Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Металлургия > "Тефлоновый" вирус неуязвим для антивирусов?

"Тефлоновый" вирус неуязвим для антивирусов?

Четверг, 18 ноября 2004 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

В Сети появилось новое семейство вирусов, обладающее повышенной устойчивостью к традиционным антивирусным программам и способное без труда проникать сквозь все существующие барьеры.
Как сообщила компания Cearswift, специализирующаяся на обеспечении компьютерной безопасности, новый вирус является "дальним родственником" вируса MyDoom и использует уязвимость "переполнение буфера" браузера Internet Explorer компании Microsoft. Для своего распространения вирус реализует принципиально новую, скользкую, подобно тефлону, стратегию, значительно затрудняющую его обнаружение и борьбу с ним.

В отличие от обычных вирусов, Bofra не содержит в себе ничего "криминального" — например, вложений или какого-либо вредоносного скрипта, написанного на HTML. Единственное, что имеется в вирусе – это ссылка, ведущая на инфицированную машину, на которой вирус уже инсталлировал небольшой веб-сервер. При переходе по ссылке на машину пользователя загружается собственно вредоносная программа. Затем она рассылает аналогичные сообщения по адресам, обнаруженным на машине. Пользователям, в частности, предлагается посетить порносайт с веб-камерами, либо он получает сообщение, "подтверждающее" покупку им кредитной карты. По мнению специалистов Clearswift, подобная технология, заключающаяся в создании многочисленных веб-серверов, обеспечивает чрезвычайно быстрое распространение вируса и крайне осложняет борьбу с ним.

"Раньше авторы вирусов указывали в рассылаемых пользователям Сети письмах ссылки, ведущие на находящиеся под их управлением сервера, однако они имели статический IP-адрес, — указывается в сообщении Clearswift, — и их было сравнительно нетрудно блокировать. Теперь злоумышленникам удалось обойти проблему. В новом черве используются динамические адреса, что чрезвычайно осложняет борьбу с ними".

"Лаборатория Касперского" обнаружила данного червя еще 9 ноября этого года, рассказали CNews.ru в информационной службе компании. Изначально он был назван I-Worm.Mydoom.ad, чуть позже появилась его модификация Mydoom.ae. Однако затем было принято решение переименовать данное семейство в антивирусных базах "Лаборатории Касперского" на I-Worm.Bofra.gen (это общее название семейства, конкретным модификациям присваиваются буквы в алфавитном порядке). Таким образом, I-Worm.Mydoom.ad был переименован в I-Worm.Bofra.b, I-Worm.Mydoom.ae — в I-Worm.Bofra.a. "Первоначально было решено продолжить семейство червей Mydoom, т.к. новые вредоносные программы использовали исходные коды данного червя, однако затем большинство вирусных аналитиков пришло к мнению, что это новое семейство, и мы согласились с этим мнением", — говорит Ольга Кобзарева, и.о. руководителя информационной службы "Лаборатории Касперского".

На данный момент существует уже четыре модификации червя Bofra — a, b, c, d, рассказала г-жа Кобзарева. От исходного варианта I-Worm.Bofra.a они отличаются лишь процедурой регистрации зараженного файла в ключе автозагрузки системного реестра, основной же функционал идентичен во всех четырех вариантах червя. Это вирус-червь, распространяющийся через интернет в виде зараженных писем без вложения, содержащих ссылку на зараженный компьютер. Червь использует недавно обнаруженную и еще не закрытую (Microsoft еще не выпустил соответствующего обновления, оно существует только в Service Pack 2 для ХР, остальные версии или ХР без второго сервис-пака уязвимы) уязвимость в интернет-браузере Internet Explorer. Червь не помещает свою копию в зараженное письмо, а помещает только ссылку на зараженный файл, находящийся на компьютере, с которого пришло это письмо. В момент обращения к полученной ссылке (происходит автоматически в случае срабатывания эксплойта приведенной выше уязвимости) происходит переполнение буфера и автоматический запуск зараженного файла. Письма рассылаются по всем найденным на зараженном компьютере адресам электронной почты. Пример распространения червя — обращение для загрузки своих новых вариантов на уже зараженные машины к ссылке, располагавшейся на сайте http://kjh0.narod.ru/. "Лаборатория Касперского", находясь в хороших отношениях с администрацией хостинга крупного бесплатного российского хостинга narod.ru (принадлежит компании "Яндекс"), обратилась к ним с просьбой как можно скорее закрыть данный сайт, что и было сделано в кратчайшие сроки.

После запуска червь копирует себя с произвольным именем (любой набор символов, который всегда заканчивается на "32.exe"), в системный каталог Windows. Затем регистрирует данный файл в ключе автозагрузки системного реестра. Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах с различными расширениями. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. В письме с червем нет никаких вложений. Червь отправляет только ссылку на зараженный компьютер. Ссылка имеет следующий формат: http://:/. Червь открывает на зараженном компьютере TCP-порт от 1639 и выше для скачивания файлов, а также открывает на зараженной машине TCP-порт 6667 для соединения с IRC-каналами для приема команд (бэкдор-функция).

Поскольку в "Лаборатории Касперского" практически не зафиксировано случаев обращения пользователей по поводу данного семейства вредоносных программ, уровень опасности антивирусные эксперты компании считают самым низким, никакой эпидемии, по крайней мере, сейчас нет.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 772
Рубрика: Металлургия
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

17: 40
«Лисма прекратила выпуск ртутных ламп |
17: 20
Лермонтовский ГОК не получил обещанных субсидий |
17: 20
Лисма прекратила выпуск ртутных ламп |
16: 40
Сбербанк выдал Nordgold кредит для погашения долгов перед собой |
16: 40
Владимир Маркин удостоен звания «Почетный металлург» |
16: 20
ПСЗ «Янтарь» заложил новый корабль |
15: 00
Алнас подтвердил соответствие международному стандарту |
14: 40
Газпром заинтересован в дальнейшем развитии сотрудничества с предприятиями Якутии |
14: 40
Алнас подтвердил соответствие международному стандарту автомобильной промышленности |
14: 40
Северсталь вошла в десятку лучших горнодобывающих компаний России по влиянию на экологию |
13: 40
Вьетнам ввел временные пошлины на китайскую балку |
13: 20
ПЛМЗ возобновил производство |
13: 20
Мечел-Cервис поставил прокат на строительство двух тоннелей в Самаре |
13: 00
На Верхневолжском СМЦ запущено новое оборудование |
13: 00
Осторожно, возможно мошенничество! |
12: 40
Рынок почувствовал слабину. Мировой рынок металлургического сырья: 16-23 марта |
12: 20
Новатэк заинтересован в металлоконструкциях Тюменской области |
12: 00
Рельсы Евраза успешно проходят испытания |
11: 40
Норникель меняет способ избавления от цинка |
11: 20
Монтаж металлоконструкций на стадионе в Нижнем Новгороде почти завершен |
11: 20
ЯМЗ начал выпуск новых двигателей |
11: 00
Изоляционный трубный завод рассчитывает на урегулирование дела о банкротстве предприятия в досудебном порядке |
10: 20
Nord Gold взял кредит на $325 млн |
10: 00
Британская Liberty House может стать совладельцем метзавода в Италии |
10: 00
ОСК и ZPMC подписали соглашение о сотрудничестве |
09: 20
Индекс цен в металлоторговле снизился на 0,45 пункта, до отметки 537,7 |
09: 20
Течи Рус расширяет производственные площади в Череповце |
08: 40
Забастовке работников квебекского предприятия CEZinc не видно конца? |
08: 20
Вьетнам обложит пошлиной импорт китайского двутавра |
08: 20
Тайваньская E-United Group хочет построить завод в США |
08: 20
Группа "ЧТПЗ" привлекла 5 млрд рублей под 9,7% годовых |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003