Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Металлургия > "Тефлоновый" вирус неуязвим для антивирусов?

"Тефлоновый" вирус неуязвим для антивирусов?

Четверг, 18 ноября 2004 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

В Сети появилось новое семейство вирусов, обладающее повышенной устойчивостью к традиционным антивирусным программам и способное без труда проникать сквозь все существующие барьеры.
Как сообщила компания Cearswift, специализирующаяся на обеспечении компьютерной безопасности, новый вирус является "дальним родственником" вируса MyDoom и использует уязвимость "переполнение буфера" браузера Internet Explorer компании Microsoft. Для своего распространения вирус реализует принципиально новую, скользкую, подобно тефлону, стратегию, значительно затрудняющую его обнаружение и борьбу с ним.

В отличие от обычных вирусов, Bofra не содержит в себе ничего "криминального" — например, вложений или какого-либо вредоносного скрипта, написанного на HTML. Единственное, что имеется в вирусе – это ссылка, ведущая на инфицированную машину, на которой вирус уже инсталлировал небольшой веб-сервер. При переходе по ссылке на машину пользователя загружается собственно вредоносная программа. Затем она рассылает аналогичные сообщения по адресам, обнаруженным на машине. Пользователям, в частности, предлагается посетить порносайт с веб-камерами, либо он получает сообщение, "подтверждающее" покупку им кредитной карты. По мнению специалистов Clearswift, подобная технология, заключающаяся в создании многочисленных веб-серверов, обеспечивает чрезвычайно быстрое распространение вируса и крайне осложняет борьбу с ним.

"Раньше авторы вирусов указывали в рассылаемых пользователям Сети письмах ссылки, ведущие на находящиеся под их управлением сервера, однако они имели статический IP-адрес, — указывается в сообщении Clearswift, — и их было сравнительно нетрудно блокировать. Теперь злоумышленникам удалось обойти проблему. В новом черве используются динамические адреса, что чрезвычайно осложняет борьбу с ними".

"Лаборатория Касперского" обнаружила данного червя еще 9 ноября этого года, рассказали CNews.ru в информационной службе компании. Изначально он был назван I-Worm.Mydoom.ad, чуть позже появилась его модификация Mydoom.ae. Однако затем было принято решение переименовать данное семейство в антивирусных базах "Лаборатории Касперского" на I-Worm.Bofra.gen (это общее название семейства, конкретным модификациям присваиваются буквы в алфавитном порядке). Таким образом, I-Worm.Mydoom.ad был переименован в I-Worm.Bofra.b, I-Worm.Mydoom.ae — в I-Worm.Bofra.a. "Первоначально было решено продолжить семейство червей Mydoom, т.к. новые вредоносные программы использовали исходные коды данного червя, однако затем большинство вирусных аналитиков пришло к мнению, что это новое семейство, и мы согласились с этим мнением", — говорит Ольга Кобзарева, и.о. руководителя информационной службы "Лаборатории Касперского".

На данный момент существует уже четыре модификации червя Bofra — a, b, c, d, рассказала г-жа Кобзарева. От исходного варианта I-Worm.Bofra.a они отличаются лишь процедурой регистрации зараженного файла в ключе автозагрузки системного реестра, основной же функционал идентичен во всех четырех вариантах червя. Это вирус-червь, распространяющийся через интернет в виде зараженных писем без вложения, содержащих ссылку на зараженный компьютер. Червь использует недавно обнаруженную и еще не закрытую (Microsoft еще не выпустил соответствующего обновления, оно существует только в Service Pack 2 для ХР, остальные версии или ХР без второго сервис-пака уязвимы) уязвимость в интернет-браузере Internet Explorer. Червь не помещает свою копию в зараженное письмо, а помещает только ссылку на зараженный файл, находящийся на компьютере, с которого пришло это письмо. В момент обращения к полученной ссылке (происходит автоматически в случае срабатывания эксплойта приведенной выше уязвимости) происходит переполнение буфера и автоматический запуск зараженного файла. Письма рассылаются по всем найденным на зараженном компьютере адресам электронной почты. Пример распространения червя — обращение для загрузки своих новых вариантов на уже зараженные машины к ссылке, располагавшейся на сайте http://kjh0.narod.ru/. "Лаборатория Касперского", находясь в хороших отношениях с администрацией хостинга крупного бесплатного российского хостинга narod.ru (принадлежит компании "Яндекс"), обратилась к ним с просьбой как можно скорее закрыть данный сайт, что и было сделано в кратчайшие сроки.

После запуска червь копирует себя с произвольным именем (любой набор символов, который всегда заканчивается на "32.exe"), в системный каталог Windows. Затем регистрирует данный файл в ключе автозагрузки системного реестра. Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах с различными расширениями. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. В письме с червем нет никаких вложений. Червь отправляет только ссылку на зараженный компьютер. Ссылка имеет следующий формат: http://:/. Червь открывает на зараженном компьютере TCP-порт от 1639 и выше для скачивания файлов, а также открывает на зараженной машине TCP-порт 6667 для соединения с IRC-каналами для приема команд (бэкдор-функция).

Поскольку в "Лаборатории Касперского" практически не зафиксировано случаев обращения пользователей по поводу данного семейства вредоносных программ, уровень опасности антивирусные эксперты компании считают самым низким, никакой эпидемии, по крайней мере, сейчас нет.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 800
Рубрика: Металлургия
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 20
На Уфалейникеле открыто конкурсное производство |
18: 20
ФРП одобрил заем "Калашникову" на разработку новых видов гражданского стрелкового оружия |
18: 00
С 1 ноября на метизном рынке изменятся цены на продукцию |
17: 20
Группа НЛМК выплатит дивиденды за III квартал 2017 г. |
16: 40
Трансмашхолдинг продемонстрировал построение эффективной производственной системы |
16: 40
Дан старт проектированию инновационного судна «Пионер-М» |
16: 20
НЗМК сдал объект склада ГСМ на базе металлоконструкций |
15: 40
В Москве запустили двухэтажный «Аэроэкспресс» |
14: 40
В Московской области установили 6 км металлических отбойников |
14: 00
Прежние владельцы Essar Steel хотят вернуть себе компанию с помощью российского капитала |
14: 00
Главгосстройнадзор выдал заключение о соответствии производственному комплексу Компании Металл Профиль в Лобне |
13: 40
КамАЗ начнет поставку коленвалов для Volkswagen в 2018 г. |
12: 40
Доля продаж иномарок российской сборки превысила 60% |
12: 20
Унылая пора. Мировой рынок металлургического сырья: 19-26 октября |
12: 00
Потребление алюминия в Китае будет расти быстрее чем ВВП |
11: 40
Перевозки ФГК на Юго-Восточной железной дороге выросли на 53% |
11: 20
Операционные результаты транспортной компании «Восток1520» за 9 месяцев 2017 г. |
11: 00
Северсталь объявляет о продаже предприятия «Днепрометиз» |
10: 40
Иранской компании могут не разрешить купить электродуговую печь в Корее |
10: 40
ТМК высоко оценила преимущества использования ГБЖ Металлоинвеста |
10: 20
Работницы ММК стали фотомоделями фирменного календаря |
09: 40
На ЧМК определили самых метких стрелков |
09: 20
ОВК: производство вагонов за 9 месяцев выросло на 24% |
09: 20
Работники Стойленского ГОКа удостоены высоких наград |
09: 00
Индия ввела антидемпинговые пошлины на нержавеющую сталь |
08: 00
За 9 месяцев 2017 г. объём перевозок судами Северо-Западного пароходства составил 4,2 млн т |
08: 00
На Алтай-Коксе определили лучшего слесаря-ремонтника |
07: 00
Вертолеты России поставили государственному заказчику три Ми-8АМТШ |
07: 00
Крафт групп наращивает поставки в магазины сети DIY «Leroy Merlin» |
07: 00
На мировом рынке никеля сохранится дефицит |
07: 00
Магнитогорские мехатроники помогли сборной России завоевать первое место |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003