Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Служба Рассылок Городского Кота


Служба Рассылок Городского Кота

Антивирусное обозрение "Ежики"

Блок новостей [11 ноября 1999]
http://www.dizet.com.ua


Finjan выпускает программу защиты упреждающего типа

Компания Finjan Software на этой неделе собирается выпустить новую версию своего ПО защиты компьютеров и корпоративных сетей от вирусов типа "троянских коней" и вторжений хакеров SurfinShield Corporate 4.7. В ней используется так называемая технология "упреждающего удара". По сообщению президента и исполнительного директора Finjan Билла Лиона (Bill Lyons), программа обеспечивает защиту от вредоносного кода в исполняемых файлах, в приложениях Java и ActiveX, а также от вирусов, отправляемых через программы мгновенного обмена сообщениями. Как сообщается, SurfinShield не ждет, когда вирус начнет свою работу, а останавливает троянского коня еще до запуска его на исполнение. То есть, никакая программа не может изменить содержимое других программ на компьютере, пока пользователь не разрешит сделать это.
С распространением Internet нашествию троянских коней подвергаются все больше неискушенных пользователей. Вирусы сейчас можно получить вместе с электронными поздравительными открытками, при копировании игр и анимационных роликов, а также через программы обмена мгновенными сообщениями типа ICQ. Поставки SurfinShield Corporate 4.7 начнутся завтра 10 ноября по цене 59 дол. в расчете на одного пользователя. Частные пользователи смогут загрузить бесплатную версию этого ПО с Web-сайта компании Finjan Software по адресу www.finjan.com .

Источник: InfoArt News Agency, http://www.infoart.ru



Win32.FunLove: фанаты рок-групп тоже пишут вирусы

<Лаборатория Касперского> сообщает о появлении нового Windows вируса Win32.FunLove. Он обнаружен в <диком виде> (In-the-Wild), т.е. для компьютерных пользователей существует реальная опасность заражения данным вирусом.

Технические детали

Win32.FunLove является неопасным резидентным паразитическим Win32 вирусом. Он заражает PE (Portable Executable) файлы на локальных и сетевых дисках. Благодаря своей способности размножаться по локальной сети вирус может заразить всю корпоративную сеть с одной рабочей станции, если ей предоставлены права записи на сетевые диски.

Файлы, зараженные вирусом Win32.FunLove, можно легко распознать по строке (название популярной западной рок-группы), содержащейся в его теле:

~Fun Loving Criminal~

После запуска зараженного файла, вирус создает в системной директории Windows файл FLCSS.EXE ("Дроппер"), в который записывает свой "чистый" код, и затем запускает его на выполнение. "Дроппер" вируса является обычным файлом формата Win32 PE. Под операционными системами Windows 95 и Windows 98 он запускается в качестве скрытого (hidden) Windows приложения, а под Windows NT - как сервис. После этого активизируется процедура заражения системы.

В случае возникновения ошибки в процессе создания "дроппера" для заражения системы, вирус все равно запускает эту процедуру заражения, но уже непосредственно из своего тела, а не через "дроппер". Процесс поиска и заражения файлов происходит в фоновом режиме (thread), в результате чего уже зараженные файлы выполняются без заметных задержек.

В процессе заражения системы вирус сканирует все локальные диски от C: до Z:, затем просматривает дерево директорий сетевых ресурсов и заражает все PE файлы с расширениями .OCX, .SCR и .EXE. Вирус записывает свой код в последнюю секцию файла (увеличивая тем самым размер файла на 4099 байтов) и
добавляет в стартовый адрес инструкцию "JumpVirus". Данная инструкция обеспечивает запуск вируса из последней секции файла перед выполнением самой программы.

Вирус проверяет имена файлов и не заражает файлы по следующим маскам: ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*.

Вирус имеет черты семейства вирусов "Bolzano". Он изменяет файлы NTLDR и WINNT\System32\ntoskrnl.exe тем же самым способом, что и вирус "Bolzano". Измененные файлы можно восстановить из резервной копии.

Процедуры обнаружения и удаления вируса Win32.FunLove содержатся во внеочередном обновлении антивирусных баз AntiViral Toolkit Pro (AVP) и доступны на корпоративном сайте <Лаборатории Касперского> по адресу http://www.avp.ru



Подробный обзор в понедельник.

Автор обзора: Андрей Каримов, Антивирусная Лаборатория "Дизет"
Email: info@dizet.com.ua

   
http://www.citycat.ru/         E-mail: citycat@citycat.ru

В избранное