Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Антивирусное обозрение "Ежики" - #69 (04.02.2000)


Служба Рассылок Subscribe.Ru проекта Citycat.Ru

Антивирусная Лаборатория Дизет                 http://www.dizet.com.ua
======================================================================
Антивирусное Обозрение "Ежики"
 (события, факты, комментарии)
======================================================================
Новости на сайте:

Stop! для Windows Версия 3.00 build 240

Выпущена    новая    версия    антивируса    "Stop!"    для    Windows
95/98/ME/NT4/2000. ВНИМАНИЕ! Обращаем ваше внимание на то, что в новой
версии используется новый защитный механизм и  регистрационные  ключи,
выданные ранее, чем 25 января 2001  года  не  будут  работать  с  этой
версией программы.
26 января 2001 20:23 (Антивирусы)
======================================================================

Первый Интернет-червь для Linux обнаружен в "диком виде"

"Лаборатория Касперского", сообщает о регистрации в разных концах мира
случаев заражения компьютерных  систем  Интернет-червем  Ramen.  Таким
образом, Ramen стал первой  вредоносной  программой  для  операционной
системы Linux, обнаруженной в "диком виде".

Напомним,  что  Ramen,  обнаруженный  в  середине  января  2001    г.,
распространяется по сети Интернет и проникает на компьютерные  системы
под управлением Red Hat Linux версий  6.2  и  7.0.  Для  внедрения  он
использует известные бреши в системах безопасности  этой  операционной
системы, которые позволяют червю получать привилегии администратора  и
незаметно выполнять свой код на зараженных компьютерах.

За последние два дня "Лаборатория Касперского"  получила  сообщения  о
случаях проникновения Ramen в ряд корпоративных сетей,  среди  которых
Национальная  администрация  по  аэронавтике  и  космосу  США  (НАСА),
Техасский университет  A&M,  Тайваньский  производитель  компьютерного
оборудования  Supermicro.  Сайты  всех  этих  компаний  и  организаций
подверглись атаке  червя  вследствие  которой  их  титульные  страницы
выглядели следующим образом:

             RameN Crew
  Hackers looooooooooooooooove noodles.

"Обнаружение Ramen в "диком виде" стало поворотным моментом в  истории
Linux: ранее  считавшаяся  неприступной,  теперь  и  эта  операционная
система пала  жертвой  компьютерных  вирусов",  -  комментирует  Денис
Зенкин, руководитель информационной службы  "Лаборатории  Касперского.
За более чем 8 лет существования Linux для нее было  обнаружено  около
50 вирусов, однако ни  один  из  них  не  вызвал  реального  заражения
компьютеров.

Необходимо заметить, что используемые  червем  бреши  были  обнаружены
более полугода назад.  Тогда же производители Red Hat Linux оперативно
выпустили соответствующие "заплатки". "Факт, что Ramen смог проникнуть
в целый ряд корпоративных  сетей,  среди  которых  такая  авторитетная
организация  как  НАСА,  свидетельствует,  что  даже  профессиональные
системные администраторы уделяют недостаточно  внимания  своевременной
установке  обновлений  используемого  программного  обеспечения.   Это
обстоятельство не может не тревожить, поскольку оно способно в будущем
стимулировать развитие вредоносных  программ  для  Linux",  -  добавил
Денис Зенкин.

"Лаборатория Касперского" советует пользователям немедленно установить
все необходимые заплатки для Red Hat  Linux.  Загрузить  их,  а  также
ознакомиться с рекомендациями разработчика этой  операционной  системы
Вы можете по адресу:
http://www.redhat.com/support/alerts/ramen_worm.html.

Источник: Лаборатория Касперского
======================================================================

Горячая десятка вирусов в январе 2001 года

Компания  Sophos  опубликовала  январскую  десятку   наиболее    часто
встречавшихся  вирусов,  основываясь  при  этом  на   данных    своего
антивирусного центра.  Вирусы оценивались в зависимости от  количества
пораженных ими компьютеров. Распределились они следующим образом:

1.W32/Navidad (aka I-Worm.Navidad) - 20.7%
2.W32/Apology-B (aka I-Worm.MTX) - 14.8%
3.W32/Hybris-B (aka I-Worm.Hybris) - 13.7%
4.VBS/Kakworm (aka WScript.KakWorm) - 7.6%
5.W32/Prolin (aka I-Worm.Prolin, aka Creative) - 5.4%
6.W32/Hybris-C - 5.0%
7.VBS/LoveLet-AS - 3.4%
8.Troj/Qaz (aka Worm.Qaz) - 2.0%
9.W32/Hybris-D - 2.0%
10.W32/Bymer-A (aka Worm.RC5.b, aka W32/MSINIT.WORM) - 1.9%

На все остальные вирусы, по  сообщению  Sophos,  в  январе  приходится
23.5% зараженных компьютеров.

Источник: Sophos
======================================================================

XTHREE.A - новый макро-вирус для Word

W97M_XTHREE.A - макро-вирус для Word 97,  заражает  документы  при  их
закрытии. Не совершает никаких деструктивных действий.

Вначале вирус ищет в активном документе модуль "X". И если не находит,
то создает в корневой директории на диске C:\ файл  с  именем  "*.XXX"
(где * - случайно выбранная буква) и копирует  в  него  вирусный  код.
Затем вирус импортирует этот файл в активный  документ,  при  закрытии
этот  документ  будет  инфицирован.   Впоследствии    вирус    удаляет
импортированный файл.

Вирус  отключает  макро-вирусную  защиту  в  Word  и  блокирует  вызов
редактора Visual Basic.  Не  содержит  в  себе  никаких  деструктивных
кодов.

Источник: Trend Micro
======================================================================

Windows-вирус WIT.A замечен в "диком виде"

PE_WIT.A является компаньон-вирусом, т.е. он не изменяет  инфицируемых
файлов.  Ищет и заражает определенные выполняемые  файлы  Windows  (PE
EXE).  После инфицирования .EXE-файлы имеют расширение WX3. Зараженные
файлы можно восстановить.

После выполнения вирус записывает свою копию в  виде  файла  с  именем
"DXINIT3D.EXE" в системный каталог Windows.  Затем вносит изменения  в
системный реестр, чтобы обеспечить  свое  выполнение  каждый  раз  при
открытии инфицированного файла:

HKEY_CLASSES_ROOT\exefile\shell\open\command\
(Default)=""%SysDir%\DXINIT3D.EXE&"/I&E%1%*""

HKEY_LOCAL_MACHINE\Software\CLASSES\
exefile\shell\open\command\
(Default)=""%SysDir%DXINIT3D.EXE"/I&E%1%*""
Вирус копирует себя в заражаемый EXE-файл и изменяет его расширение на
".WX3".

Инфицированный файл содержит следующий текст:

[X3] by Wit AKA CyberViper.2000

Источник: Trend Micro
======================================================================

WAZUP - новая компьютерная мистификация

Компания  McAfee  сообщает  о  появлении   в    интернете    очередной
компьютерной  мистификации  под    названием    WAZUP.    Мистификация
представляет  собой  довольно  длинный  текст   на    французском    и
предупреждает  компьютерных  пользователей  о  несуществующем  вирусе,
который якобы непоправимым образом портит жесткий диск,  уничтожая  на
нем все системные файлы, а также все zip, doc и jpg-файлы. Кроме того,
неизвестные  доброжелатели  предупреждают,  что  этот  "вирус"   якобы
отправит  хакерам  ваши  имя  и  пароль  доступа  в  интернет.   Текст
мистификации выглядит следующим образом:

Attention, nouveau virus!!!! a prendre  au  serieux  AVIS  DE  NOUVEAU
VIRUS Il est trиs important de lire ce qui suit surtout pour  ceux  et
celles qui naviguent sur internet. Vous connaissez certainement la pub
de Budweiser oщ  de  jeunes  hommes  s'amusent  a  beugler  dans  leur
tйlйphone leur crie de ralliement " WAZ UP ? " (dites Waza ).

Beaucoup d'entre vous aimeriez avoir cette pub qui est trиs marrante !
Alors une bande de pirates ont crйй un virus cachй dans un Mp3 qui dиs
sont ouverture supprime des fichiers Systиme et tous les  fichiers  en
 .zip, .doc et .jpg .

Microsoft nous a communiquй le message qui suit.  SVP le transmettre а
toute personne que vous  connaissez  qui  a  accиs  а  Internet.  Vous
recevrez peut-кtre un fichier Mp3 (morceau de  musique)  de  Budweiser
qui de premier abord vous paraоtra inoffensif. Le message est intitulй
Waza.mp3 et fait une taille de 472 ko.

Si  vous  le  recevez,  NE  L'OUVREZ  EN  AUCUN  CAS   -    annulez-le
immйdiatement. En l'ouvrant, vous allez perdre LES FICHIERS SYSTEME de
votre  ordinateur  et  votre  disque  dur  sera  infectй   de    faзon
irrйmйdiable.  De plus, les hackers pourront pirater votre  ordinateur
et auront accиs a votre nom et votre mot de passe via l'Internet. Tout
ce que nous savons c'est quele virus a йtй lancй le 3 janvier 2001.

Il s'agit d'un tout  nouveau  virus  qui  est  extrкmement  dangereux.
Veuillez communiquer ces renseignements par mail a toutes les adresses
dans votre carnet d'adresses.  Mcaffe a affirme qu'aucun antivirus  ne
peut le dйtruire. Veuillez prendre toutes les prйcautions nйcessaires,
et  communiquer  ce  message  a  vos  amis,  connaissances,  dans  les
universitйs et collиgues de travail.

Всем  пользователям,  получившим  подобное   письмо,    мы    советуем
проигнорировать его и удалить, и  не  распространять  дезу  дальше  по
интернету.

Источник: McAfee
======================================================================

Worm.Shorm заражает компьютеры в локальной сети

Worm.Shorm - cетевой  червь,  заражающий  компьютеры  под  управлением
Windows.  Распространятся  по  локальным  и  глобальным  сетям.    При
распространении выбирает компьютер-жертву и, если диск  на  компьютере
открыт на  полный  доступ,  создает  на  нем  свою  копию  в  каталоге
авто-запуска Windows.

Также  "ворует"  пароли  доступа  в  сеть  и    Интернет.    Считывает
RAS-информацию  (имя  пользователя,   номера    телефонов,    пароли),
кешированные  пароли  доступа  и  отправляет  их  на    два    адреса:
krenx@mail.ru и winam@mail.ru.

При запуске на компьютере червь  копирует  себя  в  системный  каталог
Windows с тремя именами: MSTASK.EXE, MSGSRV16.EXE,  TAPI32.EXE.  Затем
эти файлы регистрируются в  ключах  авто-запуска  системного  реестра.
Таким образом, червь запускается при каждом рестарте Windows.

Затем    червь    обращается    к    Web-странице     по        адресу
"http://krenx.newmail.ru/ip.txt"; и  считывает  ее  содержимое.  Данная
страница содержит IP-маски подсетей, которые атакуются червем.

Червь затем выбирает случайную маску подсети, перебирает все возможные
IP-адреса  этой  подсети  и  пытается  установить  соединение.    Если
соединение  произошло  удачно  (т.е.  существует  компьютер  с  данным
IP-адресом) червь пытается получить доступ  к  его  диску.  Если  диск
открыт на полный  доступ  (чтение/запись),  то  червь  определяет  имя
каталога Windows и копирует себя туда с именами:

Start Menu\Programs\StartUp\AVPMonitor.exe
Главное меню\Программы\Автозагрузка\AVPMonitor.exe
Таким образом зараженными могут оказаться компьютеры  под  управлением
английской и русской версий Windows.  Поскольку червь копирует себя  в
каталог авто-запуска Windows, то он будет автоматически  исполнен  при
очередной перезагрузке Windows.

Червь  также  может  "апдейтить"  себя  с  Web-сайта.  Для  этого   он
обращается   к    Internet-файлу    "http://krenx.newmail.ru/win.exe";,
скачивает его и запускает на локальной машине.
======================================================================

======================================================================
Архив рассылки     : http://subscribe.ru/archive/comp.soft.av.ezheki/
Ведущий рассылки   : Андрей Каримов, e-mail: the_doctor@pisem.net
======================================================================

Another Banner Network

http://subscribe.ru/
E-mail: ask@subscribe.ru
Поиск

В избранное