ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
    		•
     
    Бесплатные рефераты
     

     

     

     

     

     
         
     
    Віруси
         

     
    Інформатика, програмування

    Лабораторія Касперського

    Інтернет-черв'як "Курнікова" переслідує шанувальників знаменитої тенісистки
    Крім тих, хто використовує Антивірус Касперського

    "Лабораторія Касперського", російський лідер в області розробки систем інформаційної безпеки, повідомляє про виявлення в "дикому вигляді" нової модифікації Інтернет-хробака "Lee", більш відомої як "Курнікова". Черв'як вже встиг вразити ряд комп'ютерних систем в США і Східній Азії. Разом з тим, він не представляє ніякої небезпеки для користувачів Антивірус Касперського: завдяки інтегрованою у програму унікальної технології евристичного аналізу програмного коду, ця шкідлива програма виявляється без будь-яких додаткових оновлень антивірусної бази.

    Методи розповсюдження і роботи даного хробака практично ідентичні сумно відомому "ILOVEYOU", що викликав глобальну епідемію в травні минулого року. "Курнікова" створений за допомогою генератора вірусів "[K] Alamar's Vbs Worms Creator", що дозволяє навіть починаючим користувачам випускати свої власні віруси. Хробак написаний на мові програмування Visual Basic Script (VBS), зашифрований і поширюється по мережі Інтернет за допомогою повідомлень електронної пошти, що містять вкладений файл "AnnaKournikova.jpg.vbs".

    lee.bmp

    Після запуску файлу хробак реєструє себе в системному реєстрі Windows, отримує доступ до адресній книзі поштової програми MS Outlook і непомітно для користувача розсилає свої копії по всіх знайдених адресах електронної пошти. Щоб уникнути повторної розсилки черв'як створює додатковий ключ в системному реєстрі:

    HKEY_CURRENT_USERSoftwareOnTheFlymailed

    Хробак не містить будь-яких небезпечних побічних дій. Крім масової розсилки заражених файлів, що перевантажують корпоративні та персональні канали передачі даних, 26 січня "Курнікова" запускає Інтернет-броузер і відкриває голландська Web сайт:

    Dynabyte.bmp

    Подібно "ILOVEYOU" даний хробак використовує прийом з "подвійним" розширенням файлу-носія вірусу: "JPG.VBS". Присутність помилкового розширення "JPG" в імені файла має на меті дезорієнтувати користувача, впевненого в тому, що програми такого типу не можуть містити віруси. Однак при запуску файлу він передається на обробку процесору скрипт-програм Windows Scripting Host, який і виконує код хробака.

    "Курнікова" - далеко не технологічне досягнення в галузі створення шкідливих програм. Це самий звичайний скрипт-вірус, який використовує добре відомі методи проникнення на комп'ютери. Єдина причина, завдяки якій він отримав таке розповсюдження -- використання імені Анни Курникової, добре відомою не тільки прекрасною грою в теніс, але також і частково гіпнотичним впливом на чоловічу половину людства. Остання обставина і зумовило неможливість деяких користувачів встояти перед спокусою подивитися на фотографію коханої спортсменки ", - коментує Денис Зенкин, керівник інформаційної служби" Лабораторії Касперського ".

    Запобігання зараження

    З метою недопущення проникнення хробака "Лабораторія Касперського" радить користувачам у жодному випадку не запускати файл "AnnaKournikova.jpg.vbs". Ми також рекомендуємо системним адміністраторам налаштувати фільтри вхідної та вихідної поштової кореспонденції таким чином, щоб блокувати пересилання електронних повідомлень, що містять такі файли.

    Методи видалення

    Для видалення із системи цього Інтернет-хробака необхідно виконати наступні кроки:

    1) знищити "AnnaKournikova.jpg.vbs" з системного каталогу Windows;
    2) стерти наступні ключі системного реєстру Windows:
    HKEY_CURRENT_USERSoftwareOnTheFly
    HKEY_CURRENT_USERSoftwareOnTheFlymailed

    Нагадаємо, що цей Інтернет-черв'як визначається "Антивірус Касперського" за замовчуванням і не вимагає ніяких додатки антивірусної бази.

    Інформаційна служба "Лабораторії Касперського"

    Вірус-черв'як, що заражає системи під керуванням Win32. Заражає програми Win32, встановлює троянську програму типу "Backdoor", намагається розсилати себе в електронних листах. Черв'як викликав глобальну епідемію у вересні-жовтні 2000 року.

    Має досить незвичайну структуру і складається з трьох практично незалежних частин, які виконуються незалежно один від одного. Цими трьома компонентами є: вірус, що заражає EXE-файли Win32; черв'як, що розсилають електронні листи; троянець-backdoor.

    Дві останні компоненти зберігаються в тілі вірусу в упакованому вигляді. При старті вірус розпаковує і запускає їх на виконання: Структура вірусу г ===============¬ | Вірусні | -> інсталює в систему компоненти хробака і backdoor, | процедури | потім шукає і заражає Win32 EXE-файли | існталляціі і | | зараження EXE | |---------------| | Код хробака | -> розпаковується і запускається як окрема програма | (упакований) | |-------------- - | | Backdoor-код | -> розпаковується і запускається як окрема програма | (упаковаан) | L ===============- Заражений EXE-файл г ===============¬ | Код та дані | | файлу | | | |===============| | Код вірусу: | |--------------¬| | | Інсталяція | | | | і зараження | | |+-------------+| | | Черв'як | | |+-------------+| | | Backdoor | | | L -------------- | L ======= ========-

    Слід зазначити, що код хробака не містить всіх процедур необхідних, для зараження системи з листа електронної пошти. З цієї причини хробак поширюється в електронних листах, будучи сам заражений вірусом (див. нижче). Навіщо потрібна така надмірно складна технологія - не цілком зрозуміло.

    Вірусна компонента містить рядки тексту:

    SABI +. b ViRuS
    Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
    Greetz: All VX guy in # virus and Vecna for help us Visit us at:
    http://www.coderz.net/matrix

    Черв'як містить текст:

    Software provide by [MATRiX] VX team:
    Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
    Greetz:
    All VX guy on # virus channel and Vecna
    Visit us: www.coderz.net/matrix

    Backdoor містить текст:

    Software provide by [MATRiX] team:
    Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
    Greetz:
    Vecna 4 source codes and ideas Вірусна компонента

    При зараженні файлів вірус використовує технологію "Entry Point Obscuring "(без точки входу), тобто вірус записується не в стартовий адреса заражаємо програми, а в якесь інше місце. У даному випадку вірус записується в кінець файлу і виправляє відповідну інструкцію в середині файлу: записує в неї команду переходу на свій код. У результаті вірус одержує керування не в момент запуску зараженого файлу, а тоді, коли отримує управління відповідний блок коду зараженої програми.

    Код вірусу в файлах зашифрований, і вірус спочатку розшифровує себе і потім передає управління на свою основну процедуру.

    Перед тим, як інсталювати інші компоненти і заражати файли вірус шукає в системі антивірусні програми і припиняє свою роботу, якщо будь-яка з них виявлено:

    AntiViral Toolkit Pro
    AVP Monitor
    Vsstat
    Webscanx
    Avconsol
    McAfee VirusScan
    Vshwin32
    Central do McAfee VirusScan

    Потім вірус інсталює компоненти хробака і backdoor. Всього створюється три файли, вони створюються в каталозі Windows і мають атрибут "прихований":

    IE_PACK.EXE - "чистий код" компоненти-хробака
    WIN32.DLL - черв'як (копія попереднього файлу), заражений вірусом
    MTX_.EXE - backdoor-компоненту

    Потім вірус шукає і заражає Win32 EXE-файли в поточному, часовому і основному каталозі Windows і завершує свою роботу. Хробак

    Для розсилки заражених повідомлень черв'як використовує метод, вперше виявлений в Інтернет-черв'яка "Happy". Хробак записує одну зі своїх процедур в файл WSOCK32.DLL таким чином, що вона перехоплює відсилання даних в Інтернет (процедура "send"). У результаті черв'як в зараженій бібліотеці WSOCK32.DLL отримує управління кожного разу, коли будь-які дані відправляються в Інтернет.

    Зазвичай при старті хробака файл WSOCK32.DLL вже використовується будь-яким додатком Windows і заблокований на запис, що унеможливлює негайне його зараження. Черв'як обходить це досить стандартним методом: копіює цей файл з ім'ям WSOCK32.MTX, заражає копію і записує в файл WININIT.INI команди заміщення файлу WSOCK32.DLL на заражений WSOCK32.MTX при наступній перезавантаження Windows, наприклад:

    NUL = C: WINDOWSSYSTEMWSOCK32.DLL
    C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX

    Після перезавантаження хробак активізується як компонента WSOCK32.DLL і перевіряє дані і команди, які надсилаються в Інтернет.

    Особливу увагу черв'як приділяє Інтернет-адресами антивірусних компаній і блокує відсилання листів на адреси цих компаній, так само як відвідування їх Web-сайтів. Черв'як детектує ці імена по 4-символьним комбінацій:

    nii.
    nai.
    avp.
    f-se
    mapl
    pand
    soph
    ndmi
    afee
    yenn
    lywa
    tbav
    yman
    (NAI, AVP, F-Secure, Panda, Sophos, і т.д.)

    Хробак також блокує відсилання листів на домени:

    wildlist.o *
    il.esafe.c *
    perfectsup *
    complex.is *
    HiServ.com *
    hiserv.com *
    metro.ch *
    beyond.com *
    mcafee.com *
    pandasoftw *
    earthlink .*
    inexar.com *
    comkom.co .*
    meditrade .*
    mabex.com *
    cellco.com *
    symantec.c *
    successful *
    inforamp.n *
    newell.com *
    singnet.co *
    bmcd.com.a *
    bca.com.nz *
    trendmicro *
    sophos.com *
    maple.com .*
    netsales.n *
    f-secure.c *

    Хробак також перехоплює відправляється електронні листи і посилає повідомлення-двійник зі своєю копією, прикріпленому до листа (так само, як це робить хробак "Happy"). Ім'я вкладеного файлу вибирається з декількох варіантів залежно від дня місяця:

    README.TXT.pif
    I_wanna_see_YOU.TXT.pif
    MATRiX_Screen_Saver.SCR
    LOVE_LETTER_FOR_YOU.TXT.pif
    NEW_playboy_Screen_saver.SCR
    BILL_GATES_PIECE.JPG.pif
    TIAZINHA.JPG.pif
    FEITICEIRA_NUA.JPG.pif
    Geocities_Free_sites.TXT.pif
    NEW_NAPSTER_site.TXT.pif
    METALLICA_SONG.MP3.pif
    ANTI_CIH.EXE
    INTERNET_SECURITY_FORUM.DOC.pif
    ALANIS_Screen_Saver.SCR
    READER_DIGEST_LETTER.TXT.pif
    WIN_ $ 100_NOW.DOC.pif
    IS_LINUX_GOOD_ENOUGH!. TXT.pif
    QI_TEST.EXE
    AVP_Updates.EXE
    SEICHO-NO-IE.EXE
    YOU_are_FAT!. TXT.pif
    FREE_xxx_sites.TXT.pif
    I_am_sorry.DOC.pif
    Me_nude.AVI.pif
    Sorry_about_yesterday.DOC.pif
    Protect_your_credit.HTML.pif
    JIMI_HMNDRIX.MP3.pif
    HANSON.SCR
    FUCKING_WITH_DOGS.SCR
    MATRiX_2_is_OUT.SCR
    zipped_files.EXE
    BLINK_182.MP3.pif

    Як файлу-вкладення використовується WIN32.DLL, створений вірусної компонентою при інсталяції в систему (WIN32.DLL є кодом хробака, зараженим вірусом).

    Слід зазначити, що сам хробак не створює WIN32.DLL і нездатний до подальшого поширення без цього файлу. Тобто "чистий код" хробака не в змозі сомостоятельно поширюватися без "допомоги" вірусної компоненти.

    Відомі версії черв'яка містять помилку, внаслідок якої багато поштові сервера не в змозі прийняти повідомлення з кодом хробака-вірусу. Однак, якщо використовують з'єднання Dial-up або поштовий сервер має достатню потужність, хробак розсилає себе без особливих проблем. Backdoor

    Backdoor-компонента створює в системному реєстрі два ключі:

    HKLMSoftware [MATRIX]

    HKLMSoftwareMicrosoftWindowsCurrentVersionRun
    SystemBackup =% WinDir% MTX_.EXE

    де% WinDir% є основним каталогом Windows.

    Перший ключ є ідентифікатором зараженості системи; другий ключ використовується для авто-запуску backdoor-компоненти при кожному рестарті Windows.

    При запуску backdoor-компонента залишається активною як приховане додаток (сервіс), періодично звертається і якомусь Інтернет-сервером та намагається завантажити звідти файли, які потім приховано запускаються на виконання. Таким чином, backdoor-компонента в змозі за бажанням автора вірусу заразити комп'ютер іншими вірусами або встановити інші троянські програми.

    Ця компонента також містить помилку, в результаті якої при завантаженні файлів Windows видає стандартне повідомлення про помилку в додатку і завершує його роботу. Blebla.b

    Рімейк оригінальній версії хробака. Під час запуску черв'як копіює себе в систему під ім'ям c: windowssysrnj.exe і потім створює і модифікує безліч ключів системного реєстру для активізації цієї копії.

    HKEY_CLASSES_ROOTrnjfile
    DefaultIcon =% 1
    shellopencommand = sysrnj.exe "% 1"% *

    цей ключ викликає запуск копії хробака при посиланнях на файл "rnjfile", всі наступні змінні хробаком ключі якраз і перенаправляють управління на копію хробака:

    HKEY_CLASSES_ROOT. exe = rnjfile
    . jpg = rnjfile
    . jpeg = rnjfile
    . jpe = rnjfile
    . bmp = rnjfile
    . gif = rnjfile
    . avi = rnjfile
    . mpg = rnjfile
    . mpeg = rnjfile
    . wmf = rnjfile
    . wma = rnjfile
    . wmv = rnjfile
    . mp3 = rnjfile
    . mp2 = rnjfile
    . vqf = rnjfile
    . doc = rnjfile
    . xls = rnjfile
    . zip = rnjfile
    . rar = rnjfile
    . lha = rnjfile
    . arj = rnjfile
    . reg = rnjfile

    таким чином, при запуску/відкритті файлів. EXE,. JPG,. JPEG і т.д. викликається копія хробака.

    Ці ключі викликають запуск черв'яка при відкритті будь-якого з перерахованих вище файлів.

    Черв'як посилає свої копії в конференцію USENET alt.comp.virus у файлі, приєднаному до повідомлень:

    From: "Romeo & Juliet" [[email protected]]
    Subject: [Romeo & Juliet] RiP

    При розсилці своїх копій за адресами електронної пошти з адресної книги Windows черв'як використовує різні варіанти заголовка листа. "Тема" (Subject) повідомлень хробака може бути порожньою, сгенеренной випадковим чином або вибраної з наступного списку:

    Romeo & Juliet
    where is my juliet?
    where is my romeo?
    hi
    last wish???
    lol:)
    ,,...'< br>!
    newborn
    merry christmas!
    surprise!
    Caution: NEW VIRUS!
    scandal!
    ^ _ ^
    Re:

    В залежності від деяких умов черв'як створює на зараженій машині в випадкової послідовності дискові каталоги з іменами, взятими навмання з папки Recycled, і створює в них файли з випадковими ж іменами.

    Макро-віруси сімейства заражають область глобальних макросів (шаблон NORMAL.DOT) при відкритті зараженого документа. Інші документи заражаються при їх закриття. Деякі варіанти вірусу заражають файли також при їх відкритті. При зараженні віруси сімейства дописуються до вже існуючих макросу документа (якщо такі присутні).

    Віруси містять рядок тексту, за якої визначають початок свого коду. У різних версіях вірусу цей рядок різна:

         
    		 
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

    		  
     
     
    		 
    		 
        Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status