Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Антивирусное обозрение "Ежики" - #54 (14.09.2000)


Служба Рассылок Городского Кота

Антивирусная Лаборатория Дизет                    http://dizet.com.ua
======================================================================
Антивирусное Обозрение "Ежики" #53
 (события, факты, комментарии)
======================================================================
Новый тип вирусов для Windows 2000

Без сомнения центральной новостью в области  IT-безопасности  является
открытие  "Лабораторией  Касперского"  вирусов  нового  поколения  для
Windows 2000.

"Лаборатория Касперского", сообщила об обнаружении вируса W2K.Stream -
нового поколения вредоносных программ для операционной системы Windows
2000. Данный вирус использует новый  радикальный  способ  внедрения  в
файловую систему  NTFS,  основанный  на  применении  метода  замещения
потоков (Stream Companion).  Вирус был создан в  конце  августа  двумя
хакерами из Чехии под кодовыми названиями Benny и  Ratter.  На  данный
момент случаев заражения вирусом зарегистрировано не было, однако, его
работоспособность  и  присутствие  всех  необходимых    функций    для
существования в "диком виде" не вызывают сомнений.

"Данный вирус, несомненно, открывает новую страницу в истории создания
компьютерных вирусов", - комментирует Евгений Касперский, руководитель
антивирусных исследований компании, - "Технология  внедрения  в  файлы
при помощи замещения потоков делает  процесс  обнаружения  и  удаления
вирусов исключительно сложным".

В  отличие  от  существовавших  ранее  способов    заражения    файлов
(добавление тела вируса в начало, конец или любое  другое  место  тела
программы), "Stream"  использует  возможность  файловой  системы  NTFS
(Windows NT/2000) поддерживать множественные потоки данных.  Например,
в  файлах  Windows  95/98  (FAT)  внутренняя    структура    программы
представлена лишь одним потоком  -  собственно  ее  телом.  В  Windows
NT/2000  (NTFS)  таких  потоков  может  быть  много:  как  независимых
программных модулей,  так  и  разнообразной  дополнительной  служебной
информации  (права  доступа  к  файлу,  отметки  о  шифрации,  времени
обработки и т.д.).  Это придает файлу гибкость, позволяя пользователям
создавать новые потоки данных для  хранения  дополнительных  атрибутов
файлов или  целых  программ.  "Stream"  первым  из  известных  вирусов
использует возможность создавать множественные потоки данных NTFS  для
заражения файлов.  Для этого он выполняет следующую последовательность
действий.  Сначала вирус создает дополнительный поток под именем "STR"
и переносит туда оригинальное содержимое  программы.  После  этого  он
записывает свое тело в основной поток вместо  самой  программы.  Таким
образом, при запуске зараженной программы  сначала  будет  выполняться
основной поток,  содержащий  вирус,  который  после  окончания  работы
передаст  управление  "родительской"   программе.    "По    умолчанию,
антивирусные программы проверяют только основной  поток.  В  случае  с
данным вирусом проблем с его обнаружением и удалением  ни  у  кого  не
возникнет", - продолжает Евгений Касперский, -  "Однако,  нет  никаких
гарантий, что вирусы не "переползут" в дополнительные потоки.  В таком
случае, большинству антивирусных компаний просто придется  кардинально
перестраивать их программы".

Источник: Антивирусная Лаборатория "Дизет"
по материалам "Лаборатории Касперского"
======================================================================

Вирус для мобильных телефонов? Ничего подобного!

"Лаборатория Касперского" проясняет ситуацию.
Напомним,  что  30  августа  информационные  агентства  сообщили    об
обнаружении  норвежской  компанией  "Web2Wap  AS"  бреши  в    системе
безопасности  некоторых  моделей  мобильных  телефонов,   производимых
компанией Nokia.  Это обстоятельство позволяет посылать на  телефонные
аппараты SMS-сообщения  определенного  содержания,  которые  полностью
блокируют кнопки управления.  Разблокировать  их  можно  лишь  снятием
питающей батареи.

Многие владельцы мобильных телефонов восприняли данное  сообщение  как
объявление об  обнаружении  первого  вируса,  "живущего"  в  мобильном
оборудовании и наносящего вред непосредственно  телефонным  аппаратам.
"Лаборатория Касперского"  утверждает,  что  данный  случай  не  имеет
ничего  общего  с  вирусной  опасностью.   Как    известно,    главной
особенностью вируса  является  его  способность  к  размножению,  т.е.
заражению других программ.  Указанные модели телефонов Nokia просто не
имеют соответствующих программных  и  аппаратных  возможностей,  чтобы
дать возможность вредоносной программе внедряться  в  другие  элементы
системы управления телефоном.

"Мы допускаем возможность блокировки кнопок управления при помощи  SMS
сообщений определенного содержания.  Это не первая обнаруженная "дыра"
в  системах  защиты  мобильных  телефонов",  -  комментирует   Евгений
Касперский,  руководитель  антивирусных   исследований    "Лаборатории
Касперского", - "Однако, это  не  является  вирусом:  с  точки  зрения
компьютерной  вирусологии  для  этого  случая  более  подходит  термин
"троянская программа".

Владельцам мобильных телефонов вряд ли  стоит  беспокоиться  по  этому
поводу. Во-первых, компания Nokia пока не признала существование такой
бреши,  однако  заявила,  что  в  случае  подтверждения   высказанного
предположения,  она  немедленно  примет  все  необходимые   меры    по
устранению  ошибки  в  системе  безопасности.  Во-вторых,   технология
создания опасных SMS-сообщений находится в надежном месте  и  вряд  ли
станет доступной для третьих лиц,  которые  могут  использовать  ее  с
целью причинения вреда.  В-третьих, выявленная брешь  касается  только
некоторых моделей Nokia и не  может  быть  использована  на  телефонах
других производителей.
======================================================================

Compaq и Trend  Micro  сотрудничают  в  области  защиты  Internet  от
вирусов

Производитель антивирусного  ПО  компания  Trend  Micro  и  корпорация
Compaq Computer создали альянс для предоставления дополнительных услуг
защиты заказчикам, участвующим в программе Compaq Global Services.  По
условиям данного соглашения организация Compaq Global  Services  будет
заниматься продажей и интеграцией продуктов и услуг Trend  Micro.  Оно
позволит  Compaq  Global  Services  поставлять,   конфигурировать    и
развертывать  антивирусные  средства  Trend    Micro,    предоставлять
консалтинговые услуги по защите контента или специальные виды сервиса.

Trend  Micro  предлагает  централизованно  управляемые  продукты   для
настольных  ПК,  серверов,  систем  обмена  сообщениями.  По    словам
представителей  Compaq,  они  хорошо  интегрируются    с    продуктами
управления  и  сервисом  корпорации.  Заказчики  получат  антивирусные
решения для защиты своей инфраструктуры электронной коммерции.

Для Trend Micro соглашение с Compaq Global Services стало естественным
расширением  сотрудничества    с    Compaq.    Trend    Micro    будет
взаимодействовать с Compaq по мере создания новых сервисных  продуктов
Compaq и консалтинговых услуг с использованием ПО Trend Micro.

Истoчник: www.infoart.ru
======================================================================

Старые знакомые: Divi и Metys

Divi-S новый клон макро-вируса для MS Excel по имени Divi.  Создает  в
каталоге, где Excel держит свои шаблоны, файл с именем 874.XLS и затем
приступает к заражению документов Excel при их открытии/закрытии.  При
заражении вирус добавляет в каждый инфицированный документ свою  метку
в форме переменной "IVID", содержащей шестнадцатеричное  число.  Метка
используется вирусом для определения, инфицирован ли уже документ  или
нет.  Metys-F - незначительная модификация Word макро-вируса  Metys-D.
Этот новый вариант вируса не совершает никаких деструктивных действий.
Оба вышеописанных вируса по сообщению Sophos были  отмечены  в  "диком
виде".

Источник: Лаборатория Касперского
======================================================================

NewsTick: еще один ключик к вашему компьютеру

Компания McAfee сообщает о появлении нового Win32-вируса под названием
NewsTick,    имеющего    троянскую    Backdoor-компоненту.      Будучи
активизированным троянец обеспечивает полный доступ своему хозяину  ко
всем  процессам,  запущенным  на  инфицированном  компьютере,    через
интернет.  Троянец не виден  в  менеджере  задач  операционных  систем
Windows  9x.  Троянец  инсталлирует  файл  "NewsTick.exe"  в   WINDOWS
STARTUP-каталог и регистрирует себя в системном  реестре,  добавляя  в
него следующие ключи:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Win-Amp=
C:\WINDOWS\START MENU\PROGRAMS\STARTUP\NEWSTICK.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\WinRoute=
C:\WINDOWS\STARTMENU\PROGRAMS\STARTUP\NEWSTICK.EXE

Вирус записывает также файл "gonk.wnk" в системную директорию Windows.
Троянца можно уничтожить вручную:  для  этого  необходимо  удалить  из
системного реестра упомянутые  выше  ключи.  Затем  нужно  перегрузить
компьютер  и  удалить  записанные  вирусом  файлы:  "NewsTick.exe"   и
"gonk.wnk".

Источник: "Лаборатория Касперского"
======================================================================
Служба Новостей    : http://dizet.com.ua/news/
Архив рассылки     : http://subscribe.ru/archive/comp.soft.av.ezheki/

Автор рассылки     : Андрей Каримов
e-mail: info@dizet.com.ua


Украинская баннерная сеть

http://subscribe.ru/
E-mail: ask@subscribe.ru

В избранное