Компьютерные вирусы

Компьютерные вирусы

Сообщение Mister X 26 июл 2010, 23:56

Все слышали о компьютерных вирусах. И вероятно, что многие испытывали действие вирусов, "поймав" их на свой компьютер.Тут я расскажу, какие типы вирусов бывают и в чем их отличие. Итак........
====================================================================
Классификация вирусов


Что это такое

Слово "вирусы" давно и хорошо знакомо пользователям компьютеров. Оно давно переросло свое первоначальное значение и теперь часто употребляется для обозначения любых вредоносных программ, способных "размножаться", распространяясь с компьютера на компьютер и заражая подчас целые компьютерные сети - вплоть до глобальных эпидемий в интернете.

Это "классические" вирусы, сетевые и почтовые черви, "троянские кони", backdoor-программы и др.

Чем они опасны

Результатом работы вируса может быть:

относительно безвредное вмешательство в работу компьютера - например, злая шутка, когда экран гаснет и выдается сообщение, что ваш жесткий диск отформатирован;

нанесение реального вреда - когда винчестер действительно форматируется, или стираются важные файлы;

настоящее преступление - когда с помощью троянских программ злоумышленники крадут номера ваших кредитных карт, пароли доступа, другую конфиденциальную информацию.


Вирусы можно разделить на классы по следующим основным признакам:

среда обитания;

операционная система (OC);

особенности алгоритма работы;

деструктивные возможности.


По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:

файловые;

загрузочные;

макро;

сетевые.

Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.


Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:

резидентность;

использование стелс-алгоритмов;

самошифрование и полиморфичность;

использование нестандартных приемов.

РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

Резидентными можно считать макро-вирусы, посколько они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.

В многозадачных операционных системах время "жизни" резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.

Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ - запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов - вирус "Frodo", первый загрузочный стелс-вирус - "Brain".

САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус "3APA3A"), защитить от обнаружения свою резидентную копию (вирусы "TPVO", "Trout2"), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д.


По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:

безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;

опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некотоорых типов винчестеров.

Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков (например, вполне безобидный на первый взгляд вирус "DenZuk" довольно корректно работает с 360K дискетами, но может уничтожить информацию на дискетах большего объема). До сих пор попадаются вирусы, определяющие "COM или EXE" не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается нерабтоспособным. Возможно также "заклинивание" резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами. И так далее.


К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС.

Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных ОС. На сегодняшний день известны вирусы, поражающие все типы выполняемых объектов стандартной DOS: командные файлы (BAT), загружаемые драйверы (SYS, в том числе специальные файлы IO.SYS и MSDOS.SYS) и выполняемые двоичные файлы (EXE, COM). Существуют вирусы, поражающие исполняемые файлы других операционных систем - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, включая VxD-драйвера Windows 3.x и Windows95.

Существуют вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули. Возможна запись вируса и в файлы данных, но это случается либо в результате ошибки вируса, либо при проявлении его агрессивных свойств. Макро-вирусы также записывают свой код в файлы данных - документы или электронные таблицы, - однако эти вирусы настолько специфичны, что вынесены в отдельную группу.


По способу заражения файлов вирусы делятся на "overwriting", паразитические ("parasitic"), компаньон-вирусы ("companion"), "link"-вирусы, вирусы-черви и вирусы, заражающие объектные модули (OBJ), библиотеки компиляторов (LIB) и исходные тексты программ.


Overwriting

Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать. Мне не известно ни одного случая, когда подобного типа вирусы были бы обнаружены "в живом виде" и стали причиной эпидемии.

К разновидности overwriting-вирусов относятся вирусы, которые записываются вместо DOS-заголовка NewEXE-файлов. Основная часть файла при этом остается без изменений и продолжает нормально работать в соответсвующей операционной системе, однако DOS-заголовок оказывается испорченным.


Parasitic

К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сими файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов ("prepending"), в конец файлов ("appending") и в середину файлов ("inserting"). В свою очередь, внедрение вирусов в середину файлов происходит различными методами - путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла ("cavity"-вирусы)


Компаньон-вирусы

К категории "компаньон" относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т.е. вирус.

Наиболее распространены компаньон-вирусы, использующие особенность DOS первым выполнять .COM-файл, если в одном каталоге присутствуют два файла с одним и тем же именем, но различными расшинениями имени - .COM и .EXE. Такие вирусы создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл. Некоторые вирусы используют не только вариант COM-EXE, но также и BAT-COM-EXE.

Вторую группу составляют вирусы, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске управление получает код вируса, который затем запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Интересен тот факт, что данный метод работает, наверное, во всех операционных системах - подобного типа вирусы были обнаружены не только в DOS, но в Windows и OS/2.

В третью группу входят так называемые "Path-companion" вирусы, которые "играют" на особенностях DOS PATH. Они либо записывают свой код под именем заражаемго файла, но "выше" на один уровень PATH (DOS, таким образом, первым обнаружит и запустит файл-вирус), либо переносят файл-жертву на один подкаталог выше и т.д.

Возможно существование и других типов компаньон-вирусов, использующих иные оригинальные идеи или особенности других операционных систем.


Файловые черви

Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям "специальные" имена, чтобы подтолкнуть пользователя на запуск своей копии - например, INSTALL.EXE или WINSTART.BAT.

Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). К таким вирусам относятся "ArjVirus" и "Winstart". Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы (см. например, "Worm.Info").

Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.


Link-вирусы

Link-вирусы, как и компаньон-вирусы не изменяют физического содержимого файлов, однако при запуске зараженного файла "заставляют" ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.

На сегодняшний день известен единственный тип Link-вирусов - вирусы семейства "Dir_II". При заражении системы они записывают свое тело в последний кластер логического диска. При заражении файла вирусы корректируют лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов их длины и содержимое кластеров диска, содержащих эти файлы, не изменяется, а на все зараженные файлы на одном логическом диске будет приходиться только одна копия вируса.


OBJ-, LIB-вирусы и вирусы в исходных текстах

Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Всего их около десятка. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и неспособен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же "живого" вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором этапе (линковка) получается работоспособный вирус.

Заражение исходных текстов программ является логическим продолжением предыдущего метода размножения. При этом вирус добавляет к исходным текстам свой исходный код (в этом случае вирус должен содержать его в своем теле) или свой шестнадцатеричный дамп (что технически легче). Зараженный файл способен на дальнейшее распространение вируса только после компиляции и линковки (см. например, вирусы "SrcVir", "Urphin").


Примитивная маскировка

При инфицировании файла вирус может производить ряд действий, маскирующих и ускоряющих его распространение. К подобным действиям можно отнести обработку атрибута read-only, снятие его перед заражением и восстановление после. Многие файловые вирусы считывают дату последней модификации файла и восстанавливают ее после заражения. Для маскировки своего распространения некоторые вирусы перехватывают прерывание DOS, возникающее при обращении к защищенному от записи диску (INT 24h), и самостоятельно обрабатывают его.


Скорость распространения

Говоря про файловые вирусы, необходимо отметить такую их черту, как скорость распространения. Чем быстрее распространяется вирус, тем вероятее возникновение эпидемии этого вируса. Чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно же, этот вирус пока неизвестен антивирусным программам). Понятия "быстрого" и "медленного" вируса (Fast infector, Slow infector) являются достаточно относительными и используются только как характеристика вируса при его описании.

Нерезидентные вирусы часто являются "медленными" - большинство из них при запуске заражает один или два-три файла и не успевает заполонить компьютер до запуска антивирусной программы (или появления новой версии антивируса, настроенной на данный вирус). Существуют, конечно же, нерезидентые "быстрые" вирусы, которые при запуске ищут и заражат все выполняемые файлы, однако такие вирусы очень заметны: при запуске каждого зараженного файла компьютер некоторое (иногда достаточно долгое) время активно работает с винчестером, что демаскирует вирус.

"Скорость" резидентных вирусов обычно выше, чем у нерезидентных - они заражают файлы при каких-либо обращениях к ним. В результате на диске оказываются зараженными все или почти все файлы, которые постоянно используются в работе.

Скорость распространения резидентных файловых вирусов, заражающих файлы только при их запуске на выполнение, будет ниже, чем у вирусов, заражающих файлы и при их открытии, переименовании, изменении атрибутов файла и т.д. Многие вирусы при создании своей копии в оперативной памяти компьютера пытаются занять область памяти с самыми старшими адресами, разрушая временную часть командного интерпретатора COMMAND.COM. По окончании работы зараженной программы временная часть интерпретатора восстанавливается, при этом происходит открытие файла COMMAND.COM и, если вирус заражает файлы при их открытии, его заражение. Таким образом, при запуске подобного вируса первым будет заражен файл COMMAND.COM.


Загрузочные вирусы

Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.

В случае дискеты или компакт-диска управление получает boot-сектор, который анализирует таблицу параметров диска (BPB - BIOS Parameter Block) высчитывает адреса системных файлов операционной системы, считывает их в память и запускает на выполнение. Системными файлами обычно являются MSDOS.SYS и IO.SYS, либо IBMDOS.COM и IBMBIO.COM, либо других в зависимости от установленной версии DOS, Windows или других операционных систем. Если же на загрузочном диске отсутствуют файлы операционной системы, программа, расположенная в boot-секторе диска выдает сообщение об ошибке и предлагает заменить загрузочный диск.

В случае винчестера управление получает программа, расположенная в MBR винчестера. Эта программа анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска C:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.

При заражении дисков загрузочные вирусы "подставляют" свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, но коду вируса.

Заражение дискет производится единственным известным способом - вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в Disk Partition Table, расположенной в MBR винчестера.

При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).

Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office97. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access.

Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макро-языка с возможностями:

привязки программы на макро-языке к конкретному файлу;

копирования макро-программ из одного файла в другой;

возможность получения управления макро-программой без вмешательства пользователя (автоматические или стандартные макросы);

Данным условиям удовлетворяют редакторы Microsoft Word, Office97 и AmiPro, а также электронная таблица Excel и база данных Microsoft Access. Эти системы содержат в себе макро-языки: Word - Word Basic, Excel, Office97 (включая Word97, Excel97 и Access) - Visual Basic for Applications. При этом:

1) макро-программы привязаны к конкретному файлу (AmiPro) или находятся внутри файла (Word, Excel, Office97);

2) макро-язык позволяет копировать файлы (AmiPro) или перемещать макро-программы в служебные файлы системы и редактируемые файлы (Word, Excel, Office97);

3) при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макро-программы (если таковые есть), которые определены специальным образом (AmiPro) или имеют стандартные имена (Word, Excel, Office97).

Данная особенность макро-языков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый "автоматизированный документооборот". С другой стороны, возможности макро-языков таких систем позволяют вирусу переносить свой код в другие файлы, и таким образом заражать их.

На сегодняшний день известны четыре системы, для которых существуют вирусы - Microsoft Word, Excel, Office97 и AmiPro. В этих системах вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. По аналогии с MS-DOS можно сказать, что большинство макро-вирусов являются резидентными: они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.


Сетевые вирусы

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.

Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в компьютерной сети. Но в таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается - сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым вирусам никак нельзя.

Наибольшую известность приобрели сетевые вирусы конца 1980-х, их также называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы "Cristmas Tree" и "Wank Worm". Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени - вирусы передавали свои копии с сервера на сервер и запускали их на выполнение. В случае с вирусов Морриса эпидемия захватила аж несколько глобальных сетей в США.

Сетевые вирусы прошлого распространялись в компьютерной сети и, как правило, так же как и компаньон-вирусы, не изменяли файлы или сектора на дисках. Они проникали в память компьютера из компьютерной сети, вычисляли сетевые адреса других компьютеров и рассылали по этим адресам свои копии. Эти вирусы иногда также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

После нескольких эпидемий сетевых вирусов ошибки в сетевых протоколах и программном обеспечении были исправлены, а "задние двери" закрыты. В результате за песледние десять лет не было зафиксировано ни одного случая заражения сетевым вирусом, как, впрочем, не появилось и ни одного нового сетевого вируса.

Вновь проблема сетевых вирусов возникла лишь в начале 1997-го года с появлением вирусов "Macro.Word.ShareFun" и "Win.Homer". Первый из них использует возможности электронной почты Microsoft Mail - он создает новое письмо, содержащее зараженный файл-документ ("ShareFun" является макро-вирусом), затем выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус "автоматически" внедряется в компьютер адресата зараженного письма.

Этот вирус иллюстрирует первый тип современного сетевого вируса, которые объединяют возможности встроенного в Word/Excel языка Basic, протоколы и особенности электронной почты и функции авто-запуска, необходимые для распространения вируса.

Второй вирус ("Homer") использует для своего распространения протокол FTP (File Trabsfer Protocol) и передает свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленнов сервере, этот вирус можно охарактеризовать как "полу-сетевой", однако это реальный пример возможностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.


Прочие

К "вредным программам", помимо вирусов, относятся также троянские кони (логические бомбы), intended-вирусы, конструкторы вирусов и полиморфик-генераторы.

Троянские кони (логические бомбы)

К троянским коням относятся программы, наносящие какие-либо разрушительные действия, т.е. в зависимости от каких-либо условий или при каждом запуске уничтожающая информацию на дисках, "завешивающая" систему и т.п.

Большинство известных мне троянских коней являются программами, которые "подделываются" под какие-либо полезные программы, новые версии популярных утилит или дополнения к ним. Очень часто они рассылаются по BBS-станциям или электронным конференциям. По сравнению с вирусами "троянские кони" не получают широкого распространения по достаточно простым причинам - они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем.

К "троянским коням" также можно отнести "дропперы" вирусов - зараженные файлы, код которых подправлен таким образом, что известные версии антивирусов не определяют вируса в файле. Например, файл шифруется каким-либо специальным образом или упаковывается редко используемым архиватором, что не позволяет антивирусу "увидеть" заражение.

Следует отметить также "злые шутки" (hoax). К ним относятся программы, которые не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности. К "злым шуткам" отностяся, например, программы, которые "пугают" пользователя сообщениями о форматировании диска (хотя никакого форматирования на самом деле не происходит), детектируют вирусы в не зараженных файлах (как это делает широко известная программа ANTITIME), выводят странные вирусоподобные сообщения (драйвер диска CMD640X от какого-то коммерческого пакета) и т.д. - в зависимости от чувства юмора автора такой программы. Видимо, к "злым шуткам" относится также строка "CHOLEEPA" во втором секторе винчестеров фирмы Seagate.

К такой же категории "злых шуток" можно отнести также заведомо ложные сообщения о новых супер-вирусах. Такие сообщения периодически появляются в электронных конференциях и обычно вызывают панику среди пользователей.


Intended-вирусы

К таким вирусам относятся программы, которые на первый взгляд являются стопроцентными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении "забывает" поместить в начало файлов команду передачи управления на код вируса, либо записывает в нее неверный адрес своего кода, либо неправильно устанавливает адрес перехватываемого прерывания (что в подавляющем большинстве случаев завешивает компьютер) и т.д.

К категории "intended" также относятся вирусы, которые по приведенным выше причинам размножаются только один раз - из "авторской" копии. Заразив какой-либо файл, они теряют способность к дальнейшему размножению.

Появляются intended-вирусы чаще всего при неумелой перекомпиляции какого-либо уже существующего вируса, либо по причине недостаточного знания языка программирования, либо по причине незнания технических тонкостей операционной системы.


DOS-вирусы


DOS предусматривает два легальных способа создания резидентных модулей: драйверами, указываемыми в CONFIG.SYS, и при помощи функции KEEP (INT 21h, AH=31h или INT 27h). Многие файловые вирусы для маскировки своего распространения используют другой способ - обработку системных областей, управляющих распределением памяти (MCB). Они выделяют для себя свободный участок памяти (включая UMB), помечают его как занятый и переписывают туда свою копию. Некоторые вирусы внедряют свои TSR-копии в свободные участки памяти в таблице векторов прерываний, в видео-память, в рабочие области DOS, в память, отведенную под системные буферы и в HMA-память. Подробнее эти способы описаны в разделе "Обнаружение резидентного вируса".

После выделения блока памяти вирус копирует в него своей код и переопределяет одно или несколько прерываний, необходимых ему для поиска заражаемых файлов, для выполнения деструктивных действий или звуковых и видеоэффектов.

При инфицировании файлов нерезидентные и некоторые резидентные вирусы ищут на диске (дисках) эти файлы при помощи функций DOS FindFirst и FindNext (INT 21h, AH=11h,12h,4Eh,4Fh). Резидентные вирусы используют более широкий список функций DOS, при обращении к которым происходит заражение файла. Фактически в этом списке присутствуют все функции, по значениям входных или выходных параметров которых можно определить имя файла, к которому идет обращение (к таким параметрам относятся значения соответствующих регистров или областей памяти). В результате к "вирусоопасным" функциям прерывания 21h относятся функции выполнения (EXEC, AX=4B00), загрузки в память (AH=4Bh), поиска (FindFirst и FindNext, AH=11h,12h,4Eh,4Fh) создания (Create, AH=3Ch), открытия (Open, AH=3Dh), закрытия (Close, AH=3Eh), изменения атрибутов (ChMode, AH=43h), переименования (Rename, AH=56h), и некоторые другие функции работы с файлами.

Известны несколько способов проверки резидентным вирусом наличия своей копии в памяти компьютера. Первый заключается в том, что вирус вводит новую функцию некоторого прерывания, действие которой заключается в возврате значения "я здесь". При старте вирус обращается к ней, и если возвращенное значение совпадает со значением "я здесь", значит память компьютера уже заражена и повторное заражение не производится. При проверке вторым способом вирус записывает значение "я здесь" в какую-либо редко используемую область памяти - в таблице векторов прерываний или в области данных BIOS (0040:00??). При последующих стартах зараженных программ вирус проверяет это значение и не вызывает процедуру заражения памяти. Существуют, конечно же и другие способы, например, некоторые вирусы просто сканирует память компьютера.

Некоторые резидентные файловые вирусы (как правило, вирусы, созданные при помощи конструкторов типа VCL и PS-MPC) определяют свою TSR-копию некорректно и копируют себя в оперативную память при каждом запуске зараженного файла. Естественно, что в этом случае компьютер либо сразу зависает, либо через некоторое время перестает выполнять программы по причине нехватки свободной памяти.


Загрузочные вирусы


Подавляющее большинство резидентных загрузочных вирусов для выделения системной памяти для своей резидентной копии использует один и тот же прием: они уменьшают объем DOS-памяти (слово по адресу 0040:0013) и копируют свой код в "отрезанный" блок памяти. Объем DOS-памяти обычно уменьшается на единицу (один килобайт) в случае коротких загрузочных вирусов, код которых занимает один сектор дискового пространства (512 байт). Вторая половина килобайта используется такими вирусами как буфер чтения/записи при заражении дисков. Если же размер вируса больше одного килобайта или он использует нестандартные методы заражения, требующие большего объема буфера чтения/записи, объем памяти уменьшается на несколько килобайт (среди известных вирусов максимальное значение у вируса "RDA.Fighter" - 30K).

В дальнейшем некоторые вирусы "ждут" загрузки DOS и восстанавливают первоначальное значение объема системной памяти - в результате они оказываются расположенными не за пределами DOS, а как отдельный блок DOS-памяти. Некоторые загрузочные вирусы вообще не используют и не изменяют значение объема системной памяти. Они копируют себя в какую-либо область памяти, неиспользуемую вплоть до загрузки DOS, ждут загрузки DOS и затем инсталлируют свой код в системе всеми возможными в DOS способами.

Такими вирусами используются несколько способов перехвата момента загрузки DOS. Наиболее "популятный" способ - проверка значения INT 21h (прерывание DOS-функций). Если это значение изменилось, вирусы считают, что инсталляция DOS завершена. Проверка значения INT 21h проводится при вызовах INT 8, 1Ch (прерывания таймера, для этого вирусы помимо прерываний обращения к дискам перехватывают также прерывания таймера) или при вызовах INT 13h. Менее популярный способ - проверка данных, считываемых с диска (для этого требуется только перехват INT 13h). Если буффер чтения содержит заголовок EXE-файла, вирусы считают, что загрузка DOS завершена, поскольку в память для выполнения загружается EXE-файл.

Для того, чтобы перехватить обращения к дискам, большинство загрузочных вирусов перехватывают INT 13h - основное прерывание для работы с дисками. Реже используется перехват INT 40h - прерывание для работы с флоппи-дисками. Еще реже используются различные экзотические способы перехвата прерываний BIOS и DOS, возникающих при работе с дискетами.

В случае перехвата INT 13h/40h вирусы обрабатывают команды чтения/записи секторов (AH=2,3), проверяют диск на зараженность и записывают в его загрузочный сектор или MBR винчестера свой код. Реже перехватываются другие команды - от команды Reset Disk (AH=0) вплоть до команд "длинного" чтения/записи (AH=0Ah,0Bh).

Большая часть загрузочных вирусов не проверяет системную память на наличие своей уже установленной TSR-копии - они либо используют стелс-приемы и повторный запуск кода вируса невозможен, либо ориентируются на то, что кода вируса загружается однократно в момент загрузки DOS - после этого коды загрузочных секторов дисков больше не выполняются ни при каких условиях. Часть вирусов проверяют наличие своей копии - для этого используются либо специальные вызовы INT 13h с каким-либо нестандартным значением, либо помечается какой-либо заведомо неиспользуемый байт (или слово) в таблице векторов прерываний или в области данных BIOS (0040:00??). Существуют, конечно же, и другие способы детектирования своей TSR-копии.


Windows-вирусы

Для того, чтобы оставить выполняемый код в памяти Windows, существует три способа, причем все три способа (за исключением Windows NT) уже применялись различными вирусами.

Самый простой способ - зарегистрировать программу как одно из приложений, работающих в данный момент. Для этого программа регистрирует свою задачу, окно которой может быть скрытым, регистрирует свой обработчик системных событий и т.д. Второй способ - выделить блок системной памяти при помощи DPMI-вызовов и скопировать в него свой код (вирус "Ph33r"). Третий способ - остаться резидентно как VxD-драйвер (Wnidows 3.xx и Windows95) или как драйвер Windows NT.

Перехват обращений к файлам производится одним из двух способов - либо перехватываются вызовы INT 21h (Hook_V86_Int_Chain, Get/Set_V86_Int_Vector, Get/Set_PM_Int_Vector), либо перехватывается системный вызов API. Затем резидентные Windows-вирусы действуют примерно также, как и DOS-вирусы: перехватывают обращения к файлам и заражают их.

Для обнаружения уже присутствующей в памяти резидентной копии используются примерно те же способы, что описаны выше, за исключением VxD-вирусов. Известные VxD-вирусы загружаются в память при загрузке Windows. Для этого они записывают команду запуска в файл конфигурации Windows SYSTEM.INI. Если в этом файле уже есть команда запуска вирусного VxD-файла, то вирус не производит повторной регистрации своего VxD-файла.


Макро-вирусы

Большинство макро-вирусов можно считать резидентными, поскольку они присутствуют в области системных макросов в течение всего времени работы редактора. Они так же как резидентные загрузочные и файловые вирусы перехватывают системные события и используют их для своего размножения. К подобным событиям относятся различные системные вызовы, возникающие при работе с документами Word и таблицами Excel (открытие, закрытие, создание, печать и т.д.), вызов пункта меню, нажатие на какую-либо клавишу или достижение какого-либо момента времени. Для перехвата событий макро-вирусы переопределяют один или несколько системных макросов или функций.

При заражении некоторые макро-вирусы проверяют наличие своей копии в заражаемом объекте и повторно себя не копируют. Другие макро-вирусы не делают этого и переписывают свой код при каждом заражении. Если при этом в заражаемом файле или области системных макросов уже определен макрос, имя которого совпадает с макросом вируса, то такой макрос оказывается уничтоженным.


Стелс-вирусы теми или иными способами скрывают факт своего присутствия в системе. Известны стелс-вирусы всех типов, за исключением Windows-вирусов - загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы. Появление стелс-вирусов, заражающих файлы Windows, является скорее всего делом времени.


Загрузочные вирусы

Загрузочные стелс-вирусы для скрытия своего кода используют два основных способа. Первый из них заключается в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и подставляет вместо него незараженный оригинал. Этот способ делает вирус невидимым для любой DOS-программы, включая антивирусы, неспособные "лечить" оперативную память компьютера. Возможен перехват команд чтения секторов науровне более низком, чем INT 13h.

Второй способ направлен против антивирусов, поддерживающих команды прямого чтения секторов через порты контроллера диска. Такие вирусы при запуске любой программы (включая антивирус) восстанавливают зараженные сектора, а после окончания ее работы снова заражают диск. Поскольку для этого вирусу приходится перехватывать запуск и окончание работы программ, то он должен перехватывать также DOS-прерывание INT 21h.

С некоторыми оговорками стелс-вирусами можно назвать вирусы, которые вносят минимальные изменения в заражаемый сектор (например, при заражении MBR правят только активный адрес загрузочного сектора - изменению подлежат только 3 байта), либо маскируются под код стандартного загрузчика.


Файловые вирусы

Большинcтво файловых стелс вирусов использует те же приемы, что приведены выше: они либо перехватывают DOS-вызовы обращения к файлам (INT 21h) либо временно лечат файл при его открытии и заражают при закрытии. Также как и для загрузочных вирусов, существуют файловые вирусы, использующие для своих стелс-функций перехват прерываний более низкого уровня - вызовы драйверов DOS, INT 25h и даже INT 13h.

Полноценные файловые стелс-вирусы, использующие первый способ скрытия своего кода, в большинстве своем достаточно громоздки, поскольку им приходиться перехватывать большое количество DOS-функций работы с файлами: открытие/закрытие, чтение/запись, поиск, запуск, переименование и т.д., причем необходимо поддерживать оба варианта некоторых вызовов (FCB/ASCII), а после появления Windows95/NT им стало необходимо также обрабатывать третий вариант - функции работы с длинными именами файлов.

Некоторые вирусы используют часть функций полноценного стелс-вируса. Чаще всего они перехватывают функции DOS FindFirst и FindNext (INT 21h, AH=11h, 12h, 4Eh, 4Fh) и "уменьшают" размер зараженных файлов. Такой вирус невозможно определить по изменению размеров файлов, если, конечно, он резидентно находится в памяти. Программы, которые не используют указанные функции DOS (например, "Нортоновские утилиты"), а напрямую используют содержимое секторов, хранящих каталог, показывают правильную длину зараженных файлов.


Макро-вирусы

Реализация стелс-алгоритмов в макро-вирусах является, наверное, наиболее простой задачей - достаточно всего лишь запретить вызов меню File/Templates или Tools/Macro. Достигается это либо удалением этих пунктов меню из списка, либо их подменой на макросы FileTemplates и ToolsMacro.

Частично стелс-вирусами можно назвать небольшую группу макро-вирусов, которые хранят свой основной код не в самом макросе, а в других областях документа - в его переменных или в Auto-text.
======================================================================
Админ не тот, кто об этом кричит, а тот, кто может молча помочь другому... Изображение
Аватара пользователя
Mister X
Администратор
 
Сообщений: 138
Зарегистрирован: 21 июл 2010, 21:42
Пол: Мужской

Re: Компьютерные вирусы

Сообщение Mister X 26 июл 2010, 23:57

Два вируса из десятки самых опасных


Новые вирусы могут не просто уничтожить информацию на винчестере компьютера (иногда ее можно восстановить, а в большинстве случаев - нельзя), но и уничтожить ваш компьютер полностью.

Сейчас речь пойдет именно о таких вирусах, которые уничтожают и данные на винчестере компьютера, и сам компьютер.

Мы можем с полной уверенностью утверждать, что идея компьютерных вирусов, как это ни странно, зародилась задолго до появления самих персональных компьютеров. В 1959 г. L.S. Penrose опубликовал в журнале “Scientific American” статью, посвященную самовоспроизводящимся механическим структурам, в которой была описана простейшая двумерная модель подобных структур, способных к активации, размножению, мутациям, захвату. Вскоре F.G. Stahl практически реализовал эту модель с помощью машинного кода на IBM 650.
В дальнейшем, начиная с 20 апреля 1977 года (в этот день был выпущен первый компьютер для массового пользования), условия реализации самовоспроизводящихся программ улучшились. Значительно расширился ассортимент доступных рядовому пользователю персональных компьютеров. Шло интенсивное развитие как компьютеров, так и программного обеспечения для них. Появлялись первые банки данных. И тогда же начали появляться программисты, реализующие идею L.S. Penrose.

90-е годы — расцвет глобальной сети Интернет, что облегчило распространение вирусов. Но тогда увеличивалось их количество. Сейчас же вирусы становятся более умными и хитрыми. Они способны приспособиться за короткий период времени к новым условиям.
Некоторые, шутливые, могут просто перезагрузить компьютер, проиграть мелодию и не принести никакого вреда. Но таких вирусов осталось очень мало.

Новые вирусы могут не просто уничтожить информацию на винчестере компьютера (иногда ее можно восстановить, а в большинстве случаев — нельзя), а уничтожить ваш компьютер полностью.

Сейчас речь пойдет именно о таких вирусах, которые уничтожают и данные на винчестере компьютера, и сам компьютер перестает загружаться.

Стоит ли включать компьютер 26 апреля?

Наверное, нет ни одного пользователя, хакера и даже ламера, который не знает о роковом дне 26 апреля. Да, это день активации одного из самых опасных вирусов, имя которого Win95.CIN, известного также, как “Чернобыль”. Этот вирус разрушает аппаратную часть компьютеров. 26-го числа каждого месяца (только некоторые версии вируса), после срабатывания деструктивного кода вируса, материнские платы компьютеров становятся практически неработоспособными. Но только в том случае, если в этих компьютерах, инфицированных вирусом Win95.CIH, переключатель записи в перезаписываемое программируемое ПЗУ (Flash BIOS) находился в положении, разрешающем запись в это ПЗУ. А, как правило, все компьютеры поставляются и продаются именно с таким положением переключателя.

Что же представляет собой этот “Computer Killer”?

Вирус Win95.CIH был написан в Тайване, распространялся автором этого детища в Интернете, и в настоящее время поразил большинство стран Юго-Восточной Азии, а также некоторые европейские страны (в частности, очень серьезно пострадала Швеция).

Вирус Win95.CIH очень опасный резидентный вирус. Заражает файлы в формате EXE PE под управлением операционной системы Windows 95. При заражении файлов вирус не увеличивает их длины, а использует довольно интересный механизм заражения файлов. Каждая кодовая секция EXE PE файла выровнена на определенное количество байт, обычно не используемых программой. В такие области вирус и записывает части своего кода, “разбрасывая” их иногда по всему файлу (или по всем кодовым секциям). Кроме того, вирус может записать свою стартовую процедуру (процедуру, первой получающую управление при запуске программы) или даже весь свой код в область заголовка EXE PE файла и установить точку входа программы на эту стартовую процедуру. Таким образом, точка входа файла может не принадлежать ни одной кодовой секции файла.

При получении управления вирус выделяет себе блок памяти посредством вызова функции PageAllocate и “собирает себя по частям” в единое целое в этом выделенном участке памяти. Далее Win95.CIH перехватывает IFS API и отдает управление программе-вирусоносителю. При открытии файлов с расширением EXE и форматом PE вирус инфицирует их.

26-го числа каждого месяца вирус уничтожает содержимое Flash BIOS, записывая в него случайные данные (“мусор”). В результате после первой же перезагрузки компьютер перестает загружаться. И, как правило, даже в промышленных условиях восстановить содержимое Flash BIOS и вернуть работоспособность компьютеру достаточно сложно.

В настоящее время существует три модификации вируса Win95.CIH длиной 1003, 1010 и 1019 байт. Данные вирусы содержат в своем теле тексты:

— Win95.CIH.1003 — CIH v1.2 TTIT

— Win95.CIH.1010 — CIH v1.3 TTIT

— Win95.CIH.1019 — CIH v1.4 TATUNG

Что же произошло 26 апреля 1999 года в России?

26 апреля 1999 года за первые 9..10 часов с утра было зафиксировано только по России более чем в 20 городах срабатывание вируса Win95.CIH. В офисы разработчиков антивирусных программ поступало множество звонков и сотни электронных писем. За последние несколько лет это самый крупный случай срабатывания компьютерного вируса, к тому же приводящий к потере данных и временному выводу из строя компьютеров.

При работе 26 апреля в Windows 95/98 вирус, определив, что наступило нужное число, запускает деструктивную функцию. В результате чего произошло следующее:

— Деструктивная функция пытается записать “мусор” во FLASH BIOS компьютера. Если эта операция удается, то компьютер можно восстановить только заменой микросхемы BIOS или перешивкой этой микросхемы на специальном оборудовании. К сожалению, иногда это практически невозможно. В частности, на некоторых типах портативных компьютеров придется менять материнскую плату, что может стоить практически столько же, что и новый компьютер;

— Параллельно записи “мусора” во FLASH BIOS затирались данные на дисках, в них был записан случайный “мусор”.

Восстановление данных на дисках практически невозможно. В любом случае, в результате этих операций компьютер не грузится, и зачастую это выглядит как поломка. В службу технической поддержки фирмы “Красная волна”, занимающейся сборкой и продажей компьютеров, за 1-ю половину дня 26 апреля 1999 г. обратились более 50 клиентов, которые были уверены, что у них вышел из строя блок питания.

Вирус Win95.CIH уверенно входит в 10 самых распространенных вирусов в мире. Причем из этой десятки данный вирус единственный, в который встроены серьезные деструктивные функции. Срабатывает этот вирус один раз в год — 26 апреля. Hекоторые, появившиеся позже модификации срабатывают 26-го числа каждого месяца.
В целом вирус Win95.CIH давно известен (подробное описание его можно найти на сайтах антивирусных фирм). Антивирусные программы, к примеру, такие, как “DrWeb”, “AntiViral Toolkit Pro” и другие подобные, давно знают и умеют лечить этот вирус. Естественно, до того, как вирус активируется и похоронит себя вместе с другими данными. Но, как показывает произошедшее, большая часть пользователей, несмотря на предостережения, не пользуется антивирусами. Причем у многих из пострадавших были антивирусные программы более-менее свежих версий, но они их не запускали для проверки дисков компьютера. И вирус все-таки сработал!

Старые избитые советы “не пользуйтесь непроверенными источниками”, “регулярно проверяйте диски антивирусными программами” помогают и в этом случае. Те, кто заботится о сохранности данных и пользуется свежими версиями антивирусных программ, защищен от таких вирусных атак.

Результаты второго пришествия злосчастного вируса

В этом году компьютерщики всего мира ждали два “конца света”. Первый — в ночь на 1 января 2000 года. Второй, поскольку первый так и не произошел, был назначен на 26 апреля. Именно в этот день в прошлом году были “убиты” сотни тысяч компьютеров, пораженные вирусом Win95.CIN (неформальное название — “Чернобыль”). Второй “конец света” также, к счастью, не состоялся, хотя и в этом году в России и других странах было повреждено довольно большое количество компьютеров.

В течение 26-27 апреля в “ДиалогHауку” (один из крупных разработчиков антивирусных программ) обратились около 200 пользователей, на компьютерах которых сработал вирус “Чернобыль”. Конечно, по сравнению с прошлым годом, когда количество обращений превысило 1000, это немного (что, впрочем, мало утешает тех, кто пострадал от вируса). По общему мнению специалистов, повторной эпидемии удалось избежать благодаря широкой распространенности и доступности современных антивирусных средств, посредством которых данный вирус может быть обнаружен и уничтожен.

“ДиалогHаука” 15 апреля объявила о бесплатной раздаче последней, полнофункциональной версии сканера Doctor Web. К 26 апреля в рамках этой акции Doctor Web бесплатно получили более 20 000 человек. Основной целью этой акции было предоставление пользователям надежного средства защиты именно от вируса Win.CIH.

Еще один “Убийца”



Как люди общались между собой, когда были далеко друг от друга лет десять назад и раньше? Они писали прекрасные письма. Писали на бумаге, от руки... Сейчас же люди могут посылать письма, даже не просто в пределах своей страны, по всему миру за секунды. Все, что для этого нужно это компьютер и Интернет. Электронная почта во многом, в десятки или даже в сотни раз превосходит обычную почту. Но она также имеет недостатки. Разве вы можете в конверте с обычным письмом получить от друга, знакомого, любимого или любимой вирус, который убьет вас или причинит вам вред. Нет!!! А через электронную почту, к сожалению, даже от любимого или любимой ваш компьютер может поразить вирус.

Вирусы, распространяемые по электронной почте, способны к самораспространению. Т.е. человек, якобы отправивший вам письмо, даже не подозревает о том, что он отправил данное письмо. Подобные вирусы, при открытии пользователем прикрепленного файла-вируса к полученному письму, “залезают” в адресную книгу и создают письма со своими файлами, которые благополучно отправляются (в большинстве случаев сразу же) по всем адресам из адресной книги. Адресат, увидев письмо от друга, без опаски открывает прикрепленный файл, и сразу же заражает свой компьютер, а также непроизвольно посылает вирус другим адресатам. Вирус может быть замаскирован под, скажем, файл MS Word. Кто догадается, что лучший друг прислал вирус, да еще и в Word-файле?

Любовные письма



В начале мая 2000 года количество признаний в любви как минимум в 3 раза превысило среднестатистические показатели. Признавались в любви все — от секретарш до парламентариев и министров, причем настойчиво и без разбору — всем, кому они могли это сделать.

Началась эта сокрушающая любовь 4 мая 2000 года, когда один из пользователей (возможно, студент) разослал свой новый вирус-червь в конференции Интернет. Дальнейшее распространение червя шло фантастически быстро по причине “веерной рассылки” — он отправлял свои копии по всем адресам электронной почты из адресной книги Outlook.

Евгений Касперский (разработчик одной из лучших антивирусных программ) прокомментировал глобальную эпидемию нового червя: “Этот червь рассылает себя САМ и СРАЗУ в момент его запуска (а не приклеивается к отсылаемым пользователем письмам, как это делает нашумевший в начале 2000 года скрипт-червь KakWorm). Червь рассылает себя по ВСЕМ адресам адресной книги (а не по 50-ти первым, как делала Melissa). В результате распространение зараженных писем имело взрывной эффект, сравнимый с ядерной цепной реакцией. Допустим, в адресной книге сервера примерно 300 адресов, в компании работает 50 человек, и примерно 20% персонала не понимают, что запускать файлы из вложений нельзя — получаем примерно следующее. Если в такую компанию попадает письмо с вирусом, то от компании уходит примерно 0.20*50*300 = 3000 зараженных писем. Как мне помнится, в атомных бомбах соотношение “разлетабельности” нейтронов примерно 3 на 1 прилетевший. То есть, компьютерная любовь бьет в 1000 раз сильнее”.

Первыми от вируса Love.Letter пострадали страны Азии, поскольку вирус был выпущен на свободу именно там (Филиппины). Затем он пришел в Европу, из Европы в Америку и к нам в Россию. В “Лабораторию Касперского” первое, но далеко не последнее, зараженное письмо поступило первый раз в 13:08 минут по московскому времени.

В 17:30 по московскому времени, когда в США началось утро, весь мир лежал у ног новоявленного компьютерного монстра — поступили сообщения о массовых заражениях компаний и частных пользователей. По оценкам различных, компаний поражению подверглось огромное количество компьютерных сетей (от 30% до 80% в зависимости от страны). Количество зараженных компьютеров на третий день нашествия червя оценивается в 3 миллиона. Ориентировочные данные об убытках колеблются от сотен миллионов до 10 миллиардов долларов США.

Согласно данным компании F-Secure, вирус, который распространяется через электронные почтовые сообщения, содержащие в поле “Тема” письма запись “I Love You” или “Love Letter”, впервые появился 4 мая в Азии. Вероятным источником его происхождения являются Филиппины. По оценке экспертов, вирус I Love You может принести много больше неприятностей, чем печально известная Melissa.

По мнению Мико Хиппонена (Mikko Hypponen), руководителя исследовательской группы F-Secure, за пять последних лет еще не было вируса, столь быстро и глобально распространявшегося по миру: “за четыре часа со времени первого тревожного сообщения из Норвегии, поступившего в 9 утра по Гринвичу, в F-Secure уже есть данные о вирусе из более 20 стран”.

Вирус распространяется как присоединенный файл (аттачмент) к электронным почтовым сообщениям под именем “Love-Letter-For-You” и поражает пользователей популярной почтовой программы Microsoft Outlook. I Love You “отправляет себя” всем адресатам из адресной книги жертвы.

Письмо с вирусом выглядит следующим образом:

— Тема письма: ILOVEYOU

— Сообщение в письме: kindly check the attached LOVELETTER coming from me.

— Имя прикрепленного файла: LOVE-LETTER-FOR-YOU.TXT.vbs
Согласно Хиппонену, наибольшей опасности подвержены издательства и средства массовой информации, включая радиостанции, журналы, рекламные агентства и, в частности, те из них, кто владеет большими архивами графических и музыкальных файлов: “Большие издательства, в которые сегодня проник вирус, полностью потеряли свои фотоархивы. Это связано с тем, что I Love You удаляет определенные типы файлов. И апгрейд антивирусной базы данных позволяет удалить вирус, но не может остановить уже начавшийся процесс его разрушительного действия. Если у вас нет резервной копии файлов вне зараженной машины, считайте, что вы все потеряли”.

Есть данные, что почтовые сообщения с “I Love You” были получены в Пентагоне, Федеральном резервном Банке, Министерстве обороны США; ФБР начало расследование причин и источников распространения вируса.

Как “I Love You”действует?



При первом запуске вируса он копирует себя в следующие директории:

— WINDOWS\SYSTEM\MSKERNEL32.VBS
— WINDOWS\WIN32DLL.VBS

— WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS

А также он добавляет следующие регистрационные ключи в системный реестр Wndows:

— HKEY_LOCAL_MACHINE\Software

\Microsoft\Windows

\CurrentVersion\Run

\MSKernel32=WINDOWS\SYSTEM

\MSKernel32.vbs

— HKEY_LOCAL_MACHINE\Software

\Microsoft\Windows\CurrentVersion

\RunServices\Win32DLL=WINDOWS

\Win32DLL.vbs

“I Love You” сканирует все диски, доступ к которым можно осуществить с данной машины, в поисках файлов *.JPG и *.JPEG. Найдя их, вирус копирует себя в файлы и добавляет расширение .VBS (т.е. файл 123.JPG становится 123.JPG.VBS). Кроме того, вирус записывает себя во все файлы *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA и изменяет их расширения на .VBS. При нахождении файлов *.MP3 и *.MP2 I Love You заменяет код, добавляет свое расширение и делает файл невидимым.

После небольшой паузы вирус, используя Microsoft Outlook, отправляет себя всем респондентам из адресной книги программы, а также пытается загрузить и установить программу (трояна) для кражи паролей WIN-BUGSFIX.EXE. Эта программа должна, по замыслу, найти все скешированнные пароли и отправить их по адресу mailme@super.net.ph. Для этого вирус заменяет домашнюю страницу браузера Microsoft Internet Explorer на адрес веб-сайта, автоматически загружающего на машину троянца. Если это происходит, в Реестре появляется следующий ключ:

— HKEY_LOCAL_MACHINE

\Software\Microsoft\Windows

\CurrentVersion\Run\WIN-BUGSFIX.

Данный ключ автоматически запустит программу для кражи паролей при включении ОС. При этом троянец копирует себя в WINDOWS\SYSTEM\WinFAT32.EXE и заменяет соответствующий ключ Реестра на:

§HKEY_LOCAL_MACHINE

\Software\Microsoft\Windows

\CurrentVersion\Run

\WinFAT32=WinFAT32.EXE.

Что делать, если это произошло?



Если ваша система уже заражена вирусом, то единственное, что вы можете предпринять, это удалить источник заражения.

1) Нажмите START|RUN.

2) Впишите в командную строку REGEDIT и нажмите ENTER.

3) В левой части окна нажмите “+” напротив строки: HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, CurrentVersion, Run.

4) В правой части окна найдите ключ, содержащий записи: \Windows\System\ MSKernel32.vbs” и “\WIN-BUGSFIX.exe” и удалите его.

5) Необходимо также найти и удалить ключ с записью “:\Windows\System\ Win32DLL.vbs”.

6) Выйдите из Реестра.

7) Нажмите START|SHUTDOWN. Выберите режим “Restart in MS-DOS mode” и нажмите OK.

8) После перезапуска компьютера откроется директория C:\.

9) Добавьте в строку запись “DEL WIN-BUGSFIX.exe”.

10) Нажмите CTRL+ALT+DEL и пусть Windows перезагрузится.

11) Необходимо также найти и удалить файл VBS_LOVELETTER, что обезопасит систему от реинфицирования.

12) Для исправления записей в Рееестре и удаления испорченных вирусом файлов HTML и TXT, воспользуйтесь инструментом swet.exe (http://www.antivirus.com/swat.exe), разработанным TrendMicro.

13) Есть также и пара-тройка специализированных программ, которые помогут вам ликвидировать последствия разрушительных действий “I Love You”. (http://digest.com.ua/cgi-bin/links/sear ... i+love+you).

Противодействие найдено



Антивирусные компании практически мгновенно приступили к созданию “противоядия”. Однако сразу возникла проблема: вирус начал “мутировать”. Модифицировать его код очень легко, поскольку червь написан на скрипт-языке Visual Basic Script, то есть распространяется в исходных текстах. И изменить его код, добавить или убрать функции может любой, кто мало-мальски разбирается в этом языке.

Другая проблема, возникающая при детектировании скрипт-вирусов и червей, заключается в том, что стандартные антивирусные средства во многих случаях способны отловить опасного гостя только после того, как он уже проник в систему и поразил ее.

Схема работы большинства известных скрипт-вирусов и червей достаточно проста: при их запуске они создают на диске свои временные копии. В этот момент их и “ловят” резидентные антивирусные мониторы. Однако возможны ситуации, когда эти вирусы не создают на диске никаких файлов (они используют исключительно память компьютера). Таким образом, мониторы просто не в состоянии обнаружить факт проникновения вируса на компьютер.

“Лаборатория Касперского” предлагает своим пользователям уникальную технологию защиты как от всех известных вариантов нового Интернет-червя “LoveLetter”, так и от всех его последующих мутаций. Данная защита основана на новой технологии проверки всех скрипт-программ, которые запускаются приложениями Windows (такими, как Microsoft Explorer, Microsoft Internet Explorer, Microsoft Outlook и т.д.). Защита встраивается как фильтр между приложением, для которого предназначен скрипт (например, Outlook и/или Internet Explorer), и скрипт-машиной, которая непосредственно выполняет скрипт-программу (например, Microsoft Windows Script Host — обработчик VisualBasic-скриптов).

Таким образом, в момент передачи скрипта на обработку и выполнение его код перехватывается и проверяется на наличие как известных, так и неизвестных скрипт-вирусов и червей. На известные вирусы скрипт проверяется при помощи резидентного перехватчика AVP Monitor, а новые неизвестные вирусы блокируются специально разработанным эвристическим анализатором.

“Подобная двухуровневая антивирусная система защиты, встроенная непосредственно в самое ядро обработчика скрипт-программ, является гарантированным средством против многочисленных Интернет-червей нового поколения”, — резюмирует Евгений Касперский. — “Мы настоятельно рекомендуем пользователям установить нашу новую разработку и обновить свои антивирусные программы. Если бы я сегодня выбирал антивирусную защиту для своего компьютера — я бы так и сделал”.

Существующие вариации вируса.



Согласно данным компании TrendMicro, есть пять вариаций вируса:

— LOVELETTER Тема письма — ILOVEYOU, тело — kindly check the attached LOVELETTER coming from me, аттачмент — LOVE-LETTER-FOR-YOU.TXT.vbs. Распространяется по электронной почте и сетям mIRC. В последнем случае вирус отправляет файл LOVE-LETTER-FOR-YOU.HTM всем пользователям того же канала, что и “зараженный” пользователь.

— Susitikim Тема письма — Susitikim shi vakara kavos puodukuiј В начале кода содержит комментарий —”rem Modified Lameris Tamoshius / Lithuania (Tovi systems)”.

— VeryFunny Аттачмент — Very Funny.vbs, тема — fwd: Joke, тело — без текста, создает файл Very Funny.HTM.

— No Manila Header Аналогичен LOVELETTER, но в коде отсутствуют два комментария — “rem barok — loveletter(vbe) <i hate go to school>” “rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines”

— Mothersday Тема письма — Mothers Day Order Confirmation, тело — “ We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com”,
аттачмент — mothersday.vbs. Перенаправляет браузер на сайты http://www.hackers.com, http://www.l0pht.com, http://www.2600.com, http://www.hackers.com. mIRC-компонент пытается отправить документ mothersday.HTM.

— Brainstorm Аттачмент — ESKernel32.vbs, ES32DLL.vbs, Important.TXT.vbs, тема — Important ! Read carefully!!!, тело — Check the attached IMPORTANT coming from me! использует документ Important.HTM.

“Лирическое отступление”



На некоторых железнодорожных переездах еще с советских времен остались старенькие, потрепанные временем плакаты “минута или жизнь?”. Помните? Так вот, пришло время по всей стране развесить другие плакаты: “современные антивирусы или жизнь вашего компьютера”. Время, когда можно было раз в неделю запускать “на всякий случай” старенький антивирус и жить более или менее спокойно, давно прошло. Сегодня только современные средства антивирусной защиты способны уберечь ваш компьютер, ваши деньги и бизнес.

Цены на качественную антивирусную защиту (включающую постоянное обновление вирусных баз данных, версий программ и техническую поддержку) совершенно не сопоставимы с ущербом от возможной (а при отсутствии защиты — совершенно неизбежной) вирусной атаки.

Если вы хотите всегда получать свежую информацию о компьютерных вирусах и первыми узнавать о различных акциях, проводимых фирмами-производителями антивирусных программ, вы можете подписаться на “канал новостей”, поставляемых различными антивирусными лабораториями.

От атаки компьютерных вирусов не застрахован никто. Поэтому никогда не открывайте сомнительные файлы, полученные от неизвестных источников, или прикрепленные файлы к электронному письму, полученному от незнакомого или даже знакомого человека, предварительно не проверив их на наличие вирусов.

Используйте только новые антивирусные программы и обновляйте вирусные базы не реже, чем раз в 2 недели. Тогда вы сможете защититься от вирусных атак.

Один из моих знакомых мечтал, чтобы у него “завелся” вирус. Он пользовался старой версией DrWeb (под MS DOS). Кто-то над ним подшутил, и прислал ему вирус. Естественно, не проверив файл (причем EXE-шник), он запустил его, и потерял половину своей информации на винчестере.

Компьютер, как человек, нуждается в периодической профилактике. Программу-вирус может написать школьник. И этот вирус может причинить большой ущерб вашему компьютеру.
Админ не тот, кто об этом кричит, а тот, кто может молча помочь другому... Изображение
Аватара пользователя
Mister X
Администратор
 
Сообщений: 138
Зарегистрирован: 21 июл 2010, 21:42
Пол: Мужской

Re: Компьютерные вирусы

Сообщение Mister X 27 июл 2010, 00:01

СЕТЕВЫЕ ЧЕРВИ

Основным признаком, по которому типы червей различаются между собой, является способ распространения червя — каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия КЧ между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).


Email-Worm — почтовые черви

К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.


IM-Worm — черви, использующие интернет-пейджеры

Известные компьютерные черви данного типа используют единственный способ распространения — рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.


IRC-Worm — черви в IRC-каналах

У данного типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ — отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Net-Worm — прочие сетевые черви

Существуют прочие способы заражения удаленных компьютеров, например:

копирование червя на сетевые ресурсы;
проникновение червя на компьютер через уязвимости в операционных системах и приложениях;
проникновение в сетевые ресурсы публичного использования;
паразитирование на других вредоносных программах.
Первый способ заключается в том, что червь ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом черви данного типа или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Для проникновения вторым способом черви ищут в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально оформленный сетевой пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.

Отдельную категорию составляют черви, использующие для своего распространения веб- и FTP-сервера. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и необходимым образом модифицирует служебные файлы сервера (например, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают зараженную веб-страницу), и таким образом проникает на другие компьютеры в сети.

Существуют сетевые черви, паразитирующие на других червях и/или троянских программах удаленного администрирования (бэкдорах). Данные черви используют тот факт, что многие бэкдоры позволяют по определенной команде скачивать указанный файл и запускать его на локальном диске. То же возможно с некоторыми червями, содержащими бэкдор-процедуры. Для заражения удаленных компьютеров данные черви ищут другие компьютеры в сети и посылают на них команду скачивания и запуска своей копии. Если атакуемый компьютер оказывается уже зараженным «подходящей» троянской программой, червь проникает в него и активизирует свою копию.

Следует отметить, что многие компьютерные черви используют более одного способа распространения своих копий по сетям, использующие два и более методов атаки удаленных компьютеров.


P2P-Worm — черви для файлообменных сетей

Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.

Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.
Аватара пользователя
Mister X
Администратор
 
Сообщений: 138
Зарегистрирован: 21 июл 2010, 21:42
Пол: Мужской

Re: Компьютерные вирусы

Сообщение Mister X 27 июл 2010, 00:01

Новый опасный вирус продолжает гулять по миру!

Один из самых опасных вирусов был недавно обнаружен автором популярного антивируса-сканера Doctor Web Игорем Даниловым. Необычная особенность этого вируса - способность распространяться в HLP-файлах Windows! Кроме того, он распространяется в исполняемых файлах Windows 95/98 и в архивах ARJ, HA, RAR и ZIP форматов.

Вирус очень опасен, поскольку при попытке запуска ряда антивирусных программ (в том числе, Doctor Web, если его исполняемый модуль drweb.exe не был предусмотрительно переименован пользователем) вирус уничтожает все файлы на всех логических дисках компьютера.

Сегодня вирус обнаруживается только одним сканером - Doctor Web! Другие сканеры его не видят! Это связано с очень нетривиальным механизмом заражения файлов, при котором вирус не модифицирует начало программного кода, а внедряется в его середину, в случайно выбираемую область одной из программных функций, которая скорее всего, при определенных обстоятельствах будет вызвана на исполнение. При запуске такого зараженного файла вирусный код может никогда не получить управления, если программная функция, в которой он "поселился", не будет вызвана самой программой. Вирус может "годами жить" в таком файле, пока, наконец, сама программа или пользователь, управляющий ею, не выполнят каких-либо действий (например, нажмет кнопку F1), повлекших за собой передачу управления той программной функции, на месте которой и "живет" этот самый вирус.

Такой механизм внедрения в файлы ранее был реализован в очень сложных полиморфных вирусах семейства Zhengxi, появившихся в Санкт-Петербурге еще в 1995 году. До сих пор фактически единственным средством борьбы с ними является антивирус Doctor Web, в котором Игорь Данилов применил специальный метод глубокого (deep) сканирования. Тогда благодаря оперативной реакции Doctor Web эпидемия вирусов Zhengxi была остановлена в зародыше и вирусы далеко не разошлись.

Вероятно, поэтому другие разработчики антивирусов, столкнувшись с очень серьезными трудностями, не уделили должного внимания вирусам Zhengxi, посчитав их чисто коллекционными. И до настоящего времени очень немногие сканеры научились, в принципе, ловить такие вирусы. Причем, обнаружение их удается только в случаях, когда либо вирус поселяется в начале файла (что бывает далеко не всегда, и значит, такое обнаружение очень ненадежно), либо антивирус использует режим избыточного (redundant) сканирования (что замедляет работу сканера в десятки раз, и значит, такое сканирование просто никем не используется). В то же время, Doctor Web надежно обнаруживает все эти вирусы, причем в стандартном режиме работы.

Напомним, что Doctor Web (а точнее, его автор Игорь Данилов) всегда отличался особой "любовью" к сложным полиморфным вирусам. Этот факт неоднократно отмечался в международных тестах антивирусных программ-сканеров. И вот, в частности, такая щепетильность ранее в отношении экзотических вирусов Zhengxi позволила теперь Игорю Данилову оперативно отреагировать на появление нового вируса. Уже 16 февраля 1999 года программа Doctor Web 4.04 (как традиционна 16-битная версия, так и 32-битная бета-версия) умела его обнаруживать. Однако, ни одна из других антивирусных программ-сканеров пока не научилась этого делать. В этом свете, распространенное требование к современным сканерам об изготовлении "лекарства" за 48 часов выглядит несколько поспешным.

Всем подписчикам ЗАО "ДиалогНаука" или его дилеров мы настоятельно рекомендуем обязательно получить свежую (не ниже 4.04) версию Doctor Web, если это еще не проделано. И конечно, переименовать полученный исполняемый модуль, чтобы предотвратить возможную паническую реакцию вируса на запуск антивируса.



Win95.SK.7977

Очень опасный резидентный полиморфный вирус, заражающий файлы в формате PortableExecutable (исполняемые файлы для Windows 95/98), файлы помощи для Windows 95/98 (HELP-файлы), а также внедряющий свои копии в архивные файлы ARJ, HA, RAR и ZIP форматов.

При заражении PE-файлов вирус Win95.SK.7977 не изменяет стартовый адрес программы. Вместо этого он сканирует содержимое стартовой секции программы для поиска некоторых последовательностей байт. Как правило, такие последовательности присутствуют во всех программах, созданных с помощью компиляторов языков высокого уровня (Pascal, C++, ...). Причем, такими инструкциями (например, "PUSH EBP; MOVE EBP,ESP") обычно начинаются программные функции.

Если требуемые байты обнаружены, проверятся условие, чтобы найденная якобы программная функция была не менее 168 байт (в пределах 168 байт не должно быть инструкции возврата - RET). В случае успеха вирус запоминает адрес этой функции (адрес обнаруженной последовательности байт) и продолжает свой дальнейший поиск. После такого сканирования, если была найдена хоть одна подходящая для вирусного внедрения функция, выбирается случайный из всех зафиксированных вирусом адресов функций.

Если вирус не смог найти ни одной подходящей ему процедуры, то он выбирает для внедрения своего кода стартовый адрес программы. В выбранное место помещается до 168 байт полиморфного кода, который расшифровывает основной вирусный код. Термин "полиморфный" означает, что программа состоит из случайной последовательности инструкций, котора выбирается заново при заражении каждого файла. Таким образом, дл обнаружения вируса антивирусной программе необходимо сканировать значительную часть кода программ в поиске неизвестно чего.

Резидентный код вируса подключается к файловым операциям и при обращении к файлам с расширениями EXE, DLL, SCR или HLP пытается их инфицировать.

Инфицированные HELP-файлы, пользуясь средствами макрокоманд, создают на диске C: и запускают на исполнение программу со случайным именем длиной в 380 байт. Эта программа, получив в качестве параметра имя породившего ее файла, находит в нем зашифрованное тело вируса, расшифровывает его, и передает ему управление. А тот оставляет в памяти свою резидентную копию, если такой еще нет.

Следует отметить, что заражение любого файла (исполняемого, архива или файла помощи) вирус производит только через минуту после предыдущего заражения.

Win95.SK.7977 очень опасен. При открытии программ, начинающихся на "ADIN" или "AVPI", а также, с большой долей вероятности, при открытии файлов, начинающихся на "_AVP", "AVP", "VBA" или "DRW" вирус уничтожает все файлы на всех логических дисках компьютера, после чего "завешивает" систему, вызывая системную функцию Fatal_Error_Handler. Удаляет файл WINDOWSCOMMAND.PIF.
Аватара пользователя
Mister X
Администратор
 
Сообщений: 138
Зарегистрирован: 21 июл 2010, 21:42
Пол: Мужской

Re: Компьютерные вирусы

Сообщение Mister X 27 июл 2010, 00:03

Описание наиболее известных вирусов

...Тема о вирусах, к сожалению, практически не исчерпаема. Но я всего лишь хочу донести до вас информацию, которая, как мне кажется, может пригодиться в борьбе, или, если хотите, противостоянию этой заразе 20 - 21 веков...

Вирус Babylonia уже не так опасен, как раньше

Вирус нового типа Win95.Babylonia появился совсем недавно. Первое сообщение о заражении и Internet-чатов и групп новостей в Европе, США и странах Азиатско-Тихоокеанского региона появилось на этой неделе – в понедельник 6 декабря. В описании вируса, сделанном российской антивирусной компанией "Лаборатория Касперского", указывается, что Win95.Babylonia сочетает в себе возможности как вируса, так и Интернет-червя и "троянской" программы. Проникнув на компьютер, вирус ждет, пока пользователь вновь установит соединение с Internet, после чего вирус инициирует соединение с Web-сайтом, известным под названием SOK4EVER, откуда производится загрузка дополнительных вирусных модулей. Принадлежит этот сайт группе "любителей вирусов" Source of Kaos и располагается он в Японии. Вернее, теперь уже можно сказать в прошедшем времени – принадлежал группе Source of Kaos и располагался в Японии, так как этот сайт, с которого производилась рассылка новых вирусных модулей, по сообщению антивирусной фирмы Trend Micro, уже закрыт. Вирус Win95.Babylonia, конечно же, не обезврежен, но уже не столь опасен, как раньше, поскольку функции несанкционированного удаленного администрирования он уже лишен.

Вирус ICQGREETING обнаружен в диком виде

Компании Trend Micro и Computer Associates, специализирующиеся на разработке антивирусного ПО, сообщили о том, что в природе в диком виде обнаружен новый вирус типа троянского коня, получивший название ICQGREETING. Он может быстро распространиться по Internet, так как генерирует рассылку по электронной почте большого числа своих копий. В таких электронных письмах в строке "тема" всегда пусто, в теле письма также ничего нет, а есть только прикрепленный файл "lcq_Greetings.exe". ICQGREETING является вариантом вируса-червя Mypics, который появился неделю назад. Mypics приходил в письме в исполняемом файле "Pics4You.exe", в теле письма содержался текст "Here's some pictures for you!". Как и Mypics, вирус ICQGREETING поражает системы с ОС Windows 95/88, NT или 2000. Кроме того, для его распространения по электронной почте необходимо наличие на зараженном компьютере программы Microsoft Outlook. ICQGREETING запрограммирован на исполнение специальных команд 1 января 2000 г. – он попытается отформатировать диск С, флоппи-дисководы А: и В: и, если он имеется, жесткий диск D:. Однако, по сообщению Computer Associates, в самом коде вируса имеются ошибки, и отформатировать диски ему, скорее всего, не удастся. Как и Mypics вирус ICQGREETING по замыслу его создателя также должен внести изменения в ПЗУ, но, опять же из-за ошибок, он этого сделать не сможет. При запуске на исполнение файла "Icq_Greetings.exe" троянский вирус помещает свой файл в каталог Windows и изменяет содержимое системного регистра таким образом, что программа, содержащая вирус, автоматически запускается на исполнение при перезагрузке компьютера. Через 20 минут после запуска вирус пытается разослать свои копии по адресам, содержащимся в адресной книге почтовой программы Outlook, и эта процедура повторяется каждые 10 минут. Эта массовая рассылка сообщений сама по себе может вызвать перегрузку почтовых систем по всему миру. Компании Trend Micro (http//www.antivirus.com) и Computer Associates (http//www.cai.com) сообщают пользователям о том, что с их Web-сайтов они могут загрузить соответствующие обновления для своего антивирусного ПО, которые обнаруживают вирус ICQGREETING.

О вирусе "Win95.Begemot"

Опасный резидентный полиморфный Windows-вирус длиной около 8Kb. Инсталлирует себя в память Windows и заражает РЕ ЕХЕ-файлы Windows при обращениях к ним. Использует системные вызовы Win95/98 и по этой причине неработоспособен под Windows NT. Содержит ошибки, часто завешивает компьютер и портит файлы при их заражении. Использует несколько нестандартных приемов: пакует свой код (и распаковывает при инсталляции в память); записывает зараженные файлы в RAR-архивы (имя таких файлов – BEER.EXE); запускает дополнительную нитку процесса, которая взаимодействует с внешним управляющим модулем. Этот модуль может управлять процессами вируса, например, включать/отключать процедуру заражения файлов. Вирус также ищет и выгружает антивирусные мониторы "AVP Monitor" и "Аmоn Antivirus Monitor", удаляет некоторые антивирусные файлы данных, в зависимости от системного таймера выводит сообщения. Содержит строку-"копирайт", по которой очень просто определить файлы, зараженные вирусом: "Virus Win98.BeGemot by Benny/29A".

Вирус "Win95.Yobe"

Опасный резидентный Windows-вирус. Использует системные вызовы Win95/98 и по этой причине неработоспособен под Windows NT. Содержит ошибки и часто завешивает компьютер при заражении файлов. Несмотря на это, представляет достаточный интерес с технической точки зрения – вирус использует довольно необычный прием заражения файлов. Вирус может быть обнаружен только в двух файлах: в файле "SETUP.EXE'' на дискетах и в файле "SETUP.EXE" в корне диска С: (в имени этого файла присутствует пробел). На дискетах вирус использует необычный для современных вирусов прием расположения своего тела. Вирус записывает свой код в последние кластеры дискеты и модифицирует присутствующий на ней файл SETUP.EXE таким образом, что при запуске он считывает код вируса непосредственно с кластеров дискеты и инсталлирует его в систему. Зараженный SETUP.EXE на дискетах выглядит как 512-байтная DOS ЕХЕ-программа, однако это не совсем так. При заражении этого файла на дискете вирус использует метод вируса Dirll и таким образом прячет свой основной код: при помощи вызовов чтения/записи секторов дискеты вирус получает доступ к ее системным областям (корневой каталог и FAT-ы), изменяет номер первого кластера файла SETUP.EXE и необходимым образом модифицирует таблицы FAT. В результате первоначальное содержимое файла SETUP.EXE остается без изменений, однако соответствующая запись в каталоге дискеты указывает на код вируса. При запуске этого SETUP.EXE с зараженной дискеты DOS-компонента вируса получает управление, создает файл "C:\SETUP.EXE" и записывает в него копию вируса, предварительно считав эти данные с дискеты. Затем вирус запускает этот файл, и управление получает процедура инсталляции вируса в систему. Затем вирус "лечит" на дискете файл SETUP.EXE. При инсталляции в систему вирус создает в системном реестре новый ключ автозапуска своей копии при каждом рестарте Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
YOBE=""C:\SETOP.EXE" YOBE".
Затем вирус переключается на уровень ядра Windows (Ring0), выделяет себе блок памяти, копирует туда свой код, перехватывает команды работы с файлами (IFS API) и остаётся в памяти Windows как VxD-драйвер. Перехватчик вируса обрабатывает только открытие файлов. Если открывается файл SETUP.EXE на диске А:, вирус заражает его описанным выше способом. Вирус содержит также дополнительные процедуры. Первая из них ищет и выгружает антивирусные мониторы "AVP Monitor" и "Amon Antivirus Monitor". Вторая в зависимости от случайного счётчика выводит в левую часть экрана вертикальную полосу, заполненую словами "YOBE".

WM97/Ethan – самый распространенный вирус

Компания Sophos (http//www.sophos.com) каждый месяц проводит статистические исследования распространенности различных вирусов а "диком виде". По данным последнего исследования, первое место сейчас занимает вирус WM97/Ethan. Он упоминается в 12,6% сообщений об обнаружении вирусов. Второе место по популярности занимает вирус WM97/Class-ED – 11.3% сообщений третье место за вирусом WM97/Marker-O (6,2%), который в ноябре занимал пятую строчку в рейтинге. Знаменитый вирус WM97/Melissa-AG в ноябре занимал 4 место, а в декабре переместился на шестое (4,1%). Все эти вирусы относятся к классу макро-вирусов (Word Macro, WM), поражающих Word-документы. Как заявил ведущий консультант Sophos Грэхем Клули (Graham Cluley), если большинство пользователей станет вместо Word-документов использовать RTF-файлы, то электронный мир стал бы более безопасным.

F-Secure предупреждает о новом полиморфном вирусе Pri

Компания F-Secure (http://www.f-secure.com), совсем недавно известная под названием Data Fellows, опубликовала предупреждение о новом вирусе по имени Pri. Этот вирус имеет и другое название – PSD. Это полиморфный макро-вирус документов Word 97, который активизируется при открытии зараженного файла. После начала работы вирус проверяет, не заражен ли общий шаблон документов, и если нет, то он полает это, при этом производится модификация самого вируса. В природе встречается и вариант этого вируса, который называется Pri.B, в отличие от оригинала Pri.A. По сообщению F-Secure, вирус Pri.B очень похож на Pri.A, но он добавляет определенный код в меню "Tools/Macros/Visual Basic Editor", в результате чего редактор MS-Word закрывается сразу же после сохранения любых изменений. Есть и еще одно небольшое отличие. Когда вирус Рri.А заражает о6щий шаблон, он заражает и все документы, которые будут закрыты после этого. Кроме того вирус блокирует меню "Tools/Macros/Visual Basic Editor". Затем вирус Pri.A проверяет время на системных часах компьютера, и если число часов равно числу минут, то вирус рассеивает по открытому в данный момент документу 10 фигур различной формы и цвета. При работе вируса Pri.B число этих фигур может быть произвольным. По сообщению F-Secure, вирус Рri активизируется 25 декабря. В этот день он переписывает файл "C:\Autoexec.bat и вносит в него команду о немедленном переформатировании виска "С:" сразу после перезагрузки системы. Вирус Рri не активизируется на компьютере с Windows NT. Если же он начинает свое черное дело на компьютере с Windows 95 или 98, то на экране появляется сообщение: "Vine... Vide... Vice...Moslem Рower Never End... You Dare Rise Against Me... The Нuman Era is Over, The CyberNET EraHas Come!!!" Как и многие другие макро-вирусы этого типа, вирус Рri рассылает себя по первым 50 адресам, записанным в адресной книге пользователя. Специалисты F-Secure собираются в ближайшее время выпустить антивирусное средство против Pri.

Появился новый вирус-червь W32.NewApt.Worm, распространяющийся по электронной почте

Компания Sophos опубликовала на своем сайте (http://vww.sophos.com/virusinfo/analyses/W32newapt.html) предупреждение о появлении вируса-червя NewApt, который, как утверждается, уже распространяется по компьютерным системам. Сообщение электронной почты, содержащее этот вирус, замаскировано под новогоднее поздравление от компании MessageMates. Если почтовая программа пользователя поддерживает просмотр HTML-файлов, то пользователь прочтет в теле письма следующий текст: "http://stuart.messagemates.com/index.html Hypercool Happy Year 2000 funny programs and animations?. We attached our recent animation from this site in our mail! Check it out!" To есть пользователям предлагается посмотреть прикрепленный к письму анимированный ролик. Сама компания MessageMates, Web-адрес которой приводится в письме, заявила, что автор вируса использовал ее имя для распространения червя NewApt. Сама она к этим "поздравлениям" никакого отношения не имеет. Если же НТМL файлы почтовой программой не поддерживаются, то пользователь увидит другой текст: "he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT stuff". Присоединенный исполняемый файл может называться cheese-burst.exe, party.exe, mooica.exe (список возможных названий довольно длинный). Если пользователь запустил на исполнение присланный файл, то на экран компьютера выводится диалоговое окно с текстом "Тhе dinamic link library giface.dll could not be found in specified path". Вирус W32/NewApt затем рассылает себя в таких же письмах по адресам, содержащимся в адресной книге пользователя. Кроме того, W32/NewApt изменяет регистр Windows таким образом, что вирус перезагружается всякий раз при запуске Windows.

Лаборатория Касперского" о многоликом вирусе-черве I-Worm.NewApt

Ранее уже сообщалось о появлении в "диком виде" нового вируса-червя W32.NewApt.Worm. В вирусной энциклопедии "Лаборатории Касперского" он назван немного иначе – 1-Worm.NewApt. Вот подробное описание нового вируса, сделанное "Лабораторией Касперского". I-Worm.NewApt является вредоносной программой типа "червь", распространяющейся через сеть Интернет. "Червь" представляет собой исполняемый ЕХЕ-файл Windows влиной около 70 Кбайт. Он распространяется в сети посредством сообщений электронной почты, содержащих зараженный вложенный файл. Название вложенного зараженного файла выбирается генератором случайных чисел из 26 вариантов. Рассылаемые сообщения имеют заголовок (Subject) "Just for your eyes". В теле сообщения содержится следующий не-HTML текст:

"he, your lame client cant read HTML, haha.
click attachment to see some stunningly HОТ stuff"
Или текст в формате HTML "Hypercool Happy New Year 2000 funny program and animations... Не attached our recent animation from this site in our mail! Check it out!" В случае, если вложенный файлзапущен, "червь" получает управление и устанавливает себя в систему. Для этого он копирует себя под своим текущим именем (из приведенного выше списка) в директорию Windows и прописывается в системном реестре в секции "Runs": SOFTWARE \Mlicrosoft \Windows \CurrentVersion \Run "tpawen" = "C:\WIN\PANTHEREXE /x" Необходимо еще раз заметить, что имя "червя" не является постоянным и может меняться в соответствие с приведённым выше списком. Для сокрытия своей деятельности "червь" показывает на экране следующее сообщение: "The dinanic link library giface.dll could not be found in specified path: C:\WINDOWS\SYSTEM; С:\WINDOWS; С:\WINDOWS\COMMAND;" "Червь" также создает и инициализирует для своих нужд следующие ключи системного реестра:

НKEY_CURRENT_USER \Software \Microsoft \Windows

itn =
cat =
cd =
lk =
Ims =
mda =
mde =

Затем "червь" регистрирует себя в качестве "сервиса" (он становится невидимым в списке активных задач) и остается в памяти в виде скрытого приложения. Основная подпрограмма "червя" (всего их две, работающих параллельно в фоновом режиме) периодически просматривает установленные логические диски в поисках файлов, имеющих отношение к Интернет (MS Mail, Outlook Express, Netscape Navigator и др.), открывает их, получает из них найденные адреса электронной почты и рассылает по ним зараженные сообщения. Начиная с 12 июня 2000 года, "червь" убирает строку "Run=" из системного реестра и прекращает внедряться а систему: Это значит, что его время действия ограничено этой датой. Однако и в этом случае он может представлять собой потенциальную опасность, потому как в системе остаются его копии, которые могут активизироваться в случае изменения системной даты. "Червь" начинает проявляться в 00 часов 00 минут 26 декабря по текущим системному времени и дате. Каждые три секунды он пытается присоединиться к удаленному компьютеру в компании Microsoft – стандартная DoS атака (Deny of Servke). Независимо от системной даты "червь" пытается набирать телефонные номера, случайно выбирая их из списка, содержащегося внутри его.

Finjan сообщает о появлении нового вируса-червя Win32.Crypto

Компания Finjan (http://www.finjan.com) опубликовала предупреждение о новом вирусе-черве, получившем название Win32.Crypto. Как сообщается, Win32.Crypto относится к разряду троянских стелс-вирусов. Если файл с вирусом просто удалить с жесткого диска, то вирус не прекратит своей деятельности, и через некоторое время в результате его работы перестанет загружаться операционная система. Вирус Win32.Crypto распространяется в виде двух файлов notepad.exe и pbrush.exe. Он заражает компьютеры с операционными системами Windows 95, Windows 98, Windows NT и бета-версией Windows 2000. Никаких внешних признаков заражения компьютеров не выявлено. Вирус Win32.Crypto инфицирует компьютер, присоединяя себя к файлу kernel32.dll, кроме того, вирус вносит изменения в файл win.ini и в системный регистр. В результате этих изменений вирус получает возможность перехватывать обращения к DLL-файлам. Каждый раз при загрузке зараженного компьютера вирус Win32.Crypto заражает еще 20 случайно выбранных исполняемых файлов. Вирус распространяется, если ничего не подозревающий пользователь отправит один из зараженных исполняемых файлов кому-либо по электронной почте. Кроме того, по сообщению Finjan, в вирусе Win32.Crypto имеются антиэвристические механизмы, из-за которых его трудно обнаружить антивирусными программами. Некоторые типы программ вообще не могут справиться с такими вирусами, и для того чтобы компьютер вновь заработал, необходимо переформатировать жесткий диск. Компания Finjan заявляет, что её антивирусное ПО SurfinShield обнаруживает и предотвращает атаки вируса Win32.Crypto.

Computer Associates сообщает о вирусе Lucky2000

Компания Computer Associates International Inc. (CA) (http://www.cai.com) сообщила ещё об одном вирусе, появление которого связано с наступлением 2000 г. Вирус получил название Lucky2000, он переписывает скрипты Visual Basic. По сообщению CA, вирус Lucky2000 поражает компьютеры с ОС Windows 95, Windows 98 и Windows NT, если на них имеется редактор Visual Basic. Вирус заражает все файлы в текущем каталоге, независимо от их расширений. При заражении файла происходит замена всего его содержимого на тело вируса, однако, название файла при этом не меняется. Изначально файл вируса называется LUCKY.VBS. Показателем того, что компьютер заражен вирусом Lucky2000, является то, что меняется начальная страница Web-брауэера и создается закладка C:\W1NDOWS\Favorrtes\Lucky2000.URL. Новой начальной страницей становится страница этого вируса, которая, как утверждается, располагается на российском сервере по адресу http://www.chat.ru/~smf. Сообщений о появлении этого вируса в "диком виде" пока не было.

Вирус, распространяемый с пиратскими копиями Windows 98

По сообщению координационного центра Группы реагирования на компьютерные происшествия (CERT) из Университета Карнеги-Меллона накануне Нового года, появился еще один вирус. Это троянский вирус Trojan.Kill, который имеет и другое название – lnst98. Он удаляет все файлы с диска С. Первоначально он был обнаружен в пиратских копиях операционной системы Microsoft Windows 98, но он может распространяться и по электронной почте, и через совместно используемые сетевые диски. Как сообщается, вирус содержится в файле INSTALAR.EXE размером 5682 байт. Содержимое этого файла копируется в файл раскладки клавиатуры KEYB.COM. Вирус Тгоjan.Kill должен был активизироваться при наступлении 1 января 2000г. и стереть все файлы с диска С:.

Computer Associates предупреждает о троянском вирусе Feliz.Trojan

Компания Computer Associates (http://www.cai.com) опубликовала предупреждение о португальском "новогоднем" троянском вирусе, получившем название Feliz Trojan. Этот троянец удаляет с жесткого диска компьютера файлы system.dat, user.dat, cotmmand.com, system.ini, win.ini, system.cb и win.com. После удаления этих файлов на экран выводится изображение уродливой физиономии и надпись "FELIZ ANO NOVO!!!" ("С новым годом" по-португальски). После этого компьютер перестает загружаться. По сообщению Computer Associates, этот троянский вирус не сможет принести никакого вреда, если ОС Windows установлена не в каталоге C:\windows, а в какой-нибудь другой директории. Кроме того. Computer Associates подготовила противоядие от этого трояниа, которое можно бесплатно загрузить с Web-сайта по адресу http://antivirus.cai.com.

Компания Sophos обнаружила за сутки три новых вируса

Специалисты антивирусной компании Sophos (http://www.sophos.com) за последние сутки обнаружили три новых вируса. Первый из них называется Esmeralda. Этот вирус заражает все исполняемые файлы на ПК с ОС Windows 95/98, активизируемые в то время, когда вирус находится в памяти компьютера. На компьютеры с ОС Windows NT он не действует. Как сообщается, родиной вируса является Колумбия. Второй вирус получил название Surround. Он относится к классу макровирусов MS-Word. В любой день после 29 декабря 1999 г. вирус Surround может попытаться удалить на компьютере файл WIN.COM, но, на самом деле, ему это сделать не удастся из-за ошибки в коде самого вируса. Похоже, автор этого вируса как следует не проверил работу своего творения. После того как вирусу не удается удалить указанный файл, на экране появляется надпись "You are now Surrounded!!". Вирус также создает временный файл C:\SURROUND.KEY, но, по сообщению Sophos, он опасности не представляет. Третий вирус называется Space или PE_Spaces.1633, он заражает исполняемые файлы на компьютерах с 32-разрядной версией Windows. Начнет он действовать 1 июня. В этот день он перепишет головную загрузочную запись на жестком диске и попортит таблицу разделов. То есть жесткий диск перестанет загружаться до тех пор. Пока не будет восстановлена головная загрузочная запись.

Computer Associates сообщает о вирусе-черве Wscript/Каk

Компания Computer Associates International (CA), специализирующаяся на средствах антивирусной защиты, опубликовала предупреждение о новом вирусе-черве, получившем название Wscript/Kak. Как сообщается, этот вирус заражает компьютеры с ОС Windows. Кроме того, особо следует отметить, что вирус уже обнаружен в "диком" виде. Однако для заражения этим вирусом и дальнейшего его распространения необходимы довольно специфичные условия. Вирус Wscript/Kak распространяется по электронной почте и заражает только системы с Windows 98, на которых установлена почтовая программа Outlook Express 5.0. Причем для заражения пользователю не нужно даже открывать никаких присоединенных файлов. В этом механизм работы Wscript/Kak сходен с вирусом-червем I-Wofm.BubbleBoy. Если на компьютер пользователя попадает зараженное вирусом Wscript.Kak письмо, то находящаяся в нем программа начинает исполняться, если в браузере Internet Explorer 5 установлен низкий или средний уровень защиты. Вирус Wscript.Kak записывает свой код в каталог Windows в виде файла "Каk.HТА". Кроме того, часть кода вируса записывается в виде файла "Kak.HTM" и создается его копия в каталоге Windows\System, а в системном регистре появляется запись: "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\cAgOu". В результате таких манипуляций вирус запускается на исполнение при каждой загрузке Windows. Затем вирус ищет установки пользователя ("Identities") в Outlook Express 5.0 и изменяет в них подпись пользователя, в качестве подписи по умолчанию теперь используется файл "C:\Windows\ Каk.HТМ". Таким образом, вирус Wscript.Kak присоединяет себя ко всем письмам, отправляемым пользователем. Кроме того, вирус проверяет системную дату и время и, если сумма числа и часа оказывается больше 17, то на экран выводится надпись "Kagou-Anti-Kro$oft says not today!", после чего вирус пытается закрыть Windows. Computer Associates уже выпустила обновление для своего антивирусного ПО, которое позволяет удалить вирус Wscript.Kak, его можно загрузить по адресу http://antivirus.cai.com.

Вирус PrettyPark – лидер мартовских чартов

Компания Sophos опубликовала очередную десятку наиболее часто встречающихся вирусов по данным за март 2000 г. Бесспорным "лидером" по популярности является вирус PrettyPark – о нем говорится в 25,6% сообщений пользователей о заражении вирусами. На втором месте идет вирус Kakwork – 7,9%, на третьем – Ethan с 5,4%. Четвертое, пятое и шестое места поделили лидер февраля Marker, троянец Mine и Ska-Happy – у них по 4,6%. На седьмом и восьмом местах идут Thursday и Titch, они проникли на 2,9% зараженных компьютеров. Замыкают десятку вирусы Proverb-А и Ethan-CC – у них 2,1% и 1,7%, соответственно. Итак, в марте в компьютерном мире продолжали доминировать макро-вирусы, но следует отметить и новый рост популярности файл-вирусов, типичным представителем которых, является нынешний лидер PrettyPark. Этот вирус приходит в письме электронной почты с присоединенным файлом, в котором под видом компьютерной игры содержится вирус. Более подробную информацию об этом вирусе можно получить по адресу http://www.sophos.com/virusinfo/analyses/w32pretty.html.

Вирус Santana распространяется как средство для "лечения" вируса Chernobyl

Вирус Chernobyl, срабатывающий каждый год 26 апреля (в день чернобыльской катастрофы), привел к возникновению проблем во многих компьютерных системах мира. Корейское Министерство по информации и коммуникациям получило почти 2000 сообщений о заражении вирусом Chernobyl. Между тем, как сообщает "Лаборатория Касперского", в России по электронной почте и через Internet pacпространяется вирус Win32.Santana. Им, якобы, заражён файл NOCIH.EXE, который преподносится как универсальное средство для устранения на компьютере вируса Chernobyl.

FinJan сообщает о новом вирусе South Park Shooter

Антивирусный исследовательский центр компании Finjan (httprfwww.finjan.com) распространил информацию о появлении нового вируса-червя, получившего название South Park Shooter. Как сообщается, этот вирус был замечен в Европе в "диком виде". Подобно вирусу ILOVEYOU и его вариантам вирус South Park Shooter использует для своего распространения по электронной почте программу Microsoft Outlook. Вирус рассылает себя по всем адресам из адресной книги жертвы каждые 30 секунд. Кроме того, вирус "забивают" всё свободное пространство жёсткого диска заражённого компьютера, то есть его действие можно сравнить с атакой типа "отказ в обслуживании" и на компьютеры, и на почтовые серверы. Присоединенный файл в письме с вирусом называется "South Park.exe", его размер составляет 19'968 байт. В свойствах файла указывается другое его название – "South Park Shooter", а в качестве автора фигурирует некая компания Comicplanet. Само письмо написано на немецком языке, в теме указано: "Servus Alter!", а сообщение в теле письма гласит: "Hier ist das Spiel, dass du unbedingt wolltest!", что в переводе означает "Это игра, которую ты очень хотел иметь". При запуске на исполнение файла South Park.exe вирус добавляет в регистр три ключа, в результате чего в корневом каталоге диска С: создается два .dll-файла windowssystem.dll и windowsstart.dll (каждый размером в 1 Кбайт) и один исполняемый файл winguard.exe размером 19,5 Кбайт. Кроме того, в корневом каталоге диска С: появляется копия файла South Park.exe. Если во флоппи-дисководе компьютера имеется дискета, то вирус записывает на нее системные файлы и файл с вирусом, так что имеется вероятность распространения инфекции на другие компьютеры с этой дискеты. При запуске файла winguard.exe по всем адресам из адресной книги Microsoft Outlook каждые 30 секунд рассылаются письма с прикрепленным файлом South Park.exe. Finjan также предупреждает о возможности скорого появления "английских переводов" этого вируса и/или его вариантов.

Вирус ILOVEYOU был выпущен на свободу случайно?

По сообщению агентства Associated Press, студент компьютерного колледжа Онел де Газман (Onel A. de Guzman), разыскивавшийся филиппинскими властями по обвинению в создании и распространении нашумевшего вируса ILOVEYOU, в конце прошлой неделе появился на пресс-конференции. Он был в черных очках. На этой пресс-конференции он заявил, что вирус ILOVEYOU вырвался на свободу случайно, по ошибке. Однако он не сказал прямо, является ли он автором этого вируса. Он также заявил, что не уверен в том, что именно он выпустил этот вирус на просторы Internet, но сказал, что такая ситуация была возможной. Онел де Газман – это один из двух студентов расположенного в Маниле колледжа АМА Computer College, которые подозреваются в написании вируса ILOVEYOU. Второй подозреваемый – его друг Майкл Буэн (Michael Buen) закончил указанный колледж 5 мая. По заявлению руководства колледжа, представленные Газманом и Буэном дипломные работы были посвящены проблеме кражи компьютерных паролей. Кроме того, из разработанных ими программ можно было скомбинировать вирус ILOVEYOU, который поразил множество компьютерных систем в 20 странах мира. На пресс-конференции на вопрос о том, что он думает по поводу ущерба, нанесенного вирусом, де Газман ответил "ничего". Он также сказал, что он не помнит, где он был 4 мая, то – есть в тот день, когда вирус начал свою разрушительную работу. Де Газман сообщил, что он обсуждал свою дипломную работу с другими членами "подпольной" компьютерной группы GrammerSoft, занимавшейся написанием и продажей дипломных работ нерадивым студентам. Присутствовавший на пресс-конференции адвокат де Газмана заявил, что к написанию вируса могли быть причастны и другие люди, в частности, члены группы GrammerSoft. Де Газман жил в одной квартире со своей сестрой и ее приятелем банковским служащим Реонелом Рамонесом (Reonel Ramones). Рамонес был арестован по подозрению в распространении вируса неделю назад, но на следующий день был отпущен за недоказанностью его вины. Национальное бюро расследований Филиппин и ФБР сейчас ведет исследование найденных в квартире компьютерных дискет, но никакой информации о результатах этих поисков пока не сообщается.

Появился вирус для компьютеров Palm

Финская антивирусная компания F-Secure сообщила о появлении первого вируса, который заражает органайзеры производства Palm, Handspring, IBM, TRG и Symbol Technologies, работающие под управлением ОС Palm. Сообщений о распространении этого вируса в диком виде пока не зафиксировано. Сама компания F-Secure получила этот вирус от анонимного пользователя. Вирус, который называется Phage (PalmOS/Phage.1325), представляет собой файл очень небольшого размера, который можно загрузить из internet-доступа. В отличие от троянца Palm Liberty Troyan, который был обнаружен около месяца назад, Phage является настоящим вирусом, так как он способен распространяться из одного Palm-приложения в другое. Вирус проявляет себя тоже очень быстро - через секунду после начала его работы на экране компьютера исчезают все символы и изображения. Кроме того, вирусный код присоединяется ко всем программам, имеющимся на компьютере Palm, но не действует только на файлы баз данных. Создаётся впечатление, что уничтожены все файлы, но на самом деле это не так, вирус переписывает только начальные фрагменты исполняемых файлов. Компания F-Secure уже выпустила противоядие от этого вируса F-Secure Anti-Virus for Palm.

Title: ваши документы будут надежно защищены

Title - еще один макро-вирус, заражающий документы и шаблоны MS Word 97/2000. Вирус занимается тем, что отключает макро-вирусную защиту в Word, а также совершает мелкие пакости. 3 мая, 6 июня и 30 июля вирус защищает зараженные документы паролем, сгенеренным случайным образом.

"Plant" и "Checkup" - никчемные макро-вирусы

Sophos сообщает о двух безобидных макро-вирусах для MS Word, появившихся в диком виде. Checkup - ничем непримечательный вирус, не содержащий никакого зловредного кода. Plant также не совершает никаких деструктивных действий. 1-го января вирус выдает сообщение: "Happy NewYear ! You are infected by Plant.Virus. Don't panic, i'm KILL you."

Пополнение в семействе Thus

Sophos сообщает о появлении в "диком виде" новой модификации макро-вируса Thus. Однако, новый вариант - Thus-BG, в отличие от своих "родственников", не совершает никаких деструктивных действий.

Totilix - опасный интернет-червь

I-Worm.Totilix - очень опасный интернет-червь, распространяющийся в электронных письмах. При запуске на компьютере записывает себя вместо всех EXE-файлов в каталоге Windows, кроме файлов EMM386.EXE, SETVER.EXE и файлов, заблокированных системой (например, EXPLORER.EXE). Червь регистрируется в секции авто-запуска системного реестра для того, чтобы автоматически активизироваться при каждом рестарте Windows (непонятно зачем, поскольку после перезаписи всех EXE-файлов в каталоге Windows система перестает работать). Червь рассылает свои копии по именам из адресной книги. При этом он не открывает MS Outlook (как это делают прочие подобные черви), а "заставляет" пользователя сделать это самостоятельно при помощи сообщения:

AV Intelligent Updater
Please select email address to send at your friend
Select email address with 'a' only not with 'A'
[OK]
Затем червь активизирует почтового клиента при помощи функций MAPI (т.е. вне зависимости от того, какой клиент установлен), открывает адресную книгу и предлагает пользователю выбрать адрес или адреса. Затем по выбранным адресам рассылаются сообщения:

Hi friend,
This mail contains a new AV intelligent updater for all antivirus.
To install it, execute the attachment file
if you have any problem, send mail at antivirus@hotmail.com

Имя вложенного файла остается прежним, т.е. именем того файла, из которого червь был активизирован. Впервые червь встретился под именем AVUPDATE.EXE. Если при выборе адреса или отсылке письма произошла любая ошибка, червь стирает все файлы в каталоге Windows и выводит одно из "сообщений об ошибке". В зависимости от даты и времени червь стирает все файлы в каталоге Windows и выводит различные тексты.

Новые макро-вирусы для Word 97: Shore-D и Metys-F

Sophos сообщает о двух новых макро-вирусах для MS Word. Один из них - Metys-F, который является незначительной модификацией макро-вируса Metys-D, был замечен в "диком виде". Metys-F вполне безобиден и не совершает никаких деструктивных действий. Shore-D изменяет на зараженной машине пользовательские настройки и стили документов Word, а также защищает паролем "cool13" все макросы, содержащиеся внутри документов. Помимо этого вирус через три секунды после открытия / закрытия документов показывает в течение короткого времени следующее сообщение в области заголовка Microsoft Word: "Offshore Engineering - Peace at the sea...". Вирус также создает временный файл с именем "Offee*.dot" в clipart-директории.

Интернет-червь MTX вновь напомнил о себе

Антивирусные компании предупреждают о появлении опасного интернет-червя I-Worm.MTX в "диком виде". Это вирус-червь, заражающий системы под управлением Win32. Заражает приложения Win32, устанавливает троянскую программу типа "Backdoor", пытается рассылать себя в электронных письмах. Как сообщает Trend Micro, червь начал стремительно распространяться в Азии и Южной Америке. Возможно, ошибки, которые содержащались в коде червя, были исправлены, и червь стал способен к массовому инфицированию. Особое внимание червь уделяет интернет-адресам антивирусных компаний и блокирует отсылку писем на адреса этих компаний, так же как посещение их Web-сайтов, что создает дополнительные трудности для пользователей инфицированных комьютеров в обновлении их антивирусной защиты.

Хитрец по имени Pene.b

W97M/Pene.b - новый макро-вирус, заражающий документы и шаблоны MS Word97/2000. Вирус содержит макрос "FreeStyler". При открытии инфицированного документа этот вредитель отключает встроенную защиту Microsoft от макро-вирусов, а также делает недоступной опцию меню [Save "Normal.dot"]. Вирус записывает свой код в шаблон Normal.dot. Ко всему прочему вирус устанавливает в редакторе Visual Basic цвет фона и цвет текста белыми, пытаясь спрятать таким образом наличие какого-либо кода в макросах.

Новый вариант трояна несет угрозу DoS-атак

Специалисты компании Internet Security Systems Inc. (ISS) заявляют, что обнаружили более 800 компьютеров, инфицированных трояном SubSeven DEFCON8 2.1, который является утилитой скрытого администрирования (backdoor). По своим возможностям SubSeven напоминает "Backdoor.BO"(aka Back Orifice trojan). Поскольку этот троянский конь стал быстро распространяться, компания оценивает потенциальную угрозу атак как достаточно высокую. Троянец был "выпущен" на Usenet newsgroups под различными именами, включая SexxxyMovie.mpeg.exe. По словам исследователей из ISS хакеры хотят опробовать новые методы использования нападений, вызывающих так называемый "отказ в обслуживании", когда сервер-жертву атакуют непрерывным потоком пакетов информации (зачастую используя при этом множество удаленных компьютеров), что в конечном итоге вызывает сбой в работе сервера. Как только очередная система инфицируется, троянец связывается по Сети с IRC-каналом irc.icq.com, чтобы уведомить об этом своего "хозяина". Новая версия SubSeven также "слушает" порт 16959, чего не было в предыдущем варианте трояна. Специалисты из ISS заявляют, что увеличение количества "Denial-Of-Service" атак неизбежно, а новые инструменты для этого становятся все более изощренными.

Появился новый вариант вируса "I Love You"

Его предшественник около пяти месяцев назад вызвал массовую эпидемию в компьютерных сетях. Уже появились жертвы одного из новых и более разрушительных вариантов этого вируса. Вирус как обычно приходит по электронной почте в прикреплённом файле. Заголовок этого письма содержит следующую фразу: "U.S. president and FBI secrets", что может привлеч незадачливых любителей "секретов американского президента и ФБР". Уже около 30 организаций сообщили о заражении этим вирусом, который получил название VBS/Loveletter.bj. Как и оригинал вируса "I Love You", его новый вариант рассылает себя по адресам в адресной книге почтовой программы Microsoft Outlook и может уничтожать файлы с изображениями на компьютере пользователя. Корпорация Microsoft некоторое время назад разработала соответствующую заплату для Outlook, но далеко не все компании и частные пользователи установили её на свой компьютер.
Аватара пользователя
Mister X
Администратор
 
Сообщений: 138
Зарегистрирован: 21 июл 2010, 21:42
Пол: Мужской

Re: Компьютерные вирусы

Сообщение Mister X 27 июл 2010, 00:05

Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.

Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на SecurityFocus. Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется.

Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя, использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.

Таким образом, началась настоящая пьянка - эпидемия очередного червя.

Update: судя по темпам, уже завтра он будет самым распространенным червем в инете.

Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае.

Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте Symantec.


Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя."

Это необходимо прочитать всем

Это касается тех, у кого установлена операционная система Windows XP
Админ не тот, кто об этом кричит, а тот, кто может молча помочь другому... Изображение
Аватара пользователя
Mister X
Администратор
 
Сообщений: 138
Зарегистрирован: 21 июл 2010, 21:42
Пол: Мужской

Re: Компьютерные вирусы

Сообщение Mister X 27 июл 2010, 00:16

Windows снова под ударом


Червь "Lovesan" снова атакует брешь в службе DCOM RPC операционной системы Windows

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о начале крупномасштабной эпидемии нового сетевого червя "Lovesan". Всего за несколько часов распространения он сумел достичь вершины списка самых опасных вредоносных программ и вызвать многочисленные заражения компьютеров.

Опасность "Lovesan" состоит в использовании недавно обнаруженной бреши в службе DCOM RPC операционной системы Windows. Из-за этого червь способен незаметно заражать компьютеры и теоретически производить с ними любые манипуляции. Брешь была обнаружена всего около месяца назад, и далеко не все пользователи успели установить необходимое обновление.

"Lovesan" уже вторая вредоносная программа, которая атакует компьютеры через эту брешь: всего неделю назад в интернете был обнаружен червь "Autorooter". Однако в отличие от своего предшественника "Lovesan" имеет полнофункциональную систему автоматического распространения, что и определило возникновение глобальной эпидемии. "Лаборатория Касперского" прогнозировала такое развитие событий и рекомендовала пользователям принять необходимые меры предосторожности.

"Слабость вирусописателей к уязвимости в DCOM RPC объясняется большой информационной шумихой, поднятой вокруг нее две недели назад и наличием готовых примеров проведения атаки, которые доступны на многих маргинальных web-сайтах", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

В процессе распространения "Lovesan" сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь посылает на него специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя "Lovesan" MSBLAST.EXE. Этот файл регистрируется в секции автозагрузки системного реестра Windows и запускается на выполнение.

Опасность червя заключается не только в несанкционированном проникновении на компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного объема избыточного трафика, который переполняет каналы передачи данных интернета. "На этот раз интернет спасла запрограммированная в "Lovesan" 1,8-секундная задержка между попытками заражения других компьютеров. В черве "Slammer", вызвавшем в январе этого года десегментацию и замедление сети, такой задержки не было", - продолжает Евгений Касперский.

В качестве побочного действия "Lovesan" содержит функцию DDoS-атаки на сайт windowsupdate.com, содержащем обновления операционной системы Windows, в том числе обновление для службы DCOM RPC. Функция активизируется 16 августа: в этот день web-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.

В целях противодействия угрозе "Лаборатория Касперского" рекомендует немедленно установить обновление Windows, закрывающее брешь, а также заблокировать с помощью межсетевого экрана порты 135, 69 и 4444 (например Kaspersky® Anti-Hacker), если они не используются другими приложениями.

Процедуры защиты от "Lovesan" уже добавлены в базу данных Антивируса Касперского®. Более подробная информация о вредоносной программе доступна в Вирусной Энциклопедии Касперского.
Аватара пользователя
Mister X
Администратор
 
Сообщений: 138
Зарегистрирован: 21 июл 2010, 21:42
Пол: Мужской

Re: Компьютерные вирусы

Сообщение Mister X 27 июл 2010, 00:18

Вирусный червь "В Контакте" угрожает пользователям социальной сети



Популярная социальная сеть стала невольным рассадником вируса, который угрожает 25 мая уничтожить все файлы с диска С

INTERFAX.RU - Социальные сети завоевали мир и покорили пользователей. Представители подобных Интернет-ресурсов радостно рапортуют о постоянном росте числа пользователей, причем счет идет на миллионы, а сами пользователи проводят часы в разговорах со своими "друзьями", рассматривании фотографий, флирте с понравившимися незнакомцами и тихом подсматривании друг за другом.

Однако недавно все пользователи одной из двух самых популярных соцсетей – "В Контакте.ру" – стали заложниками своей страсти к общению. Подписчиков данной сети затронула эпидемия опасного вируса. О появлении вируса отрапортовала служба мониторинга компании "Доктор Веб", разместившая на своем сайте подробное описание вируса.

Причиной эпидемии, как установили специалисты, стал сетевой червь (в классификации компании он получил название Win32.HLLW.AntiDurov). Механизм вируса достаточно прост: с инфицированного компьютера пользователям "В Контакте.ру" отправлялась ссылка на картинку, ведущую на некий ресурс. Эта операция приводит к тому, что сервер отдает по ссылке исполняемый файл deti.scr, который и является сетевым червем. Далее, согласно описанию "Доктор Веб" происходит следующая операция: " Скопировав себя в папку C:\Documents and Settings\*UserDir*\Application Data\Vkontakte\ под именем svc.exe, червь устанавливается в системе в качестве сервиса Durov VKontakte Service и ищет пароль к доступу к "Вконтакте.Ру" в cookies, используемых браузером. Если пароль находится, то червь получает доступ ко всем контактам своей жертвы в данной сети и рассылает по этим контактам все ту же ссылку. Червь несет в себе опасную деструктивную функцию. 25 числа каждого месяца в 10 часов утра на экране компьютера будет выводиться следующее сообщение (орфография сохранена): Павел Дуров Работая с "ВКонтакте.РУ" Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен! Если обратитесь в милицию, то сильно пожалеете об этом! Одновременно с этим начнется удаление с диска C: всех файлов".

Согласно сообщению компании "Доктор Веб", специалисты их компании своевременно предупредили администрацию "В Контакте.ру" об обнаружении вируса и в настоящий момент эпидемию удалось остановить. Подтверждают информацию и специалисты другой крупнейшей компании по борьбе с вирусами – "Лаборатории Касперского". Сотрудник "Лаборатории" Михаил Васин сообщил interfax.ru: "Сейчас эпидемия этого вируса остановлена. Его суть заключалась в том, что пользователи социальной сети "В Контакте.ру" получали письма с предложением посмотреть интересные фотографии. Когда они заходили по ссылке, то действительно попадали на сайт с фотографиями. Одновременно с этим, в их компьютер проникал опасный вирус. Сетевой червь копировал себя в одну из системных папок под именем svc.exe и начинал искать пароль к социальной сети данного пользователя. Когда он его находил, то начинал рассылать ту же ссылку по всем существующим контактам. Проблемы у всех зараженных пользователей начнутся в 10 утра 25 мая, когда вирус приступит к удалению всех файлов с диска C. Сколько компьютеров заразились этим вирусом, сказать сложно. Сейчас мы заканчиваем разработку программы, позволяющую протестировать систему на его наличие. Единственный способ обезопасить себя от таких проблем – не открывать неизвестные файлы и не скачивать их себе на компьютер".

Администрации "В Контакте.ру", сперва никак не комментировавшая сообщения о вирусе, в настоящий момент признала его наличие. В разделе "Техподдержка" на сайте размещено предупреждение, в котором говорится: "Внимание! Не переходите по ссылке ...deti.jpg, приходящей Вам в личных сообщениях. Если Вы по ней перейдёте, Вы запустите вирус". На другой странице того же раздела размещены подробные инструкции, что делать тем, кто все-таки перешел по ссылке и стал жертвой вируса. А таких, как очевидно из анализа комментариев к данной записи, было немало. Причем пользователи, которые, казалось бы, массовыми эпидемиями схожих вирусов в ICQ, должны быть приучены к сознательному отношению к работе со входящими ссылками, радуют своей непосредственностью и доверчивостью – они ведь получили эту ссылку не от незнакомого лица, а от "друга" – на это, очевидно, и делал отчасти ставку распространитель вируса. Пошатнуть же популярность ресурса ему вряд ли по плечу – счастливо исцелившиеся пользователи не покидают социальную сеть. Это и понятно. Ведь всегда важно быть в контакте.

Самым надежным средством защиты от этого червя и его последствий является использование антивируса Dr.Web, который детектирует и удаляет его из системы. Специалисты компании «Доктор Веб» предупредили об опасности сайт "ВКонтакте.Ру", в результате чего распространение червя практически прекратилось. Тем не менее, мы рекомендуем всем пользователям этого ресурса, которые имели неосторожность посмотреть вот такую картинку:

Изображение

запустить бесплатный сканер Dr.Web CureIt и проверить свой компьютер на вирусы.
Админ не тот, кто об этом кричит, а тот, кто может молча помочь другому... Изображение
Аватара пользователя
Mister X
Администратор
 
Сообщений: 138
Зарегистрирован: 21 июл 2010, 21:42
Пол: Мужской


Вернуться в Сеть Интернет


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron