а пользователи обычно всегда плюют на всякие там пресс-релизы и никогда не запускают свои НортонАнтивирусы и ДокторСоломоны, пока их жареный петух не клюнет в одно место. Дошло до того, что осенью 1998 г. чуть ли не каждый второй CD, изготовленный нашими отечественными компьютерными пиратами, содержал программы, зараженные вирусом Win95.CIH.
Час расплаты настал 26 апреля 1999 г. Компьютерный мир вздрогнул… но было уже поздно.
А Чен Инг Хау перевели из тайваньской казармы в тайваньскую камеру. Несколько месяцев он "парился на киче", его допрашивали и местные тайваньские "копы", и заезжие из Америки "феды"… Потом был суд, на котором выяснилось, что конкретно на острове Тайвань компьютеров пострадало не слишком много, и поэтому сажать автора вроде бы как и не за что. Чен Инг Хау оказался кем-то вроде национального героя и получил предложения от ряда крупных тайваньских фирм заняться интересной высокооплачиваемой работой.
Прошли годы. Но тысячи лазерных дисков с зараженными игрушками и софтом по-прежнему лежат на полочках у пользователей и программистов. Исходные тексты вируса легко найти в Интернете. Чуть ли не каждый второй вновь написанный компьютерный вирус, предназначенный для заражения Windows-программ, содержит готовые куски кода, без особых раздумий и подчас даже без понимания смысла "выдранные" из Win95.CIH.
А это значит – история "Чернобыльского" вируса потихоньку продолжается, и данная статья по-прежнему актуальна.
КАК ИССЛЕДОВАТЬ АЛГОРИТМ РАБОТЫ ВИРУСА?
Поставим простой эксперимент: запустим в своей системе программу, зараженную вирусом Win95.CIH.1003. Именно эта модификация вируса вольготно "гуляла" по нашей стране в 1998-99 гг. Поработаем некоторое время в этой системе, и антивирусный сканер сообщит, что "зараза" уже "пустила корни". В первую очередь заражаются служебные программы RUNDLL32.EXE (если мы запускали Windows-программы) и START.EXE (если мы запускали DOS-программы), а также большинство прикладных программ и утилит, с которыми мы работали.
В качестве объекта для "патолого-анатомических" экспериментов возьмем файл NOTEPAD.EXE длиной 57344 байтов.
Лучший дизассемблер Windows-программ на данный момент – IDA PRO от Ilfak Guilfanov. Но очень много пользы может принести и обычный Hacker View (HIEW) Евгения Сусликова aka SEH. Трассировать фрагменты кода лучше всего при помощи NuMega WinIce.
КАК ВИРУС ВНЕДРЯЕТСЯ В ПРОГРАММЫ?
Длина файла NOTEPAD.EXE после заражения осталась прежней, но антивирус сообщает, что внутри скрывается Win95.CIH. "Напустим" на зараженную программу HIEW. Сравнивая два файла, зараженный и здоровый, несложно обнаружить, что часть фрагментов, которые в здоровом файле были пусты (содержали нулевые коды), в зараженном файле оказались заполненными чем-то непонятным. Вывод однозначен: вирус записался в неиспользуемые фрагменты EXE-файла, благодаря чему и не произошло изменения его (файла) длины.
Интересно разобраться, что это за неиспользуемые фрагменты, и почему они присутствуют в EXE-файле.
Справка. Windows-программа PE-формата представляет собой набор секций (их еще называют "сегментами" или "объектами").
Самая первая по счету секция – не настоящая, это "псевдосекция". Она не имеет имени и содержит заголовки и настроечные таблицы PE-программы. В этой секции сначала размещается обычный заголовок EXE-программы, начинающийся с байтов ‘MZ’. По смещению 3Ch в этом заголовке хранится адрес специфического заголовка PE-программы, начинающегося с байтов ‘PE’. Где-то между этими двумя заголовками лежит код крохотной программки, умеющей выводить сообщение "This program can’t run in Ms-Dos mode". Вот самые важные для нас поля PE-заголовка:

ПолеСмещениеДлинаНазначение
Magic+004Сигнатура ‘PE\0\0’ (0x00004550)
NumberOfSections+062Количество секций (без "псевдосекции")
SizeOfOptionalHeader+14h2Размер переменной части заголовка
AddressOfEntryPoint+28h4Смещение точки входа в программу
ImageBase+34h4Базовый адрес загрузки программы
SectionAlignment+38h4Размер блока в памяти
FileAlignment+3Ch4Размер блока на диске

Структура этого заголовка описана под именем _IMAGE_OPTIONAL_HEADER в файле WINNT.H, который можно обнаружить в составе таких продуктов, как Borland C/C++ v5.0, Microsoft Visual C/C++, Microsoft Windows 9X/NT/2000/XP DDK и пр.
Все секции (в том числе и "псевдосекция" заголовков) присутствуют и в программном файле, и в памяти, причем располагаются в одном и том же порядке. Отличие только в том, что каждая секция (в том числе и "псевдосекция" заголовков) занимает целое число блоков определенной длины, а размер этих блоков в общем случае различен для случая файла (см. поле FileAlignment, часто его значение равно 512) и для случая памяти (см. поле SecionAlignment, часто его значение равно 4096). Самая первая по счету секция (это "псевдосекция" заголовков) при загрузке в память получит линейный адрес ImageBase (часто его значение равно 400000h). Смещение первой исполняемой команды программы относительно ImageBase хранится в поле AddressOfEntryPoint.
Все секции (кроме "псевдосекции" заголовков) имеют имена. Программный код, как правило, хранится в секции с именем .text или CODE. Области переменных размещаются в секциях .data или DATA. Под текстовые и строковые константы обычно отводится секция .idata, под ресурсы Windows-приложения - секция .rsrc и т.п. Сразу после PE-заголовка (который состоит из постоянной части длиной 0x18 байтов и переменной части длиной SizeOfOptionalHeader байтов) размещается таблица описания всех секций (кроме "псевдосекции" заголовков). Она содержит NumberOfSections записей следующей структуры:

ПолеСмещ.ДлинаНазначение
Name+00h8Символьное имя секции
VirtualSize+0Сh4Реальное количество информации в секции
VirtualAddress+10h4Смещение секции в памяти от ImageBase
SizeOfRawData+14h4Размер, зарезервированный для секции на диске
PointerToRawData+18h4Смещение секции от начала файла
Characteristics+20h4Флаги свойств секции

Подробней с этой структурой можно также ознакомиться, заглянув в файл WINNT.H, там она располагается под именем _IMAGE_SECTION_HEADER.
Обычно SizeOfRawData – это "круглое" число, кратное значению FileAlignment (часто это 512 байтов), а значение поля VirtualSize – число "не круглое", характеризующее реальную длину секции. Значит, между реальным концом области, содержащей "полезные" байты содержимого секции, и концом фрагмента дисковой памяти, зарезервированным за этой секцией, обычно присутствует неиспользуемый "зазор", величина которого может варьироваться от 1 до 511 байтов.
Продолжая глядеть на NOTEPAD.EXE при помощи HIEW, нажмем клавишу F8. Это позволит увидеть содержимое полей специфического PE-заголовка зараженной программы. Вслед за этим нажмем F6 и ознакомимся с таблицей программных секций. Сравнивая два файла, зараженный и незараженный, можно легко увидеть, что:
1) в PE-заголовке изменилось значение поля AddressOfEntryPoint:

 БылоСтало
AddressOfEntryPoint0x10CC0x270

Графически произошедшие изменения можно изобразить так:

-

Итак, вирус зарезервировал для себя место в "хвостах" нескольких секций и записал туда куски своего кода. Начальный фрагмент своего кода он поместил в неиспользуемую область в "псевдосекции" заголовков.
После этого вирус изменил точку входа в программу таким образом, что она стала указывать на его начальный фрагмент. Выясняется, что Windows при запуске зараженной программы не проверяет местоположение точки входа – ей абсолютно безразлично, находится ли она внутри секции с именем .text, или в какой-нибудь другой секции, или вообще вне секций. Поразительная беспечность!
В КАКИХ ОПЕРАЦИОННЫХ СИСТЕМАХ ВИРУС ЖИВЕТ?
В своей работе вирус использует ряд в общем-то документированных, но малоизвестных особенностей функционирования Windows.
Справка. Каждому запущенному на исполнение потоку Windows ставит в соответствие структуру данных под названием TIB (Thread Information Block – блок информации о потоке). Второе четырехбайтовое поле в этой структуре является линейным адресом текущего SEH (Structured Exception Handler – структурированного обработчика исключений), а первое – адресом следующего в длинной цепочке аналогичных же обработчиков. Обработчики активируются в момент возникновения исключительных ситуаций (например, если программа попытается выполнить недопустимую команду или обратиться в "запрещенный" район памяти).
В момент запуска потока структура TIB доступна по адресу FS:[0].
Для того, чтобы ответить на вопрос об "ареале" распространения вируса, потребуется дизассемблировать и внимательно исследовать его начало (первые несколько десятков байтов, на которые указывает AddressOfEntryPoint). Вот как выглядит этот фрагмент:

 

VirtualSize

SizeOfRawData

БылоСталоБылоСтало
.text0x3E9C0x40000x40000x4000
.data0x84C0x10000x10000x1000
push    ebp
lea     eax,[esp-0008]	 
xor     ebx,ebx
xchg    eax,fs:[ebx]
call    $+5	 
pop     ebx			
lea     ecx,[ebx+00042]	; Адрес нового SEH
push    ecx
push    eax
СмещениеЗначениеПримечание
ESPEbp 
ESP-4Адрес старого SEH 
ESP-8Адрес нового SEHСюда указывает FS:[0]

Поскольку стек "растет вниз", то достаточно перевернуть эту табличку "вверх тормашками" и увидеть, что фрагмент стековой памяти, начинающийся с адреса [esp+8], по своему содержимому очень напоминает начало какой-то TIB. Все правильно, именно в этой роли он в дальнейшем и будет использоваться!
Примечание. Может показаться странным, что автор вируса довольно замысловато манипулирует со стеком вместо того, чтобы просто сформировать нужную структуру данных в обычных переменных. Но не нужно забывать, что данный фрагмент вируса выполняется в области программы, которая не принадлежит ни одной из секций, и, следовательно, для нее запрещена запись в память.
Итак, первым делом CIH берет на себя обработку исключительных ситуаций. Зачем? Дело в том, что непосредственно вслед за этим он пытается модифицировать системную IDT (Interrupt Descriptor Table – таблицу дескрипторов прерываний) для того, чтобы взять на себя также еще и обработку прерывания номер 3.

push eax
sidt [esp-0002] ; Адрес IDT - в стек
pop  ebx
add  ebx,01C
cli
; Дескриптор 6-байтовый, и модифицируется он по частям
mov  ebp,[ebx]
mov  bp,[ebx-0004]
; Выполняется адресация на новый обработчик
lea  esi,[ecx+00012]
push esi
; Вписывается 1-я половина адреса
mov  [ebx-0004],si
shr  esi,010
; Затем вторая
mov  [ebx+00002],si
pop  esi

Теперь достаточно инициировать вызов прерывания командой Int 3, и управление получит вирусный обработчик этого прерывания. Только вот выполняться этот обработчик будет уже в нулевом кольце защиты, а это значит, что вирус получит недоступные ему прежде системные привилегии.
Но сработает этот прием только в Windows 95/98/ME. А в операционных системах семейства Windows NT/2000 возникнет исключительная ситуация. Вот для чего вирус перехватывал обработчик исключений – чтобы зараженная программа при запуске из-под NT не вылетала, а корректно продолжала свою работу!
Итак, зараженная вирусом программа будет корректно работать в любой операционной системе, но размножаться (т.е. заражать другие программы) вирус способен только в Windows 9X.
КАК ВИРУС ВОЗВРАЩАЕТ УПРАВЛЕНИЕ ЗАРАЖЕННОЙ ПРОГРАММЕ?
Фрагмент возврата управления зараженной программе следует искать в вирусном обработчике исключений. Вот он:

; Старый SEH возвращается на прежнее место
xor  ebx,ebx
mov  eax,fs:[ebx]
mov  esp,[eax]
pop  fs:[ebx]
pop  eax
pop  ebp
; Возврат управления зараженной программе!
push 00040278C
retn

Нетрудно сообразить, что 040278Сh – это и есть сохраненное внутри вируса значение старой точки входа в программу! Достаточно вычесть из него значение поля ImageBase и поместить на свое "законное" место в поле AdressOfEntryPoint. И вирус, формально оставшись внутри программы, никогда больше не получит управления!
Обратим внимание, что "заветное" двойное слово лежит по смещению +5Eh относительно точки входа в вирус. Собственно говоря, теперь мы уже можем написать свой собственный антивирус. Но восстановив точку входа, мы только обезвредим вирус. Ряд антивирусов (например, "Антивирус Касперского" с подключенной базой CIH-TRACE.AVC) способны обнаруживать такой "убитый", но "не похороненный" Win.CIH и устраивать по этому поводу небольшой "скандал".
Кроме того, коварные повадки "заразы" изучены еще не до конца. Поэтому продолжим анализ.
КАК ВИРУС ИЩЕТ ЦЕЛИ ДЛЯ ЗАРАЖЕНИЯ?
CIH относится к классу "резидентных" вирусов, хотя этот термин для многозадачных операционных систем и не имеет смысла. Это значит, что он "сидит" в памяти постоянно, следит за всеми вновь запускаемыми программами и заражает их.
"Слежку" за запускаемыми программами он осуществляет при помощи "секретного", очень скупо документированного фирмой Microsoft механизма обращений к глубинным компонентам ядра операционной системы – к VMM (Virtual Memory Manager – менеджеру виртуальных машин) и к драйверам виртуальных устройств.
Справка. Обращение к компонентам ядра Win9X (которое обычно выполняется не из прикладных программ, но из системных DLL) выглядят следующим образом:

int 20h
dw ?    ; Номер функции
dw ?    ; Код компонента, например: 1- VMM, 40h – IFSMgr, и пр.

Необходимые параметры вызова при этом передаются через стек.
Обычно дизассемблеры подобный код отображают в виде высокоуровневых ассемблерных макросов VxDCall и VMMCall.
Этот код не является реентерабельным, поскольку ядро Windows в процессе выполнения подобного запроса искажает несколько байтов в точке, в которую предполагается возврат управления. Для системных DLL это несущественно, а перед вирусами (вернее, перед их авторами) встает ряд трудноразрешимых проблем по восстановлению первоначального кода.
Обращения прикладных и системных программ к файловой системе обслуживаются компонентом ядра под названием IFSMgr (Installed File System Manager - менеджер инсталлированной файловой системы), все эти обращения кодируются числом 40h. Среди нескольких десятков сервисных функций этого компонента интересно выделить:

Доступ к вышеописанным механизмам возможен только из нулевого кольца защиты.
Используя вызов InstallFileSystemApiHook, вирус берет на себя обработку обращений к файловой системе и ждет (проверяя каждый раз параметры вызова, сохраненные в стеке) запроса на открытие файла какой-либо программы (это обычно происходит при ее запуске):

; Обработчик уже занят заражением какого-либо файла?
 Test [esi], 001
 Jne SkipInf
; Проверка стековых параметров вызова 
 lea  ebx,[esp+00028]
 cmp  [ebx], 024  ; Открытие файла ?
 jne  SkipInf
; Заражение
...
SkipInf:

Все это очень похоже на перехват каким-нибудь старинным резидентным вирусом прерывания 21h, только происходит теперь уже в 32-битовой многозадачной среде Windows.
КАК ВИРУС ОТЛИЧАЕТ УЖЕ ЗАРАЖЕННУЮ ПРОГРАММУ?
Вот маленький фрагмент вирусной процедуры, выполняющей заражение PE-файла:

Xor  eax,eax
Mov  ah,0D6          ; Код операции чтения
Mov  ebp,eax
Xor  ecx,ecx
Mov  cl,004          ; Кол-во байтов
Xor  edx,edx
Mov  dl,03C          ; Смещение в файле
Call edi             ; Читать
Mov  edx,[esi]
Dec  edx             ; Смещение-1

Проанализировав его, легко понять, что вирус рассчитывает местоположение в файле для PE-заголовка потенциальной "жертвы" и проверяет первый байт перед сигнатурой ‘PE’. В "здоровой" программе этот байт обычно нулевой, а любое ненулевое значение является для вируса признаком зараженности.
Поэтому программу, зараженную вирусом CIH, целесообразно не восстанавливать полностью в исходном виде, но оставить на своем месте хотя бы признак зараженности. В следующий раз вирус эту программу не тронет.
КАК НАПИСАТЬ СВОЙ АНТИВИРУС?
Для того, чтобы "собирать" себя из отдельных "кусочков", вирусу, конечно же, требуется где-то запомнить местоположение этих "кусочков" и их длины. Табличку с этой информацией можно обнаружить в самом начале вирусного кода, непосредственно перед точкой входа в вирус. В зараженном файле NOTEPAD.EXE она выглядит так:

Table:
 Dd 0         ; Признак конца таблички
 Dd 000000F7h ; Длина в секции .data
 Dd 0040584Ch ; Позиция в секции .data
 Dd 00000164h ; Длина в секции .text
 Dd 00404E9Ch ; Позиция в секции .text
 Dd 00000190h ; Длина в псевдосекции заголовков
; Точка входа в вирус
Start:
 Push ebp
...
 Lea     eax,[esi-Start] ; Адрес начала таблички
 ...
 mov     esi,eax
More:
 Mov     ecx,[eax-0004] ; Очередная длина
 Repe    movsb   
 Sub     eax,008   ; Адрес очередного "кусочка"
 Mov     esi,[eax]
 Or      esi,esi   ; Конец таблички?
 Je      Enough
 Jmps    More

Итак, мы теперь владеем информацией, достаточной для того, чтобы восстановить зараженную программу в исходном виде:

Разумеется, прежде чем "лечить" программу, нужно предварительно убедиться в том, что она действительно "больна". "Чернобыльский" вирус не относится к классу полиморфных, хранит свой код в программе в неизменном виде и, значит, легко может быть обнаружен по сигнатуре – характерной для него и только для него последовательности байтов.
Не будем особо мудрствовать и возьмем в качестве сигнатуры 8 первых байтов вируса, начиная с точки входа.

/* Компилировать, например, в BC/C++ 5.0 */
#include <stdio.h>
#include <winnt.h>

#define SLEN 8
#define OK   0
#define BAD  1

IMAGE_NT_HEADERS32 pe;
IMAGE_DOS_HEADER mz;
IMAGE_SECTION_HEADER sh;

/* "Проверялка" для Win95.CIH. © Климентьев К., Самара 2001 */
int CheckCIH( char *filename ) {

int  f, i;
char buf[SLEN];
char Sign[SLEN] ={0x55, 0x8D, 0x44, 0x24, 0xF8, 0x33, 0xDB, 0x64};

f=open(filename, O_RDONLY|O_BINARY);
read( f, &mz, sizeof(IMAGE_DOS_HEADER));
if ((mz.e_magic==0x5A4D)&&(mz.e_lfarlc>=0x40)) {
 lseek( f, mz.e_lfanew, SEEK_SET);
 read( f, &pe, sizeof(IMAGE_NT_HEADERS32));
 if (pe.Signature==0x4550) {
  lseek( f, pe.OptionalHeader.AddressOfEntryPoint, SEEK_SET);
  read( f, buf, SLEN); close(f);
  for (i=0;i<SLEN;i++) if (buf[i] != Sign[i]) return OK;
  return BAD;
  }
 }
close(f); return OK;
}

"Лечение" зараженного файла состоит из двух этапов. На первом мы разыскиваем внутри вируса и возвращаем на "законное место" внутри заголовка двойное слово – оригинальный адрес точки входа в программу. Собственно говоря, второй этап совершенно необязателен, т.к вирус уже обезврежен. Тем не менее, дабы "успокоить" некоторые особо бдительные антивирусы, дополнительно просканируем табличку вирусных фрагментов, рассчитаем их местоположение внутри файла и заполним их символом "звездочка".

/* "Лечилка" для Win95.CIH. © Климентьев К., Самара 2001 */
CureCIH( char *filename ) {

Int  f, i, k;
Unsigned char c='*';
DWORD l, p, e, tmp;

F=open(filename, O_RDWR|O_BINARY);

/* Восстановление старой точки входа */
lseek(f,pe.OptionalHeader.AddressOfEntryPoint+0x5E,SEEK_SET);
read(f, &e, 4); e -= pe.OptionalHeader.ImageBase;
lseek(f,mz.e_lfanew+0x28,SEEK_SET);
write(f, &e, 4);

/* Удаление вируса из области заголовков */
lseek( f, pe.OptionalHeader.AddressOfEntryPoint-4, SEEK_SET);
read( f, &l, 4);
lseek(f, pe.OptionalHeader.AddressOfEntryPoint, SEEK_SET);
for (k=0;k<(int)l;k++) write( f, &c, 1);

/* Удаление фрагментов вируса из секций */
tmp = pe.OptionalHeader.AddressOfEntryPoint-12;
while (1) {

/* Чтение таблички описания вирусных фрагментов */
 lseek(f, tmp, SEEK_SET); tmp-=8;
 read( f, &l, 4);  /* Длина фрагмента */
 read( f, &p, 4);  /* Позиция фрагмента в памяти */
 if (!p) goto finish;
 p -= pe.OptionalHeader.ImageBase;

/* Сканирование таблицы секций */
 lseek(f,mz.e_lfanew+0x18+pe.FileHeader.SizeOfOptionalHeader, SEEK_SET);
 for (i=0;i<pe.FileHeader.NumberOfSections;i++) {
  read( f, &sh, sizeof(IMAGE_SECTION_HEADER));
  if ((p>sh.VirtualAddress)&& (p<sh.VirtualAddress+sh.Misc.VirtualSize)) {
   lseek(f, sh.PointerToRawData + (p-sh.VirtualAddress), SEEK_SET);
   for (k=0;k<(int)l;k++) write( f, &c, 1);
   goto done;
   }
  }
done:;
 }
finish: close(f);
}

Эти две процедуры, CureCIH() и CheckCIH() должны вызываться из некой программы примерно вот в таком стиле:

If (CheckCIH(filename)==BAD) CureCIH(filename);

Напишите программу, обходящую дерево дисковых каталогов и проверяющую все встреченные EXE-файлы, самостоятельно. Это очень просто. Вот и все, антивирус для знаменитого "Чернобыльского" вируса готов!
ЗАКЛЮЧЕНИЕ
Итак, представители "электронной микрофауны" совсем не так сложны и непонятны, как могло бы показаться на первый взгляд. Более того, не все вирусописатели столь любознательны и трудолюбивы, как Чен Инг Хау: многие вирусы, в том числе и самые современные, устроены гораздо проще.
Так почему же так много людей, называющих себя "специалистами по программному обеспечению" и "программистами", не знают реальных повадок "электронной заразы", зато охотно верят безграмотным журналистским слухам и сплетням? Почему они не имеют (и не хотят иметь) представления о том, как примерно устроены, что могут и чего не могут делать антивирусные программы?
Конечно, данная статья не способна никоим образом повлиять на сложившуюся ситуацию, но какую-то крохотную подвижку в сознании этих людей она, хочется надеяться, произведет.
Следует упомянуть, что данная статья никогда не была бы не написана без ценных замечаний от участников группы NF.


Вирусный хит-парад декабря 2003 года

"Лаборатория Касперского" представила в начале января рейтинг наиболее распространенных вредоносных программ за декабрь 2003 года. По сравнению с ноябрьской вирусной двадцаткой в списке произошли ряд изменений. Почтовые черви семейства Mimail сохранили сильные позиции и в декабре, однако несомненным лидером хит-парада стал другой известный червь - Swen, выдающий себя за обновление от Microsoft. Доля Swen в общем числе заражений составила 33,87%.
Следующие три строки рейтинга оккупировали модификации вируса Mimail с индексами c, g и a. Их доли равны, соответственно, 27,45%, 7,15% и 4,21%. Несмотря на все предпосылки к своему скорому исчезновению, очень значительно упрочил свое положение в рейтинге сетевой червь Tanatos.b, пик эпидемии которого пришелся на начало лета 2003 года. В декабре он поднялся сразу на девять пунктов и попал в пятерку лидеров. Декабрьская двадцатка самых распространенных вирусов отмечена возвращением в рейтинг макровирусов Saver и Thus, а также файлового Windows-вируса FunLove.4070. Это несколько нарушает сложившуюся ранее тенденцию преобладания сетевых червей над файловыми вирусами.
Целиком вирусная двадцатка декабря выглядит так:

  1. I-Worm.Swen 33,87%
  2. I-Worm.Mimail.c 27,45%
  3. I-Worm.Mimail.g 7,15%
  4. I-Worm.Mimail.a 4,21%
  5. I-Worm.Tanatos.b 4,02%
  6. I-Worm.Sober.c 3,45%
  7. I-Worm.Klez.h 3,12%
  8. I-Worm.Lentin.m 2,27%
  9. I-Worm.Sobig.f 1,62%
  10. I-Worm.Dumaru.a 1,17%
  11. I-Worm.Mimail.j 1,14%
  12. Macro.Word97.Thus-based 0,84%
  13. Macro.Word97.Saver 0,81%
  14. I-Worm.Lentin.j 0,80%
  15. I-Worm.Lentin.o 0,70%
  16. Win32.FunLove.4070 0,51%
  17. Backdoor.Agobot.3.gen 0,46%
  18. I-Worm.Sobig.a 0,40%
  19. Worm.Win32.Lovesan 0,40%
  20. VBS.Redlof 0,35%

Другие вредоносные программы - 5,27%

seo & website usability inet html os faq hardware faq memory video cpu hdd mainboard faq printer & scaner modem mobiles

Windows 10 | Registry Windows 10 | Windows7: Общие настройки | Windows7: Реестр | Windows7: Реестр faq | Windows7: Настроки сети | Windows7: Безопасность | Windows7: Брандмауэр | Windows7: Режим совместимости | Windows7: Пароль администратора |  |  |  |  | Память | SDRAM | DDR2 | DDR3 | Quad Band Memory (QBM) | SRAM | FeRAM | Словарь терминов | Video | nVIDIA faq | ATI faq  | Интегрированное видео faq | TV tuners faq | Терминология | Форматы графических файлов | Работа с цифровым видео(faq) | Кодеки faq | DVD faq | DigitalVideo faq | Video faq (Архив) | CPU | HDD & Flash faq | Как уберечь винчестер | HDD faq | Cable faq | SCSI адаптеры & faq | SSD | Mainboard faq | Printer & Scaner | Горячая линия бесплатной юридической консультации | Благотворительность

На главную | Cookie policy | Sitemap

 ©  2004