Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Металлургия > "Тефлоновый" вирус неуязвим для антивирусов?

"Тефлоновый" вирус неуязвим для антивирусов?

Четверг, 18 ноября 2004 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

В Сети появилось новое семейство вирусов, обладающее повышенной устойчивостью к традиционным антивирусным программам и способное без труда проникать сквозь все существующие барьеры.
Как сообщила компания Cearswift, специализирующаяся на обеспечении компьютерной безопасности, новый вирус является "дальним родственником" вируса MyDoom и использует уязвимость "переполнение буфера" браузера Internet Explorer компании Microsoft. Для своего распространения вирус реализует принципиально новую, скользкую, подобно тефлону, стратегию, значительно затрудняющую его обнаружение и борьбу с ним.

В отличие от обычных вирусов, Bofra не содержит в себе ничего "криминального" — например, вложений или какого-либо вредоносного скрипта, написанного на HTML. Единственное, что имеется в вирусе – это ссылка, ведущая на инфицированную машину, на которой вирус уже инсталлировал небольшой веб-сервер. При переходе по ссылке на машину пользователя загружается собственно вредоносная программа. Затем она рассылает аналогичные сообщения по адресам, обнаруженным на машине. Пользователям, в частности, предлагается посетить порносайт с веб-камерами, либо он получает сообщение, "подтверждающее" покупку им кредитной карты. По мнению специалистов Clearswift, подобная технология, заключающаяся в создании многочисленных веб-серверов, обеспечивает чрезвычайно быстрое распространение вируса и крайне осложняет борьбу с ним.

"Раньше авторы вирусов указывали в рассылаемых пользователям Сети письмах ссылки, ведущие на находящиеся под их управлением сервера, однако они имели статический IP-адрес, — указывается в сообщении Clearswift, — и их было сравнительно нетрудно блокировать. Теперь злоумышленникам удалось обойти проблему. В новом черве используются динамические адреса, что чрезвычайно осложняет борьбу с ними".

"Лаборатория Касперского" обнаружила данного червя еще 9 ноября этого года, рассказали CNews.ru в информационной службе компании. Изначально он был назван I-Worm.Mydoom.ad, чуть позже появилась его модификация Mydoom.ae. Однако затем было принято решение переименовать данное семейство в антивирусных базах "Лаборатории Касперского" на I-Worm.Bofra.gen (это общее название семейства, конкретным модификациям присваиваются буквы в алфавитном порядке). Таким образом, I-Worm.Mydoom.ad был переименован в I-Worm.Bofra.b, I-Worm.Mydoom.ae — в I-Worm.Bofra.a. "Первоначально было решено продолжить семейство червей Mydoom, т.к. новые вредоносные программы использовали исходные коды данного червя, однако затем большинство вирусных аналитиков пришло к мнению, что это новое семейство, и мы согласились с этим мнением", — говорит Ольга Кобзарева, и.о. руководителя информационной службы "Лаборатории Касперского".

На данный момент существует уже четыре модификации червя Bofra — a, b, c, d, рассказала г-жа Кобзарева. От исходного варианта I-Worm.Bofra.a они отличаются лишь процедурой регистрации зараженного файла в ключе автозагрузки системного реестра, основной же функционал идентичен во всех четырех вариантах червя. Это вирус-червь, распространяющийся через интернет в виде зараженных писем без вложения, содержащих ссылку на зараженный компьютер. Червь использует недавно обнаруженную и еще не закрытую (Microsoft еще не выпустил соответствующего обновления, оно существует только в Service Pack 2 для ХР, остальные версии или ХР без второго сервис-пака уязвимы) уязвимость в интернет-браузере Internet Explorer. Червь не помещает свою копию в зараженное письмо, а помещает только ссылку на зараженный файл, находящийся на компьютере, с которого пришло это письмо. В момент обращения к полученной ссылке (происходит автоматически в случае срабатывания эксплойта приведенной выше уязвимости) происходит переполнение буфера и автоматический запуск зараженного файла. Письма рассылаются по всем найденным на зараженном компьютере адресам электронной почты. Пример распространения червя — обращение для загрузки своих новых вариантов на уже зараженные машины к ссылке, располагавшейся на сайте http://kjh0.narod.ru/. "Лаборатория Касперского", находясь в хороших отношениях с администрацией хостинга крупного бесплатного российского хостинга narod.ru (принадлежит компании "Яндекс"), обратилась к ним с просьбой как можно скорее закрыть данный сайт, что и было сделано в кратчайшие сроки.

После запуска червь копирует себя с произвольным именем (любой набор символов, который всегда заканчивается на "32.exe"), в системный каталог Windows. Затем регистрирует данный файл в ключе автозагрузки системного реестра. Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах с различными расширениями. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. В письме с червем нет никаких вложений. Червь отправляет только ссылку на зараженный компьютер. Ссылка имеет следующий формат: http://:/. Червь открывает на зараженном компьютере TCP-порт от 1639 и выше для скачивания файлов, а также открывает на зараженной машине TCP-порт 6667 для соединения с IRC-каналами для приема команд (бэкдор-функция).

Поскольку в "Лаборатории Касперского" практически не зафиксировано случаев обращения пользователей по поводу данного семейства вредоносных программ, уровень опасности антивирусные эксперты компании считают самым низким, никакой эпидемии, по крайней мере, сейчас нет.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 768
Рубрика: Металлургия
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

17: 01
Зитар активно развивает поставки метизной продукции под собственным брендом |
15: 01
В ЕС начато расследование против китайской оцинковки |
13: 21
На Амурметалле побывали потенциальные инвесторы |
12: 21
Усталость от повышений. Мировой рынок металлургического сырья: 1-8 декабря |
12: 21
Производители и поставщики труб обсудят итоги года, текущие тенденции и ценовую политику |
12: 01
ОВК поставит цистерны БСК |
11: 41
Индекс цен в металлоторговле вырос еще на 4,17 пункта, до отметки 531,85 |
11: 21
Цветные металлы уже не вдохновляет позитивная китайская статистика? |
11: 01
«Турецкий поток» пойдет по морскому дну в 2017 г. |
10: 41
Русгидро выбирает из алюминиевых проектов |
10: 41
Правительство стимулирует спрос на алюминий стандартами и  запретами |
10: 01
Дерипаска обвинит Черногорию в экспроприации |
10: 01
Освоение новых месторождений угля будет ограничено |
09: 41
Вольфрамовый концентрат надеется на вмешательство властей КНР |
09: 41
В ноябре ж/д завоз стальной продукции металлоторговле снова начал сокращаться |
09: 01
Rio Tinto пытается договориться с китайцами об условиях транзитных поставок меди с Oyu Tolgoi |
09: 01
В Credit Suisse ожидают снижения цен на медь в 2018-2019 годах |
08: 41
В Перу ужесточают условия для работы медного проекта Las Bambas |
08: 01
Подан еще один иск о банкротстве РЭМЗа |
08: 01
Экспорт олова из Индонезии упал на четверть |
08: 01
У Alcoa форс-мажор с поставками алюминия с австралийского завода |
08: 01
Индия может скоро стать вторым по величине производителем стали в мире |
08: 01
Цены на импортируемый в Турцию черный лом стабильны |
08: 01
Stelco готова к возрождению |
08: 01
Nucor покупает Southland Tube |
08: 01
JSW Steel   настроена на покупку Ilva |
08: 01
Voestalpine инвестирует €40 млн в аэрокосмическую отрасль |
08: 01
Китайский импорт железной руды в ноябре показал еще один рекорд     |
08: 01
Китай снизил экспорт стали в ноябре к прошлому году |
08: 01
В Татарстане появится СМЦ "Алабуга" |
08: 01
SSAB начал прием заявок на Swedish Steel Prize |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Октябрь 2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31