"Тефлоновый" вирус неуязвим для антивирусов?

Четверг, 18 ноября 2004 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

В Сети появилось новое семейство вирусов, обладающее повышенной устойчивостью к традиционным антивирусным программам и способное без труда проникать сквозь все существующие барьеры.
Как сообщила компания Cearswift, специализирующаяся на обеспечении компьютерной безопасности, новый вирус является "дальним родственником" вируса MyDoom и использует уязвимость "переполнение буфера" браузера Internet Explorer компании Microsoft. Для своего распространения вирус реализует принципиально новую, скользкую, подобно тефлону, стратегию, значительно затрудняющую его обнаружение и борьбу с ним.

В отличие от обычных вирусов, Bofra не содержит в себе ничего "криминального" — например, вложений или какого-либо вредоносного скрипта, написанного на HTML. Единственное, что имеется в вирусе – это ссылка, ведущая на инфицированную машину, на которой вирус уже инсталлировал небольшой веб-сервер. При переходе по ссылке на машину пользователя загружается собственно вредоносная программа. Затем она рассылает аналогичные сообщения по адресам, обнаруженным на машине. Пользователям, в частности, предлагается посетить порносайт с веб-камерами, либо он получает сообщение, "подтверждающее" покупку им кредитной карты. По мнению специалистов Clearswift, подобная технология, заключающаяся в создании многочисленных веб-серверов, обеспечивает чрезвычайно быстрое распространение вируса и крайне осложняет борьбу с ним.

"Раньше авторы вирусов указывали в рассылаемых пользователям Сети письмах ссылки, ведущие на находящиеся под их управлением сервера, однако они имели статический IP-адрес, — указывается в сообщении Clearswift, — и их было сравнительно нетрудно блокировать. Теперь злоумышленникам удалось обойти проблему. В новом черве используются динамические адреса, что чрезвычайно осложняет борьбу с ними".

"Лаборатория Касперского" обнаружила данного червя еще 9 ноября этого года, рассказали CNews.ru в информационной службе компании. Изначально он был назван I-Worm.Mydoom.ad, чуть позже появилась его модификация Mydoom.ae. Однако затем было принято решение переименовать данное семейство в антивирусных базах "Лаборатории Касперского" на I-Worm.Bofra.gen (это общее название семейства, конкретным модификациям присваиваются буквы в алфавитном порядке). Таким образом, I-Worm.Mydoom.ad был переименован в I-Worm.Bofra.b, I-Worm.Mydoom.ae — в I-Worm.Bofra.a. "Первоначально было решено продолжить семейство червей Mydoom, т.к. новые вредоносные программы использовали исходные коды данного червя, однако затем большинство вирусных аналитиков пришло к мнению, что это новое семейство, и мы согласились с этим мнением", — говорит Ольга Кобзарева, и.о. руководителя информационной службы "Лаборатории Касперского".

На данный момент существует уже четыре модификации червя Bofra — a, b, c, d, рассказала г-жа Кобзарева. От исходного варианта I-Worm.Bofra.a они отличаются лишь процедурой регистрации зараженного файла в ключе автозагрузки системного реестра, основной же функционал идентичен во всех четырех вариантах червя. Это вирус-червь, распространяющийся через интернет в виде зараженных писем без вложения, содержащих ссылку на зараженный компьютер. Червь использует недавно обнаруженную и еще не закрытую (Microsoft еще не выпустил соответствующего обновления, оно существует только в Service Pack 2 для ХР, остальные версии или ХР без второго сервис-пака уязвимы) уязвимость в интернет-браузере Internet Explorer. Червь не помещает свою копию в зараженное письмо, а помещает только ссылку на зараженный файл, находящийся на компьютере, с которого пришло это письмо. В момент обращения к полученной ссылке (происходит автоматически в случае срабатывания эксплойта приведенной выше уязвимости) происходит переполнение буфера и автоматический запуск зараженного файла. Письма рассылаются по всем найденным на зараженном компьютере адресам электронной почты. Пример распространения червя — обращение для загрузки своих новых вариантов на уже зараженные машины к ссылке, располагавшейся на сайте http://kjh0.narod.ru/. "Лаборатория Касперского", находясь в хороших отношениях с администрацией хостинга крупного бесплатного российского хостинга narod.ru (принадлежит компании "Яндекс"), обратилась к ним с просьбой как можно скорее закрыть данный сайт, что и было сделано в кратчайшие сроки.

После запуска червь копирует себя с произвольным именем (любой набор символов, который всегда заканчивается на "32.exe"), в системный каталог Windows. Затем регистрирует данный файл в ключе автозагрузки системного реестра. Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах с различными расширениями. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. В письме с червем нет никаких вложений. Червь отправляет только ссылку на зараженный компьютер. Ссылка имеет следующий формат: http://:/. Червь открывает на зараженном компьютере TCP-порт от 1639 и выше для скачивания файлов, а также открывает на зараженной машине TCP-порт 6667 для соединения с IRC-каналами для приема команд (бэкдор-функция).

Поскольку в "Лаборатории Касперского" практически не зафиксировано случаев обращения пользователей по поводу данного семейства вредоносных программ, уровень опасности антивирусные эксперты компании считают самым низким, никакой эпидемии, по крайней мере, сейчас нет.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 924
Рубрика: Металлургия
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003