Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Металлургия > "Тефлоновый" вирус неуязвим для антивирусов?

"Тефлоновый" вирус неуязвим для антивирусов?

Четверг, 18 ноября 2004 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

В Сети появилось новое семейство вирусов, обладающее повышенной устойчивостью к традиционным антивирусным программам и способное без труда проникать сквозь все существующие барьеры.
Как сообщила компания Cearswift, специализирующаяся на обеспечении компьютерной безопасности, новый вирус является "дальним родственником" вируса MyDoom и использует уязвимость "переполнение буфера" браузера Internet Explorer компании Microsoft. Для своего распространения вирус реализует принципиально новую, скользкую, подобно тефлону, стратегию, значительно затрудняющую его обнаружение и борьбу с ним.

В отличие от обычных вирусов, Bofra не содержит в себе ничего "криминального" — например, вложений или какого-либо вредоносного скрипта, написанного на HTML. Единственное, что имеется в вирусе – это ссылка, ведущая на инфицированную машину, на которой вирус уже инсталлировал небольшой веб-сервер. При переходе по ссылке на машину пользователя загружается собственно вредоносная программа. Затем она рассылает аналогичные сообщения по адресам, обнаруженным на машине. Пользователям, в частности, предлагается посетить порносайт с веб-камерами, либо он получает сообщение, "подтверждающее" покупку им кредитной карты. По мнению специалистов Clearswift, подобная технология, заключающаяся в создании многочисленных веб-серверов, обеспечивает чрезвычайно быстрое распространение вируса и крайне осложняет борьбу с ним.

"Раньше авторы вирусов указывали в рассылаемых пользователям Сети письмах ссылки, ведущие на находящиеся под их управлением сервера, однако они имели статический IP-адрес, — указывается в сообщении Clearswift, — и их было сравнительно нетрудно блокировать. Теперь злоумышленникам удалось обойти проблему. В новом черве используются динамические адреса, что чрезвычайно осложняет борьбу с ними".

"Лаборатория Касперского" обнаружила данного червя еще 9 ноября этого года, рассказали CNews.ru в информационной службе компании. Изначально он был назван I-Worm.Mydoom.ad, чуть позже появилась его модификация Mydoom.ae. Однако затем было принято решение переименовать данное семейство в антивирусных базах "Лаборатории Касперского" на I-Worm.Bofra.gen (это общее название семейства, конкретным модификациям присваиваются буквы в алфавитном порядке). Таким образом, I-Worm.Mydoom.ad был переименован в I-Worm.Bofra.b, I-Worm.Mydoom.ae — в I-Worm.Bofra.a. "Первоначально было решено продолжить семейство червей Mydoom, т.к. новые вредоносные программы использовали исходные коды данного червя, однако затем большинство вирусных аналитиков пришло к мнению, что это новое семейство, и мы согласились с этим мнением", — говорит Ольга Кобзарева, и.о. руководителя информационной службы "Лаборатории Касперского".

На данный момент существует уже четыре модификации червя Bofra — a, b, c, d, рассказала г-жа Кобзарева. От исходного варианта I-Worm.Bofra.a они отличаются лишь процедурой регистрации зараженного файла в ключе автозагрузки системного реестра, основной же функционал идентичен во всех четырех вариантах червя. Это вирус-червь, распространяющийся через интернет в виде зараженных писем без вложения, содержащих ссылку на зараженный компьютер. Червь использует недавно обнаруженную и еще не закрытую (Microsoft еще не выпустил соответствующего обновления, оно существует только в Service Pack 2 для ХР, остальные версии или ХР без второго сервис-пака уязвимы) уязвимость в интернет-браузере Internet Explorer. Червь не помещает свою копию в зараженное письмо, а помещает только ссылку на зараженный файл, находящийся на компьютере, с которого пришло это письмо. В момент обращения к полученной ссылке (происходит автоматически в случае срабатывания эксплойта приведенной выше уязвимости) происходит переполнение буфера и автоматический запуск зараженного файла. Письма рассылаются по всем найденным на зараженном компьютере адресам электронной почты. Пример распространения червя — обращение для загрузки своих новых вариантов на уже зараженные машины к ссылке, располагавшейся на сайте http://kjh0.narod.ru/. "Лаборатория Касперского", находясь в хороших отношениях с администрацией хостинга крупного бесплатного российского хостинга narod.ru (принадлежит компании "Яндекс"), обратилась к ним с просьбой как можно скорее закрыть данный сайт, что и было сделано в кратчайшие сроки.

После запуска червь копирует себя с произвольным именем (любой набор символов, который всегда заканчивается на "32.exe"), в системный каталог Windows. Затем регистрирует данный файл в ключе автозагрузки системного реестра. Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах с различными расширениями. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. В письме с червем нет никаких вложений. Червь отправляет только ссылку на зараженный компьютер. Ссылка имеет следующий формат: http://:/. Червь открывает на зараженном компьютере TCP-порт от 1639 и выше для скачивания файлов, а также открывает на зараженной машине TCP-порт 6667 для соединения с IRC-каналами для приема команд (бэкдор-функция).

Поскольку в "Лаборатории Касперского" практически не зафиксировано случаев обращения пользователей по поводу данного семейства вредоносных программ, уровень опасности антивирусные эксперты компании считают самым низким, никакой эпидемии, по крайней мере, сейчас нет.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 770
Рубрика: Металлургия
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

16: 21
Китай с коксом "перекрутил гайки", потом отпустил. Что будет дальше? |
15: 41
ЧМК обменивается опытом с ведущими предприятиями России |
15: 41
Алтай-Кокс достиг рекордного показателя энергоэффективности |
15: 01
Российские трубные компании успешно развивают импортозамещение |
14: 21
ЧЦЗ запустил мощный реактор |
14: 01
Имущество ШЗМК продают за 350 млн руб. |
14: 01
В Москве тестируют отечественный электробус |
14: 01
Лермонтовский ГОК восстановит производство |
13: 41
Имущество Шадринского ЗМК продают за 350 млн руб. |
13: 01
Росэлектроника разработала собственные варикапы |
12: 41
Римера развивает производство блочно-модульных конструкций |
12: 21
Прогрессирующая слабость. Мировой рынок металлургического сырья: 11-19 января |
12: 01
СУЭК нарастил добычу и продажи |
12: 01
ГП "Стальные конструкции" поставляет профлист для Севастопольской ПГУ-ТЭС |
12: 01
Испытательный центр Трубодетали прошел аккредитацию на соответствие требованиям ГОСТ |
12: 01
Чепецкий механический завод получил крупный контракт |
12: 01
«Калашников» может удвоить выпуск оружия |
11: 41
Северсталь увеличила производство стали в 2016 г. |
11: 41
В Мордовии предполагается модернизация систем водобснабжения |
11: 21
Северсталь объявляет операционные результаты за четвертый квартал и двенадцать месяцев 2016 года |
10: 41
Цветные металлы растерялись перед инаугурацией Трампа? |
10: 41
Polymetal купила половину крупнейшего неразработанного месторождения серебра в России |
10: 01
Полиметалл будет участвовать в освоении Прогноза |
09: 41
Индекс цен в металлоторговле впервые в этом году двинулся вниз: -3,49 пункта, до отметки 539,17 |
09: 41
В США определена демпинговая маржа на китайский толстый лист |
09: 01
Низкая активность покупателей заставляет снижать цены |
08: 02
Экспорт черного лома из США снизился в январе-ноябре на 4% |
08: 02
Rio Tinto и Chinalco распустили СП, искавшее медь в Китае |
08: 02
Angang повышает цены на сталь для февраля |
08: 02
Posco завершит модернизацию мощнейшей доменной печи |
08: 02
Baosteel повышает большинство цен на стальной прокат для февраля |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Сентябрь 2014: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30