Web-mastering: портал вебмастеров (web-мастеров) о web-дизайне, web-программировании, раскрутке; статьи по веб-дизайну, веб-программированию для вебмастеров
Все новые и новые дырки
приходится штопать в самых
распространенных программных
продуктах. Все новых паразитов
вылавливать с необъятных полей
больших и малых винчестеров.
Заражение компьютера и
распространение вирусов обычно
происходит до безобразия просто и
легко.
Дыры
Продукт: AOL Instant Messenger by Netscape, v.4 и
выше.
Опасность: низкая.
При принятии файла вида %s%s%s%s%s%s%s%s%s%s.jpg AOL
подвисает, в некоторых случаях компанию
ему составляет вся система. Проще говоря,
типичная DoS атака.
Электронные паразиты
Название: WIN32.MTV.
Класс: вирус, резидентный, деструктивный.
Платформа: Win32.
Опасность: высокая.
Заражение компьютера происходит в
результате запуска заразного файла.
Остается в памяти Windows как обычное
приложение, ищет EXE-файлы во всех каталогах
диска C и заражает их. При заражении
шифрует содержимое файла, сдвигает его
вниз на длину вируса, а сам записывается в
начало файла. Если при работе возникают
какие-либо ошибки, выводит сообщение с
текстом “Sorry” (какой вежливый), и
принудительно завершает работу Windows (а вот
это уже наглость!). И берегитесь: 13 числа
каждого месяца удаляет все файлы с диска C.
Название: FlashKiller
Класс: троян, очень деструктивный
Платформа: Win32.
Опасность: очень высокая.
FlashKiller обладает всеми присущиму троянам
функциями (т.е. процедурой распространения),
но с добавлением одной очень неприятной
вещи. Приходит троян, как и обычно,
приаттаченным к письму в виде Win32 EXE файла.
При запуске включается процедура посылки
копий трояна всем адресатам из базы данных
адресов Outlook/OutlookExpress. А вот затем
срабатывает процедура, уничтожающая все
данные на винчестере и стирающая Flash Bios,
наподобие WinCiH. Анализ трояна показал, что
это процедура была полностью списана из CiH,
что уже облегчает нахождение паразита.
Название: Dilber.
Класс: интернет-червь.
Платформа: Win32,WinNT.
Опасность: низкая.
Классический червяк. Написан на языке Delphi.
Как всегда приходит в виде аттача к письму.
При запуске инсталлируется в систему,
копирует себя в каталог Windows с именами
SETUP_.EXE, DILBERTDANCE.jpg.EXE и регистрирует SETUP_.EXE в
системном реестре так, чтобы запускаться
каждый раз при рестарте системы (HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Unchained
Infection = WinDir\setup_.exe).
Червь также регистрирует себя в
секции авто-старта файла WIN.INI:
[windows]
...
run=WinDir\setup_exe
...
При загрузке вирус остается как в
памяти как фоновое приложение (под Win9x) или
как системный сервис (под WinNT), имеющее две
процедуры. Одна из них срабатывает каждые
40 минут и отвечает за рассылку червя,
вторая отвечает за заражение компьютеров
в локальной сети и активируется раз в час.
Процедура рассылки создает файл
SENDMAIL.VBS, который содержит скрипт-программу
рассылки.
Программа открывает папку
Входящие(Inbox) и отвечает на 20 писем (естественно,
не забывая заботливо вложит в письмо файл
с червем). После отправки скрипт помечает
обработанные письма, поставив в конце их
теста знак табуляции, который не
отображается визуально. Таким образом
червяк не отвечает на одно письмо дважды.
Червяк не посылает письма, если в адресе
содержатся строки .mil, .gov, admin, master, abuse.
Короче, конспирация и предохранение.
А процедура заражения локальной
сети тупа и плоска до неприличия: вирус
сканирует все открытые сетевые ресурсы,
ищет на них директорию Win***, копирует туда
себя и добавляет соответствующую запись в
win.ini или системный реестр.
Название: Prolin aka Creative.
Класс: интернет-червь.
Платформа: Win32.
Опасность: средняя.
Вирус-червь ползает с помощью электронной
почты. Является 37-килобайтным EXE-файлом
Windows, написан VisualBasic. Во многом напоминает
вирус-червь Melissa: вызов функций и
последовательность инструкций
практически полностью совпадают.
Передается по электронной почте в виде
присоединенного к письмам EXE-файла с
именем CREATIVE.EXE.
Червь также посылает письмо
своему автору на адрес z14xym432@yahoo.com с
информацией о зараженном компьютере:
Subject: Job complete
Message text: Got yet another idiot
Червь также создает свои копии на
диске:
C:\creative.exe
C:\WINDOWS\Start Menu\Programs\StartUp\creative.exe
Т.е. вторая копия расположена в
каталоге автозапуска Windows, и будет
активизироваться при каждом рестарте Windows.
Обнаружить легко, однако, если у вас какое-нибудь
устройство от фирмы Creative Labs (звуковая
карта, видео…), то можно и не обратить
внимания.
Червь имеет опасное проявление:
ищет все файлы с расширениями .ZIP, .MP3 и .jpg и
переносит их в корень диска C: с именем:
C:\%filename%change atleast now to LINUX
Червь также создает файл "c:\messageforu.txt",
записывает туда текст и дописывает имена
всех переименованных файлов:
“Hi, guess you have got the message. I have kept a list of
files that I
have infected under this. If you are smart enough just reverse back the
process. i could have done far better damage, i could have even
completely wiped your harddisk. Remember this is a warning & get it sound
and clear... - The Penguin
