Главная
К библиотеке


Новые вирусы, черви и трояны
автор: Subfire источник: www.izcity.com

Пришло время вновь посмотреть на всякую гадость, которая успела наплодиться за последние недели. А наплодилось ее предостаточно. Стоит отметить несколько самых “популярных”, и оригинальных вирусов-троянов. И прежде всего Интернет-червяков Hybris, MTX, Wscript.KakWorm.

Hybris

Довольно сложный и неплохо написанный троян. Обычно попадает в системы стандартным способом – приходит прикрепленным к письму со стандартным содержанием на тему порнокартинок, сексуальных проблем подростков… После запуска троян заражает файл WSOCK32.DLL, который собственно и отвечает за работу в сети (в т.ч. и Интернет). Троян записывает себя в конец файла и заменяет точку входа DLL-библиотеки на свой код и при этом шифрует "настоящую" стартовую процедуру файла.

Червь перехватывает функции "connect", "recv", "send", сканирует принимаемые и отправляемые данные, ищет в них адреса электронной почты и через некоторое время отправляет свои копии по этим адресам.

Вирус имеет возможность подключения дополнительных программ – плагинов, которые он самостоятельно скачивает из Интернета со страницы http://pleiku.vietmedia.com/bye/, что делает возможности создателя трояна безграничными. Работоспособен на всех Win32-платформах.

Защита: распознается последней версией AVP.

MTX

Довольно сложный по структуре троян. Состоит из трех частей – вирус, червь, троянец-backdoor. Вирус отвечает за заражение -exe файлов по технологии "Entry Point Obscuring". Вирус записывается не в точку входа заражаемого файла, а в любое произвольное место. Затем ищется подходящая процедура в теле программы и переписывается так, что вирус, понаделав пакостей, возвращает управление программе. Таким образом вирус фактически начинает работать не при запуске зараженной программы, а при выполнении определенной процедуры. Сам код вируса содержит в себе и червя, и троянца в запакованном виде. Другими словами, зараженный файл перенесет на другой компьютер полный набор радостей.

Незараженная программа:

Debug1.gif (14113 bytes)

Зараженная программа:

Debug2.gif (6542 bytes) Legent.jpg (2241 bytes)

Собственно червь занимается “рекламой” и распространением вируса-трояна. Он также как и предыдущий троян заражает WSOCK32.DLL и распространяется, используя перехваченные почтовые адреса. В то же время он блокирует посылку любых писем на адреса антивирусных компаний и посещение их Web-сайтов. Ну, а троян-backdoor занимается тем, что скачивает программы с определенного сервера, что позволяет загрузить на зараженный компьютер все что угодно: закачать троян или какой-либо злобный вирус. Работает на Win32-платформе.

Защита: распознается последней версией AVP.

WScript.KakWorm

Этот червь написан на языке Java Script, для распространения использует MS Outlook Express.

Червь приходит на компьютер в виде письма в HTML-формате. В письме содержится троян, в виде программы, написанной на языке JavaScript. При открытии или предварительном просмотре сообщения скрипт-программа не видна, т.к. скрипты никогда не отображаются в HTML-документах (сообщениях, страницах и т.п.), но получает управление - и червь активизируется. Червь создает в системном каталоге Windows файл, имя которого зависит от настроек системы. Расширение файла – HTA. Также создается файл “KAK.HTM” – html-копия трояна.

Для справки: HTA-файл (HTML Application) - тип файлов, появившийся в MS Internet Explorer 5.0. HTA-файлы содержат обычный HTML-текст и скрипт-программы, но при запуске не вызывают оболочку Internet Explorer, а выполняются как отдельные приложения. Это дает возможность разрабатывать приложения (и вирусы), используя скрипт-программы.

Скрипт червя меняет разделы реестра, относящиеся к MS Outlook Express, - меняется ключ "подпись по умолчанию". Червь записывает туда ссылку на файл "KAK.HTM".

В дальнейшем все письма, которые имеют формат HTML (это стандартный формат MS Outlook Express), будут автоматически дополняться подписью, содержащей код червя. Outlook Express каждый раз при создании нового сообщения автоматически добавляет в него содержимое файла "KAK.HTM", т.е. скрипт-программу червя, а значит, все отправляемые сообщения оказываются зараженными. Письма, имеющие формат RTF или "Plain text", не заражаются (и не могут быть заражены). Одновременно червь заражает систему так, чтобы при каждой загрузке он активизировался - на тот случай, если пользователь заменит подпись по умолчанию.

Защита.
Сложности с этим трояном заключаются в том, что сканирование дисков на наличие вирусов бесполезно, так как при повторном прочтении письма система вновь заражается. Выход только один – установка антивирусного монитора. Однако это спасает только в момент записи трояна на диск, но не при чтении письма (и, соответственно, выполнении текста трояна).

Самый лучший выход – установка монитора скриптов, например “AVP Script Checker”.

И еще. Для записи своих файлов на диск червь использует брешь в защите Internet Explorer 5.0. Компания Microsoft выпустила дополнение, которое устраняет эту брешь: http://support.microsoft.com/support/ kb/articles/Q240/3/08.ASP.

Источник: http://www.emedia.ru

Hosted by uCoz