ŚWIAT WIRUSÓW
Nowy klon Czernobyla, nowe kłopoty
W najbliższym czasie mogą pojawić się nowe klony wirusa Czernobyl. Jest to spowodowane udostępnieniem kodu żródłowego wirusa Czernobyl w sieci Internet. Zawiera on procedury niszczące dane na twardych dyskach oraz kasujące Flash BIOS. Oznacza to, że każdy haker komputerowy może teraz napisać własną wersję wirusa Czernobyl. Nietrzeba nikomu przypominać o zniszczeniach spowodwanych przez poprzednią wersję.
Nowy klon wirusa Czernobyl zwany Emperor zawiera te same procedury niszczące i dużo większą siłę rozprzestrzeniania się na inne komputery niż jego poprzednicy. Jest to bardzo niebezpieczny polimorficzny wirus o rozmiarze ok. 6000 bajtów. Infekuje wszystkie pliki DOS - typu COM i EXE, nadpisuje Master Boot Record twardych dysków i dyskietek. Wirus posiada rozbudowane procedury zapobiegające śledzeniu i wykrywaniu go przez debugery oraz wiele innych popularnych systemów antywirusowych.
Najbardziej niepokojącą rzeczą jaką wyróżnia się ta nowa odmiana jest ta sama siła destrukcyjna charakteryzująca wirusa Czernobyl oraz to że jest to pierwszy znany wirus napisany na podstawie kodu żródłowego wirusa Czernobyl. Na szczęście wirus zawiera szereg błedów m.in. w części kodu odpowiedzialnej za rozprzestrzenianie.
Następne wersje oparte na wirusie Czernobyl mogą być
jeszcze bardziej niebezpieczne, mogą niezawierać już
tylu błędów. A wtedy ...
Aby zapobiec prawdopodobnym stratom materialnym zaleca się
przestawić zworki na płycie w pozycję non-write Flash
BIOS.
10 linii które zatrzęsły światem !!!
Wirusy komputerowe napisane przy użyciu
języka skryptów Windows.
Czy staną się prawdziwą zmorą użytkowników
Internetu?
Ostatni tydzień października 1998 przyniósł niespodziankę gdy eksperci w Kaspersky Lab zidentyfikowali nowego wirusa komputerowego, który działa na wcześniej nieznanych zasadach.
Wirus infekuje na dysku pliki skryptów Windows i zamazuje je swoim kodem. Bardziej niebezpieczny jest fakt, że wirus może rozmnażać się przez Internet ponieważ nowoczesne przeglądarki będą uruchamiać zainfekowane skrypty na lokalnym komputerze, nawet wówczas gdy są ulokowane w zdalnym serwerze Web.
Idea podobnych wirusów została użyta wcześniej w kilku wirusach UNIX. W późnych latach 80-ych wirusy napisane w odmianach języka skryptów UNIX stały się rzeczywistą katastrofą dla globalnej sieci komputerowej tamtych czasów. Większość z tych "robaków-wirusów" była "Christmas Tree", HI.COM i "Wank Worm". Jest możliwe, że nowe wirusy, napisane jako skrypty Windows, otworzą nową erę wirusów-robaków sieci komputerowych.
Wykryty wirus jest pierwszym znanym wirusem atakuj±cym
skrypty Windows. Jest ekstremalnie prosty, bo złożony z
ponad 10 komend. Jest bardzo możliwe, że jest to
rezultat pracy autora wirusów, który należy do
szerokiego grona znanej grupy hakerów "CodeBreakers".
Wirus zawiera kilka drobnych błędów, które
natychmiast ukazują działanie wirusa w systemie. Kiedy
przeglądarka uruchomi wirusa ze zdalnego serwera Web,
wirus infekuje wszystkie pliki w pamięci podręcznej
przeglądarki i kopiuje na pulpit komputera. Gdy to nastąpi
Pulpit komputera zostaje zapełniony ikonami
zainfekowanych skryptów. Wirus rozmnaża się jak królik,
co tłumaczy podstawę jego nazwy:
WinScript.Rabbit.
Pomimo tych błędów i prostoty kodu, wirus
reprezentuje potencjalną groźbę dla użytkowników
Internetu. Wirus jest w stanie rozmnażać się, bazując
na możliwościach nowoczesnych sieci globalnych.
Jest możliwe, że skrypt wirusa Rabbit jest zwiastunem
mogącym stanowić bazę dla nowych wirusów stosujących
taką samą ideę rozmnażania.
W przyszłości, jest możliwe pojawienie się całej
nowej serii podobnych wirusów, które będą atakować
nie tylko pliki skryptów ale także pliki innych systemów
operacyjnych otwieranych przez Windows innych serwerów
Web.
Wirus działa pod wszystkimi wersjami Windows 32. W Microsoft Scripting Host jest zainstalowany. Obsługa skryptów jest standardowa w Windows 98 i NT 5.0. Przetwarzanie skryptów jest także możliwe w innych wersjach Windows i Windows NT jeśli specjalne uaktualnienie jest zainstalowane.
Dla zabezpieczenia przed wirusami skryptów, Kaspersky
Lab zaleca wszystkim użytkownikom Windows 95/98/NT
zainstalowanie zabezpieczeń wbudowanych w przeglądarki.
To zabezpieczenie jest łączone na różne sposoby, w różnych
typach przeglądarek, np:
- Internet Explorer Windows 98:
View/Folder Options/File Types/VBScript File/Edit/Confirm open after download
Netscape - nie ma standardowej opcji dla otwierania plików skryptów. Skrypty są otwierane jak pliki tekstowe i nie mogą rozmnażać się.
Wykrywanie i usuwanie obecnie znanych wirusów skryptów zastało załączone w ostatniej aktualizacji UP981031 dla AntiViral Toolkit Pro. Ukazanie się specjalnej wersji AVP Inspector dla Web Serwerów wykrywającego wszystkie zmiany zachodzące w stronach Web serwera jest planowane najbliższej przyszłości.
Kompleksowe zabezpieczenie antywirusowe dla Microsoft Office 2000!
AVP for Office 2000 jest tzw. "wtyczką" pracująca w tle, która filtruje wszystkie dokumenty Worda, Excela, Accessa i PowerPointa, które są aktualnie otwarte. W systuacji gdy zostanie wykryty wirus na ekranie pojawi się wiadomość ostrzegawcza, z zapytaniem usunięca wirusa.
Metoda wykrywania wirusów "w locie" jest bardzo użyteczna, ze względu na to że unika się w ten sposób "ręcznego" (tzn. sprawdzania konwencjonalnym programem antywirusowym) sprawdzania dokumentów znajdujących się na dysku. Program wymaga mniej zasobów systemowych niż inne konwencjonalne antywirusy.
Produkt będzie szczególnie przydatny osobom, które nie mają zainstalowanego AVP na swoim komputerze. AVP for Office 2000 bardzo dobrze współpracuje z innymi pakietami antywirusowymi, dlatego może być zastosowany jako rozszerzenie ochrony antywirusowej.
Nowa wirus, nowa plaga !!!
Na świecie panuje plaga nowego typu
wirusów. Okaz nazwany CIH atakuje system podczas jego
startu uniemożliwiając użytkownikowi dostęp do danych
zgromadzonych na dyskach stałych komputerów. Może także
atakować i próbować zamazywać dane znajdujące się
we Flash BIOS-ie komputera. W przypadku sukcesu takiego
ataku start komputera staje się niemożliwy.
To jest pierwszy wirus z tak silnym destrukcyjnym działaniem
!
Pierwsze doniesienia o wykryciu wirusa pochodzą z Tajwanu. Na początku czerwca br. Kaspersky Lab otrzymał próbkę od użytkowników z Rosji 6 czerwca i już 7 czerwca udostępnił użytkownikom AVP aktualizację wykrywającego.
Wirus został wykryty w Australii kilka minut po opublikowaniu aktualizacji, a później już codziennie napływały doniesienia z Europy, Ameryki, południowo-wschodniej Azji, i Rosji. Infekcje w niektórych firmach liczono w tysiącach.
Eugene Kaspersky,szef firmy antywirusowej Kaspersky Lab, powiedział: “epidemia wirusów The Microsoft Word Macro w 1995 zmusiła producentów oprogramowania antywirusowego do przebudowania silników oprogramowania w celu zwalczania nowych zagrożeń". Kilka tygodni zajęło szukanie rozwiązania i teraz zdarzyło się to ponownie.
Wirus CIH był na wolności przez miesiąc i obecnie można spotkać kilka jego wariantów, ale bardzo niewiele firm antywirusowych jest w stanie zaimplementować detekcję i leczenie CIH. "Udostępniliśmy aktualizację wykrywającą i leczącą CIH-a dla licencjonowanych użytkowników AVP na całym świecie w kilka godzin po otrzymaniu próbki wirusa oraz wydaliśmy publiczną wersję uaktualnienia AVP w czasie krótszym niż 24 godziny. Obecnie AVP wykrywa wirusa CIH, a w odróżnieniu od innych firm wykrywa i leczy wszystkie znane jego warianty.
Informacje o wirusie:
- CIH jest wirusem specyficznym dla plików wykonywalnych PE (Portable Executable) Windows 95 o długości około 1 Kb
- Wirus instaluje się w pamięci Windows,
przejmuje odwołania dostępu do pliku i infekuje otwierane pliki EXE.
Zależnie od daty systemowej wirus uruchamia swoją procedurę destrukcyjną Autor wirusa nie ustrzegł się błędów co w kilku przypadkach objawia się zawieszeniem komputera podczas uruchamiania zainfekowanej aplikacji. - Procedura destrukcyjna wirusa działa na portach
Flash BIOS i próbuje zamazać „śmieciami”
pamięć Flash. To jest możliwe tylko jeśli płyta
główna i chipset pozwalają na zapis do pamięci
Flash. Zwykle zapis pamięci Flash może być
zablokowany przez przełącznik DIP. Jednak zależy
to od projektu płyty głównej. Niestety kilka
nowoczesnych płyt głównych nie może być
zabezpieczonych w ten sposób - przełącznik DIP
nie działa.
W innych, sprzętowe zabezpieczenie przed zapisem może być odblokowane i zmieniane przez program. Następnie procedura destrukcyjna zamazuje dane na wszystkich twardych dyskach. Wirus używa bezpośrednich odwołań zapisu na dysk i pomija standardowe zabezpieczenia antywirusowe BIOS podczas zamazywania MBR i boot sektorów.
Znanych jest kilka odmian wirusa. Są one podobne i różnią
się zaledwie małymi fragmentami kodu. Posiadają różną
długość, różny tekst wewnątrz wirusa, i datę
destrukcji:
| Wielkość | Tekst | Data destrukcji | Występowanie na wolności |
| 1003 | CCIH 1.2 TTIT | 26 kwiecień | TAK |
| 1010 | CCIH 1.3 TTIT | 26 kwiecień | NIE |
| 1019 | CCIH 1.4 TATUNG | 26 dzień każdego miesiąca | TAK-wiele raportów |
| 1024 | (TNN Version) | - | - |
| 1026 | - | - | - |
| 1035 | - | - | - |
Podczas infekcji pliku wirus szuka "dziury"
w kodzie pliku. Taka dziura jest rezultatem struktury
plików PE, gdzie wszystkie sekcje pliku są
rozmieszczone według opisu zawartego w nagłówku pliku
PE, pozostawiając nie używane fragmenty pliku pomiędzy
sekcjami.
Następnie zwiększa rozmiar sekcji o niezbędną wartość.
W rezultacie wielkość pliku nie wzrasta po infekcji. Jeśli
jest dziura wystarczającej wielkości wirus zapisuje swój
kod do jednej sekcji. Jeśli nie, wirus dzieli kod na
kilka części i zapisuje te części na koniec kilku
sekcji. W rezultacie kod wirusa może znajdować się w
jednym miejscu lub może być podzielony wewnątrz pliku
na części.
Wirus szuka także dziur w nagłówku plików PE. Jeśli
nie używany blok jest nie mniejszy niż 184 bajtów
wirus zapisuje tam procedurę startową. Zmienia adres
wejścia w nagłówku PE na wartość wskazującą
procedurę wejścia umieszczoną w nagłówku. Pomimo
tego zainfekowane programy mogą działać bez problemów.
Windows ignoruje takie "niebezpieczne" pliki.
Ładuje sekcje programu i nagłówek pliku do pamięci, a
następnie przekazuje sterowanie do procedury startowej
wirusa w nagłówku PE.
Kiedy procedura ładująca wirusa przejmuje kontrolę to alokuje blok pamięci przy użyciu PageAllocate VMM i kopiuje swój kod w to miejsce. Znalezione pozostałe bloki kodu wirusa kopiuje do zaalokowanego bloku pamięci. Wirus przejmuje systemowe IFS API i zwraca kontrolę do programu - nosiciela.
Najciekawszą rzeczą w kodzie wirusa jestto, że
wirus używa całkiem skomplikowanej sztuczki do skoku z
Ring3 do Ring0. Gdy wirus skacze do nowo zaalokowanej
pamięci jego kod jest wykonywany jako procedura Ring0,
wtedy jest on w stanie przejąć systemowe odwołania do
pliku.
Melissa i jej tata - mutacji ciąg dalszy
Kaspersky Lab ostrzega przed mozliwością infekcji nową odmianą wirsa "Melissa". Macro-virus Macro.Excel97.Papa, został wykryty przez ekspertów z Kaspersky Lab na początku bieżącego tygodnia. Wirus ten posiada kod oparty na kodzie wirusa "Melissa". Prawdopodobnie autorem tego wirusa jest ta sama osoba, która napisała poprzednie jego odmiany.
Cechą charakterystyczną jest możliwość działana wewnątrz szablonów Excela. Jakkolwiek Papa nie ma mozliwości zarażania innych plików Excela . Używając programu Outlook Express program próbuje rozesłać swoje kopie do innych użytkowników, podobnie jak czyniła to wersja pierwotna tego wirusa - "Melissa". Ze względu na sposób powielania należałoby go raczej zakwalifikować do grupy "robaków" (eng worm) niż do grona wirusów.
Wiadomość z kodem wirusa rozsyłana jest do pierwszych 60 osób, które wirus pobiera z książki adresowej Outlook-a.
Fatalny ZIP - nowy worm
Wraz z dynamicznym rozwojem internetu pojawiła się moda na robaki internetowe rozprzestrzeniające się za pomoca tego medium - najlepszym dowodem tego jest kolejne wykrycie w przeciągu tygodnia nowego niebezpiecznego robaka o nazwie - I-Worm.ZippedFiles.
Podobnie jak inne tego typu złośliwe programy rozprzestrzenia się rozsyłając zarażone listy przy użyciu programu Outlook Express. Wiadomości zawierają nastepujący załącznik:(ZIPPED_FILES.EXE) oraz taki tekst:
- Hi [recipient name]!
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
bye[or sincerely[sender name]]
W przypadku uruchomienia pliku z wormem na ekranie pojawia się komunikat o wystąpieniu błędu.
Worm umieszcza zainfekowane pliki w katalogu Windows. Jego obecność jest dosyć latwa do wykrycia, gdyż widać jego proces w Menedzeże zadań (po naciśnięciu Ctrl-Alt-Del).
Po uruchomieniu wirus dodatkowo przeszukuej lokalne dyski i usuwa z nich pliki (usuwa ich zawartość - pliki mają 0 długość) z następującymi rozszerzeniami: DOC, XLS, PPT, ASM, C, H, CPP
