Espiro | Дата: Воскресенье, 19.08.2007, 00:49 | Сообщение # 1 |
Admin
Группа: Администраторы
Сообщений: 141
♂
Статус: Offline
| Вирус Win32.HLLP.Jeefo Win32.HLLP.Jeefo является одним из самым распространенным внутрисетевым вирусом. Свое первое название - "Hidrag" - вирус получил по фрагментам первого текста - "Hidden Dragon"; второе - "Jeefo" - по фрагменту кода этого же текста в зашифрованном виде, который случайным образом выглядит в теле вируса как "I jeefo !". Простому пользователю данный вирус известен по постоянно появляющемуся сообщению о процессе SVCHOST.EXE. Источники попадания в машину: Основным источником распространения данного вируса являются, как обычно, файлообменные сети. Вирус может попадать в каталоги установленных на машинах программ файлообмена как под видом "полезных" программ, так и просто в зараженных дистрибутивах программного софта, переданных Вам друзьями или знакомыми. К сожалению, большинство пользователей упорно игнорируют антивирусные программы или просто не обновляют антивирусные базы, в результате чего "просыпают" попадание вируса в свои машины. Как результат, инфицированные компьютеры становятся рассадниками вирусов для десятков или даже сотен других компьютеров. Потенциальную опасность также могут представлять CD-R- и CD-RW-диски, записанные на таких "чистых" машинах, т.к. очевидно, что среди записанных на них (дисках) файлов окажутся и инфицированные. Не исключается также и возможность подхватить данный вирус в том случае, если Вы пользуетесь для переноса/хранения информации флэшками (USB Flash Memory Storage) или дискетами. Инсталляция в систему: Win32.HLLP.HiddenDragon представляет собой резидентную Windows-программу (т.н. PE EXE-файл, содержащий в своем заголовке метку "PE"; к таковым относятся программы с 32-битным кодом, написанные на языках высокого уровня, таких как, например, C++ Builder, Borland Turbo Pascal (Delphi) и пр., создаваемые для работы в среде Windows). Дееспособен под всеми существующими на сегодняшний день ОС Windows. Код программы Win32.HLLP.HiddenDragon защищен крипт-кодом, который расшифровывается при запуске вируса с помощью специально встроенной процедуры расшифровки прямо в память машины без создания каких-либо временных файлов. При запуске зараженно файла вирус определяет через функцию %windir% имя каталога, в который установлена ОС Windows (обычно таковым является C:\WINDOWS, поэтому далее по тексту я буду ссылаться именно на этот каталог), и копирует себя в него под названием C:\WINDOWS\svchost.exe Данный файл обладает следующими характерными особенностями: размер файла: 36352 байта; атрибуты: "Архивный" и "Системный" ("archive" и "hidden", благодаря чему при настройках системы "по умолчанию" данный файл невозможно обнаружить, т.к. Windows не показывает "скрытые" файлы); дата модификации: 24.08.2001 года (всегда одна и та же); - время модификации: значение переменной "hh" (часы) выбирается из вариантов 21 или 22; значения переменных "mm" и "ss" (минуты и секунды соответственно) - либо 00, либо берутся от зараженного файла, из которого был произведен запуск вируса. Файл svchost.exe остается резидентно в памяти компьютера вплоть до завершения работы Windows. Для возможности активизации этого файла при каждом старте системы вирус создает ключ под названием "PowerManager" в регистрах автозапуска системного реестра: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "PowerManager"="C:\\WINDOWS\\SVCHOST.EXE" Заражение файлов: После инсталляции в систему вирус ждет несколько минут, не производя никаких действий, чтобы скрыть свое присутствие в системе и какую-либо видимую активность. Затем начинает поиск и заражение PE EXE- (программ) и SCR- (экранных заставок) файлов. Этот процесс протекает по следующей схеме: сперва вирус ищет 6 файлов указанных форматов в корневом системном каталоге, т.е. C:\WINDOWS\*.exe C:\WINDOWS\*.scr Затем останавливает процесс поиска и заражения файлов, ждет 5-10 минут и заражает еще 6 файлов, после чего опять ждет указанный промежуток времени и возобновляет данную процедуру. Сразу следует сказать, что вирус выбирает для заражения только те файлы, размер которых превышает примерно 110 кб, а остальные не трогает. Перед заражением каждого файла, чтобы скрыть свое присутствие в системе, вирус считывает его (файла) атрибуты, дату и время модификации, заражает файл, а затем присваивает ему эти исходные данные назад. В результате этого, система не фиксирует данные зараженные файлы, как измененные, что существенно затрудняет визуальный поиск последних. Когда в корневом каталоге C:\WINDOWS все соответствующие файлы заражены, вирус переходит к заражению по вышеуказанной схеме в следующих подкаталогах системной директории, а затем заражает и Program Files. Методы борьбы: Некоторые пользователи склонны полагать, что если удалить файл svchost.exe из каталога Windows, то вирус исчезнет. Это абсолютно ошибочное предположение, и через время файл svchost.exe с кодом вируса будет заново создан в этой директории. Единственным эффективным методом борьбы является использование антивирусных программ. На сегодняшний день практически все антивирусное ПО умеет боротся с Jeefo.
Регистрируйтесь и Вы не пожалеете!
Сообщение отредактировал Espiro - Воскресенье, 19.08.2007, 01:07
|
|
|
Espiro | Дата: Воскресенье, 19.08.2007, 00:54 | Сообщение # 2 |
Admin
Группа: Администраторы
Сообщений: 141
♂
Статус: Offline
| Червь Win32.HLLM.Graz Win32.HLLM.Graz или просто Graz представляет собой достаточно молодой почтовый вирус массовой рассылки. Одной из особенностей данного вируса является его достаточно серьезная направленность на борьбу с антивирусными средствами компьютера. Способы заражения: Существует два способа заразится вирусом Graz. Во-первых данный вирус распространяется по электронной почте в виде письма с вложенным файлом. Как правило, в качестве отправителя письма указывается администрация почтовых служб hotmail.com, gmail.com, aol.com, msn.com или yahoo.com. К письму прикрепляется один из следующих файлов: msg.zip, message.zip, data.zip, mail.zip. При этом в письме прилагается логин и пароль, что бы заинтриговать адресата. В архиве - файл hta, содержащий зашифрованное тело вируса. Имя этого файла составляется из двух случайно выбранных строк. Первая строка может быть "Encrypted", "Protected", "Secure" или "Extended", а вторая - "Mail", "E_Mail", "Message" или "Html". При открытии этого файла в корень диска C: сбрасывается файл с именем COMMAND.EXE и запускается. В это же время появляется окно, предлагающее ввести ID и Password. Пример зараженного письма: Вирус так же распространяется при помощи ICQ. Graz получает на зараженной машине логин и пароль владельца ICQ и рассылает сообщения всем из списка контактов с просьбой зайти на сайт и скачать универсальный ключ для какой-либо игры (который само собой является ни чем иным как вирусом). Заражение машины: При запуске вируса он копирует свое тело в системную папку %SystemRoot%\System32 под именем ms??.exe и сбрасывает в эту же папку файл ms??32.dll. Для обеспечения автозапуска своей копии прописывает сброшенный dll-файл в ветку реестра HKLM\Windows\CurrentVersion\ShellServiceObjectDelayLoad. Вирус отслеживает траффик портов и извлекает пароли telnet, smtp, pop3, ftp, icq, irc и других служб, которые нужны ему для распространения. Также Graz содержит функцию управления программой WebMoney Keeper. Первые действия Graz направлены на блокировку антивирусных средств компьютера. Вирус удаляет файлы, содержащие в именах подстроки ipcserver, aws, iamapp, armorwall, xfilter, ipatrol, kavpf, keypatrol и т.п. файлы, которые относятся к сервисным службам, призванным защищать компьютер от несанкцированных действий и вирусных атак, а также блокирует доступ к сайтам антивирусных компаний. Способы лечения: 1. Загрузить ОС Windows в Безопасном режиме (Safe Mode). 2. Просканировать память и локальные диски компьютера сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT!. Действие для найденных файлов - удалить . Если вы еще не успели открыть архив с вирусом, то нет ничего проще, чем просто удалить письмо из ящика и корзины почтовой программы.
Регистрируйтесь и Вы не пожалеете!
|
|
|
Espiro | Дата: Воскресенье, 19.08.2007, 01:13 | Сообщение # 3 |
Admin
Группа: Администраторы
Сообщений: 141
♂
Статус: Offline
| Почтовый червь Netsky Прошедший год стал годом вируса Netsky, эпидемия которого началась в феврале 2004 г. и не закончилась до сих пор. Это первый в истории червь, который распространялся более чем в 30-ти модификациях. Таким образом, один немецкий тинейджер 19-летний Свен Яшан ответственен более чем за половину всех случаев заражения в мире в 2005 году. Именно он считается виновным в написании вирусов Netsky и Sasser, за что и был арестован в мае 2004 г. и приговорен в июле прошлого года к почти двум годам условного лишения свободы с испытательным сроком в 3 года. Так что же он в конце концов натворил? Классический представитель почтовых червей. Практически все модификации червя Netsky распространяются через электронную почту и рассылают свои копии по всем найденым на компьютере пользователя электронным адресам. Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. В зависимости от модификации вируса размер вложенного файла с вирусом может колебатся в пределах 20-30 Кб в упакованом виде. Вирус написан на любимом языке вирусописателей Microsoft Visual C++. После инсталяции вирус копирует себя в корневой каталог Windows в виде exe программы (так, для модификации NetSky.x данным файлом является приложение VisualGuard.exe), а также создает в реестре уникальный идентификатор для определения своего присутствия в системе. Распространение через Email. Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения: adb, asp, cgi, dbx, dhtm, doc, eml, htm, html, jsp, msg, oft, php, pl, rtf, sht, shtm, tbb, txt, uin, vbs, wab, wsh, xml. Червь рассылает себя по всем найденным в файлах с расширениями из приведенного выше списка адресам электронной почты. Для отправки писем червь использует собственную SMTP-библиотеку. Вредоносные действия Netsky. В зависимости от модификации вирус Netsky выполняет различные вредные действия. Одним из побочных действий вируса является атака всех зараженных компьютеров, направленная на какой-либо объект. Например, 1 марта 2004 года появилась модификация вируса Netsky D главной целью которой было заразить компьютеры и с их помощью атаковать сайт компании ЗАО "Лаборатории Касперского". Некоторые модификации вируса существенно замедляют работу компьютера, что негативно сказывается на оперативности работы пользователей и приносит дополнительные убытки. Монополия на вирус. Очень любопытным фактом 2004 года стала развернувшаяся в феврале-марте кибербитва между соперничающими вирусописателями. Вирус Netsky не просто заражал компьютеры — он также удалял с машин любые экземпляры вирусов Mydoom, Bagle и Mimail. В довершение ко всему, авторы вируса Netsky объявили войну авторам Bagle. На пике такой «войны» каждый день появлялось несколько экземпляров обоих червей, содержавших в своем теле угрозы в адрес недругов.
Регистрируйтесь и Вы не пожалеете!
|
|
|
Espiro | Дата: Воскресенье, 19.08.2007, 01:19 | Сообщение # 4 |
Admin
Группа: Администраторы
Сообщений: 141
♂
Статус: Offline
| Вирус VBS.Redlof VBS.Redlof является одним из самых известных зашифрованных полиморфный вирусов. Вирус VBS.Redlof написан на языке Visual Basic Script (VBS) и зашифрован при помощи VBE (Visual Basic encoded script). Вирус поражает компьютеры под управлением Windows 95/98/Me/NT/2000/XP и заражает файлы с расширениями .asp, .htm, .html , .htt, .jsp, .php и .vbs, дописывая в их конец VBScript, содержащий зашифрованную копию его вирусного кода. Для попадания на компьютер вирус использует так называемую уязвимость виртуальной машины Microsoft в системе безопасности MS Internet Explorer, при которой вирус может быть активирован с удаленного сайта при просмотре пользователем инфицированного таким вирусом HTML файла. После первого попадания на компьютер пользователя, вирус открывает файлы с расширением htt , .html, .htm, .jsp, .asp, .php, расположенные в текущей папке, заражает их, а также папку "Мои документы". Признаки инфицирования Существует несколько способов определения, заражен ли ваш компьютер вирусом Redlof: наличие в системе инфицированного VBScript либо в %windir%\System\Kernel.dll, либо в %windir%\System\Kernel32.dll. наличие в системном реестре записи HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunKernel32\ "%SYSTEM%\Kernel.dll" Самым простым способом определения заражения вирусом является следующий тест. Создайте простой текстовый файл и переименуйте его в html. Размер сохраненного файла должен составлять 0 байт. Если после закрытия файла его размер возрос до 12 Кбайт, значит вы заражены. Основным признаком инфицирования системы вирусом Redlof является наличие в зараженном файле строки: Таким образом, после открытия файла, запускается на выполнение функция KJ_start(), которая описана в конце файла в виде закодированного скрипта Visual Basic. Инфицирование системы: При первом запуске вирус создает файл со своим исполняемым кодом в системном каталоге Windows с именем Kernel.dll. Кроме этого вирус создает файлы kjwall.gif в каталогах System32 и Web. Также вирус копирует себя во все каталоги на других дисках зараженного компьютера в виде файла настройки отображения файлов и папок MS Explorer - folder.htt. Зараженный файл folder.htt получает управление и копируется вирусом во все каталоги при их просмотре/открытии при помощи MS Explorer. Если в каком-то каталоге уже имеется файл folder.htt - заражения не происходит. Вирус дописывает себя во все HTM файлы, находящиеся в каталоге windows\web и таким образом он также получает управление при открытии данных файлов (iejit.htm, offline.htm, related.htm, tip.htm, folder.htm, wum.htm). При наличии на компьютере большого количества файлов с web расширениями, вирус способен "съесть" до сотен мегабайт памяти. Способы распространения: Вирус предпринимает попытки распространяться через электронную почту, отсылаемую пользователем инфицированного компьютера. Достигается это путем инфицирования файла blank.htm, который является установленным по умолчанию stationery файлом для Microsoft Outlook или Outlook Express. Вирус копирует себя в этот файл, а если такой файл уже существует в системе, он добавляет себя в конец такого файла. Для этого в реестровую запись "C:\Program Files\Common Files\Microsoft Shared\Stationery\" вирус добавляет данные blank.htm. Методы борьбы: Единственным способом полного избавления от вируса VBS.Redlof является использование обычных или специализированных антивирусных средств. В настоящее время практически все антивирусные программы способны найти и обезвредить Redlof. Так как вирус заражает достаточно большое количество файлов, его лечение вручную, т.е. путем удаления из каждого файла вредоносного скрипты, является практически невыполнимой задачей.
Регистрируйтесь и Вы не пожалеете!
|
|
|
Espiro | Дата: Воскресенье, 19.08.2007, 01:24 | Сообщение # 5 |
Admin
Группа: Администраторы
Сообщений: 141
♂
Статус: Offline
| Вирус MyDoom В конце 2004 года службы мониторинга всех антивирусных фирм сообщили о быстром распространении нового червя массовой рассылки MyDoom. Компания SCO Group объявила о назначении вознаграждения в 250 000 американских долларов тому, кто поможет вычислить и осудить автора червя. Причина такой щедрости в том, что MyDoom фактически направлен против этой компании, которая недавно предприняла попытки прилечь к суду ряд крупных компаний, которые, по ее мнению, нарушили ее авторские права на часть кодов, которые включены в ОС Linux. 1 февраля серверы компании были подвергнуты массированной DoS-атаке со всех компьютеров, которые будут еще на этот момент заражены червем. Вряд ли это количество будет таким уж большим - все-таки автор червя не был столь уж безжалостен к SCO Group, которая покусилась на самое святое для всего свободного компьютерного мира - открытые коды, и не стал начинать атаку на следующий день после начала распространения червя. Вряд ли, впрочем, это обеспечит ему снисхождение властей в случае поимки. Текст письма состоит из нескольких достаточно неброских слов, которые, тем не менее, побуждают многих пользователей открывать вложенный исполняемый файл: Попав на локальный компьютер, червь MyDoom сканирует файлы *.TXT, *.HTM, *.HTM, *.DBX, *.WAB, *.ADB, *.TBB, *.ASP, *.PHP, *.SHT во всех каталогах на наличие адресов электронной почты и рассылает по этим адресам зараженные письма. Текст и тема заголовка подбирается таким образом, что бы пользователь не заметил ничего необычного. Например, очень часто зараженные письма MyDoom приходят с темой: Error (ошибка) Status (статус) Server Report (отчет сервера) Mail Transaction Failed (ошибка отправки) Mail Delivery System (сообщение почтового сервера) Тело сообщения может выглядить следующим образом: The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment (сообщение не может быть перекодировано в 7-битное ASCII и отправляется как бинарное сообщение) The message contains Unicode characters and has been sent as a binary attachment (сообщение содержит символы Unicode и отправляется как бинарное сообщение) Mail transaction failed. Partial message is available (сообщение не отправлено). На самом деле если вы получили подобное сообщение от MyDoom вы не заражаетесь мгновенно. К данным зараженным сообщениям прикреплятся различные файлы, запуск которых и может спровоцировать заражение компьютера. Как правило, это вложенные файлы типа *.bat, *.exe, *.pif, *.cmd, *.scr (doc.bat, document.zip, message.zip, readme.zip, text.pif, hello.cmd, body.scr, test.htm.pif, data.txt.exe и т.п). Рассмотрим, какие же вредные действия выполняет вирус MyDoom и его производные: - Когда файл запускается, он копирует себя в системный каталог WINDOWS %SysDir%\taskmon.exe, где %Sysdir% системный каталог Windows, например C:\WINDOWS\SYSTEM. В реестре создается следующая запись для автоматического запуска файла в момент старта Windows: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "TaskMon"=%SysDir%\taskmon.exe - Вирус использует DLL, которую он создает в системном каталоге Windows: %SysDir%\shimgapi.dll Эта DLL (длиной 4,096 байт) подключается к проводнику после перезагрузки компьютера. Для этого используется следующий ключ реестра: HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)"=%SysDir%\shimgapi.dll Для физического удаления вируса надо скорректировать системный реестр, удалив ключи автоматического запуска, перечисленные выше, и уничтожить тела вируса taskmon.exe и shimgapi.dll в системном каталоге.
Регистрируйтесь и Вы не пожалеете!
|
|
|
Espiro | Дата: Воскресенье, 19.08.2007, 01:29 | Сообщение # 6 |
Admin
Группа: Администраторы
Сообщений: 141
♂
Статус: Offline
| Вот так вот (((
Регистрируйтесь и Вы не пожалеете!
|
|
|
Информация о сайте | Новости сайта |
Ленточный вариант форума | English version
|
|
| Copyright ₣ƒσζυμ © 2024 | Сайт создан в системе uCoz |
| |
| | | |