Пятница, 2024-03-29, 5:18 PM
//port-denis.ucoz.ru/
Приветствую Вас Гость | RSS
Главная страница Какие вирусы бывают!!! - Форум Регистрация Вход
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Auburn_Xaker  
Форум » Разные Темы » Вирусы » Какие вирусы бывают!!!
Какие вирусы бывают!!!
port-denisDate: Пятница, 2006-05-05, 12:08 PM | Message # 1
Admin
Group: Администраторы
Posts: 356
Reputation: 1
Status: Офлайн
DEN

Администратор
 
port-denisDate: Пятница, 2006-05-05, 10:18 PM | Message # 2
Admin
Group: Администраторы
Posts: 356
Reputation: 1
Status: Офлайн
Новый троян, предназначенный для воровства паролей игроков World of Warcraft, был обнаружен вчера в Сети, индийская антивирусная фирма MicroWorld назвала его PWS.Win32.WOW.x.

Предполагается, что конечной целью взлома аккаунтов WoW будут все-таки деньги - похищенные у игроков предметы будут продавать на черном рынке. "Win32.WOW хорошо показывает, что вирусописателей интересует все, что может принести деньги. В WoW суммы могут быть меньшими по сравнению, скажем, с кражей паролей от банковских аккаунтов, но в данном случае взломщики берут числом и достаточной простотой кражи", - говорит представитель MicroWorld. Сейчас троян распространяется через почту, пиринговые сети, игровые сайты.


Администратор
 
port-denisDate: Пятница, 2006-05-05, 10:18 PM | Message # 3
Admin
Group: Администраторы
Posts: 356
Reputation: 1
Status: Офлайн
Опубликована очередная двадцатка самых распространенных вирусов по версии "Лаборатории Касперского".

Произошедшая в апреле смена лидеров рейтинга, – обычное явление для данной статистики. Большое количество разнообразных вирусов и короткий срок их «жизни» приводит к непрерывной постоянная ротации в рамках «двадцатке», да и лидеры этого рейтинга выражены не так явно, как в случае почтового - Trojan-Downloader.Win32.Delf.alf всего на 3% превышает по своим показателям обладателя последнего, 20-го, места.

Второй месяц подряд в качестве основной угрозы для компьютеров пользователей всего мира остается троянец LdPinch разных модификаций. Эксперты на протяжении уже нескольких лет наблюдают его эволюцию от примитивного похитителя паролей до многофункционального бота. Большое количество его вариантов, равно как и частота появления новых, обусловлены тем, что создающая его группировка вирусописателей, наладила целый криминальный бизнес по выпуску новых версий LdPinch по заказу любого желающего. Толпы script-kiddies, неспособные самостоятельно написать и двух строчек кода, с радостью ухватились за возможность обладания собственным, «эксклюзивным» троянцем.

Второе место LdPinch.akv напрямую связано с лидером рейтинга Trojan-Downloader.Win32.Delf.alf. Именно Delf.alf был массово разослан по электронной почте и затем, попадая в компьютер пользователя, загружал из сети LdPinch.akv.

Trojan-Downloader.Win32.Delf.alf
Trojan-PSW.Win32.LdPinch.akv
Trojan-Spy.Win32.Banker.ark
Trojan-Downloader.Win32.Small.axy
Trojan-Downloader.Win32.Agent.xz
Trojan-Spy.Win32.Banker.anv
Trojan-Downloader.Win32.Delf.ake
Email-Worm.Win32.Rays
Trojan-Spy.Win32.Bancos.ha
New! Packed.Win32.Tibs
Trojan.Win32.Agent.qt
Virus.VBS.Redlof.a
Virus.Win32.Hidrag.a
Porn-Dialer.Win32.PluginAccess.gen
Trojan-Downloader.Win32.Harnig.bh
PSWTool.Win32.RAS.a
Trojan-Downloader.Win32.Harnig.bg
Exploit.HTML.CodeBaseExec
Monitor.Win32.Perflogger.ad
Backdoor.Win32.Rbot.gen


Администратор
 
port-denisDate: Пятница, 2006-05-05, 10:19 PM | Message # 4
Admin
Group: Администраторы
Posts: 356
Reputation: 1
Status: Офлайн
Так называемые «условно опасные» программы стали «яблоком раздора» для антивирусных компаний и разработчиков ПО. Последние недовольны, когда их продукция детектируется как riskware или вирус. В крайних случаях оппонентам приходится отстаивать свои интересы в суде. Однако, как показывает практика, ни одно из действующих законодательств пока не в состоянии разрешить этот нелегкий спор.

Условно (или потенциально) опасные программы (riskware) являются головной болью для антивирусных компаний, считает генеральный директор «Лаборатории Касперского» Наталья Касперская. Это программы, которые не классифицируятся как вирусы, но могут, тем не менее, нанести ущерб пользователю. Сами по себе они не являются вредоносными и не содержат в себе деструктивный код. При этом в «Лаборатории Касперского» предлагают различать три категории подобных программ: Adware, Pornware и собственно Riskware.

Adware (рекламное ПО) объединяет программы показа рекламы на компьютерах пользователей. Нередко они входят в состав официально поставляемых продуктов, производители которого предоставляют условно бесплатные версии своего ПО. Такие программы, как известно, просматривают cookies и линки пользователя и в результате досаждают ему рекламой, контент которой, по их мнению, соответствует его вкусам и предпочтениям. В отдельных случаях Adware попадает на компьютер в результате несанкционированной установки ПО (заражение троянцем) или приходит по почте. Нередко антивирусные вендоры детектирует эти программы как шпионские

Особую категорию составляет Pornware, попадающее на машину через Porno-dialers – программы, дающие доступ к платным порноресурсам с использованием коммутируемого соединения, либо путем загрузки порнографии с соответствующих интернет-сайтов.

По словам Натальи Касперской, львиная доля потенциально опасных программ приходится на третью категорию – riskware-программное обеспечение, которое при некоторых условиях может стать рискованным для пользователя (FTP, IRC, MIrc, proxy, утилиты удаленного администрирования). В ряде случаев подобные программы попадают в руки хакеров, что позволяет им эффективно ими пользоваться в своих целях и заниматься рассылкой троянов.

«Главная проблема заключается в том, что разработчик программы и антивирусная компания разделяют принципиально разные точки зрения в данном вопросе. Антивирусная компания, как ей и полагается, детектирует вирусы, разработчик, со своей стороны, не хочет терять своих денег и не желает, чтобы его программу удаляли», - комментирует г-жа Касперская. «Каждый разработчик должен предварительно договариваться с антивирусной компаний и пытаться найти с ней понимания. Нам периодически присылают версии программ, которые мы детектируем… Также можно ввести практику выдачи антивирусным вендором специального сертификата, который удостоверяет то, что программу можно считать безопасной», - поделилась соображениями г-жа Касперская.

Вместе с тем, реальных подвижек в этом вопросе пока не наблюдается, а грань между вредоносной программой, riskware и безопасной остается размытой. «Допустим, я не явлюсь вирусописателем, а просто коллекционирую вирусы на своем компьютере. Я поставил антивирус, и эта программа снесла мне всю мою коллекцию. Является ли эта программа вредоносной или riskware?» - с иронией вопрошает Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского».


Администратор
 
port-denisDate: Пятница, 2006-05-05, 10:20 PM | Message # 5
Admin
Group: Администраторы
Posts: 356
Reputation: 1
Status: Офлайн
В феврале «двадцатка» пополнилась 12 новыми участниками, и точно такие же показатели были продемонстрированы по результатам марта. Что касается участников январского рейтинга TOP 20 Online, то до марта из них дошли считанные единицы.
На этом фоне смена лидеров выглядит вполне заурядным явлением. Однако, программы, занимающие верхние строчки, продемонстрировали такие высокие показатели, что сразу побили все достижения своих предшественников. Троянец LdPinch.air, ворующий пароли, в середине марта стал причиной довольно заметной эпидемии в Рунете. Причем массовая рассылка данной вредоносной программы проходила в несколько этапов, в ходе которых помимо него рассылался еще и Trojan-Downloader, впоследствии загружающий LdPinch.air в зараженную систему. Именно этот Trojan-Downloader.Win32.Delf.ajd и занимает второе место в статистике с очень высокими показателями (более 10%). Несомненно, этот инцидент с LdPinch является самым заметным событием марта. Уже второй месяц подряд удерживает за собой третье место еще один троянец – Banker.ark. В отличие от LdPinch, который крадет пароли, этот представитель программ-шпионов испытывает тягу к учетным данным доступа систем онлайн-банкинга.

Trojan-PSW.Win32.LdPinch.air
Trojan-Downloader.Win32.Delf.ajd
Trojan-Spy.Win32.Banker.ark
Trojan-Downloader.Win32.Small.ckj
Trojan-Downloader.Win32.Small.axy
Trojan-Spy.Win32.Banker.anv
Trojan-Spy.Win32.Bancos.ha
Email-Worm.Win32.Wukill
Porn-Dialer.Win32.PluginAccess.gen
Trojan-Downloader.Win32.Zlob.in
PSWTool.Win32.RAS.a
Virus.Win32.Parite.b
Trojan-PSW.Win32.LdPinch.ais
Trojan-Downloader.Win32.Agent.xz
Trojan-Downloader.Win32.Small.cni
Exploit.HTML.CodeBaseExec
Trojan-Downloader.Win32.IstBar.no
Worm.Win32.Feebs.gen
Backdoor.Win32.IRCBot.nw
Trojan-Dropper.Win32.Agent.aiq


Администратор
 
port-denisDate: Пятница, 2006-05-05, 10:20 PM | Message # 6
Admin
Group: Администраторы
Posts: 356
Reputation: 1
Status: Офлайн
Антивирусная компания Sana Security сообщила об обнаружении нового трояна, получившего название rootkit.hearse и распространяющегося вместе с червём Win32.Alcra и руткитом, скрывающим вредоносную деятельность от антивирусного ПО. Попав на компьютер, троян собирает пароли к сетевым ресурсам, которые посещает пользователь, и отсылает на сервер, который, по словам специалистов Sana Security, функционирует в России с 16 марта этого года. Червь состоит из двух компонентов (драйвера zopenssld.sys и библиотеки zopenssl.dll) располагающихся в директории System32. Большую часть времени троян бездействует, "просыпаясь" для связи с сервером лишь во время ввода пользователем пароля для доступа к какому-либо сетевому ресурсу. Троян способен не только перехватывать пароли в момент их ввода с клавиатуры, но и копировать их при использовании в браузере функции автозаполнения. По состоянию на начало текущей недели, лишь 5 из 24 протестированных экспертами Sana Security антивирусных пакетов сумели определить присутствие в системе подозрительной активности. К началу недели на упомянутом сервере хранилось уже около 35000 уникальных пользовательских записей, которые можно использовать для доступа к более чем 7000 веб-сайтов, среди которых есть и онлайновые банковские ресурсы. Эксперты Sana Security поставили в известность неназванного российского провайдера, занимающегося хостингом сервера, однако, насколько известно, он по-прежнему функционирует.

Администратор
 
port-denisDate: Пятница, 2006-05-05, 10:23 PM | Message # 7
Admin
Group: Администраторы
Posts: 356
Reputation: 1
Status: Офлайн
Ты наверное до сих пор думаешь, что хакеры ищут уязвимости в программных продуктах в ручную, постоянно смотря в исходный код или ручками вставляя спецсимволы в переменные скриптов? Ты глубоко ошибаешься, мой дорогой друг. Существует масса пауков сканеров и вспомогательных программ, которые позволяют по максимуму сократить время исследования. Конечно, многие из них стоят кучу денег. поэтому достать их проблематично (хотя вполне реально, те же Xspider, Nessus), другие же не обладают нужной функциональностью. Но всегда есть золотая середина. Сейчас я поведаю о очень полезных бесплатных программках которые окажут отличную помощь взломщику, а также затронем тему локального поиска уязвимостей в исходниках вебскриптов.

RPVS - во Франции также есть хакеры

Платформа: Windows
Ссылка: http://81.57.125.106/~slythers/rpvsinstall.exe

Скромную заметку о этой программе я на днях отыскал на одном элитном международном хакерском форуме. Программа однозначно из класса Must Have. Тем более, что софтина имеет как консольный, так и графический интерфейс. Полное ее название - Remote PHP Vulnerability Scanner. Этот сканер затачивался под удаленное исследование сайтов написанных на PHP. Программа способна находить такие уязвимости: XSS, SQL-Injection, уязвимости подключения файлов функциями include() и fopen() и раскрытия инсталляционного пути. Программа работает как с GET, так и POST запросами. Имеет несколько режимов работы и отличную скорость сканирования. Принцип ее работы состоит в полном собрании линков с сайта, после чего подставляют спецсимволы в переменные и проводится анализ на показанных PHP ошибках и сигнатурах. Протестировав ее на одном из небольших сайтов, я получил подробный отчет о найденных уязвимостях.

Rapport on http://test3.ru/

Number of made request: 24
vuln include: 0
vuln xss: 12
err fopen: 0
err inc: 0
err sql: 0
----------------------------------------------- -----
Vuln XSS :
/?year=2006&month=02&day=6941337<a>%22%27
/?year=6941337<a>%22%27&month=01
/?year=6941337<a>%22%27&month=02&day=05
/?year=2006&month=6941337<a>%22%27&day=05
/?year=6941337<a>%22%27&month=03
/?year=6941337<a>%22%27&month=02
/?year=6941337<a>%22%27&month=12

Vuln SQL :
/?id=6941337<a>%22%27
/?id=15&c=6941337<a>%22%27
-
Видишь, неплохой отчет. Автоматизация - отличный процесс, который неплохо экономит время и нервы. Да, кстати, в сети есть вполне компилируемые исходники этой чудо программы - http://81.57.125.106/~slythers/rpvsv1.3-src.rar.

В некоторых случаях, когда масштабное сканирование не удается произвести, работу можно полуавтомазировать с помощью такого софта как Mini-Browser (http://www.aignes.com) и Advanced HTTP Header Constructor 1.2 (http://www.ru24-team.net). Программы умеют многое и в любом случае тебе понадобятся, Mini-Browser позволяет подделывать POST/GET запросы и кукисы, а также вытаскивать все ссылки на странице. В программу встроен браузер (на движке ИЕ), что делает работу еще удобнее. Ну а эстеты могут посмотреть на других вкладках исходник или лог Клиент-Сервер. Advanced HTTP Header Constructor работает с HTTP-заголовками, позволяет составлять/подделывать/отсылать POST и GET заголовки, а также многое другое. Для установки нужен свежий Framework.

Acunetix Web Vulnerability Scanner 3 - Достойная замена XSpider

Платформа: Windows
Ссылка: http://www.acunetix.com/vulnera....er3.exe

Когда-то просматривая каталог линков с astalavista.box.sk я и наткнулся на эту программу. Ее описание мне пришлось по вкусу. По своим возможностям она даже превосходит XSpider. Acunetix Web Vulnerability Scanner - cканер уязвимостей вэб-сайтов, сканирует как комплексно так и профильно, то есть Cross site scripting, SQL injection, cgi-test, CRLF Injection, Directory traversal, Authentication hacking. Также в сканере присутствует очень интересный тип атаки - Google hacking на определенный сайт. Этот тип атаки использует поисковые системы для поиска уязвимостей, что очень полезно и оригинально. Сканер также отлично определяет версии веб-сервера и его модули. Плюс в него встроены различные перекодировщики и шифровальщик, HTTP снифер и средства подмены заголовков. Этот софт обязательно должен поселится в джентльменском наборе хакера. Так что не поленись, скачай и зацени! Плохо лишь одно, как и все программные продукты подобного рода, этот софт стоит больших денег (1500$). Но все лечится, защита там слабенькая. Тем более обновление доступно и в trial-версии. Кто ищет, тот всегда найдет. Я нашел smile

Google – Величайший сканер уязвимостей

С помощью поисковых систем, на самом деле, очень удобно искать нужные уязвимые скрипты. Нужно только вспомнить о эпидемии червячка Santy, который искал в Google все бажные phpBB форумы. Подробнее о червячке можно почитать здесь - http://www.f-securлe.com/v-descs/santy_a.shtml. Также примеры реализации подобных сканеров ты найдешь на сайте команды AntiSecurity (http://antisec.2x4.ru). Так что при грамотном написании программы и хорошей уязвимости, хакер получает контроль над огромным количеством сайтов.

Теперь мне бы хотелось затронуть тему переполнения буфера. Искать уязвимости такого типа вручную можно несколько лет, так что будем автоматизировать smile Кстатиь, компания eyee.com утверждает, что большинство уязвимостей они нашли автоматически, используя специальное программное обеспечение.

RATS - Грубый Инструмент Ревизии для Защиты

Платформа: Windows
Ссылка: http://www.securesoftware.com/rats/

RATS, Rough Auditing Tool for Security (Грубый Инструмент Ревизии для Защиты) является утилитой ревизии защиты для C и C ++ кода. RATS просматривает исходный текст, находя потенциально опасные обращения к функциям. Цель этого инструмента - не окончательный поиск ошибки, а скорее обеспечение разумной отправной точки для выполнения ручной ревизий защиты. Мой хороший знакомый уже давно пользуется данной программой и очень доволен ее результатами. И еще конечно же радует открытость ее исходного кода.

Также следует обратить внимание на аналогичный софт под названием ITS4 (http://www.securitylab.ru/_tools/its4-1.1.1.tgz). Этот инструмент командной строки ищет уязвимости C и C ++ кода и работает на платформах Windows и Unix. Есть еще одна полезная программа из данного класса - Flawfinder (http://www.dwheeler.com/flawfinder/). В отличие от ITS4, flawfinder имеет полностью открытое программное обеспечение (распространяется согласно лицензии GPL).

BofCheck - Buffer Overflow, Environment Variables Overflow/Format String Vulnerabilities Binary Tester

Платформа: FreeBSD
Ссылка: http://oc192.1afm.com/

BofCheck используется для проверки программ на наличие основных уязвимостей. Программа проверяет переполнение буфера и уязвимости в параметрах командной строки. Софтину стоит использовать только когда нет под рукой исходного кода или поиск в нем не дал результатов.

Qaudit - Perl приходит на помощь

Оказывается классные вещи можно написать на интерпретируемом языке Perl. Qaudit.pl - сценарий для быстрой ревизии C и C ++ исходных файлов на наличие переполнения буфера, ошибок форматной строки, запросов исполняемых вызовов, переменных среды, и разных функций, которые часто имеют проблемы защиты. Лично я не ожидал от скрипта таких возможностей smile Кстати, на Perl написано множество полезных программ, таких как cgi-сканеры, эксплоиты, и даже IDS системы! Скачивай скриптик от сюда - http://www.SecurityLab.ru/_exploits/other/qaudit.txt.

Между прочим

Что касается глобальной автоматизации, то автоматизировать можно все. Но нужно ли это? Не всегда автоматизация помогает, так что ты сам должен решать каждый раз как действовать. В статье я специально не рассмотрел популярный софт, такой как XSpider, Hydra и им подобные, о них многие знают, да и писать бы пришлось целую книгу. Более подробно о способах внутреннего обследования системы можешь почитать в моей статье "Демократичный хостинг".


Администратор
 
port-denisDate: Четверг, 2006-06-29, 10:05 PM | Message # 8
Admin
Group: Администраторы
Posts: 356
Reputation: 1
Status: Офлайн
Марокканские хакеры атаковали в среду более 750 израильских сайтов. Массированная хакерская атака стала ответом арабов на военную операцию, которую проводит израильская армия в секторе Газа, сообщает газета Yedioth Ahronoth.

Организаторами атаки оказались участники хакерской группы Team Evil, на счету которой большинство атак на израильский интернет за последний год. Эта атака стала самой крупной. В число организаций и компаний, пострадавших от деятельности марокканцев попали банк «Апоалим», больница «Рамбам», представительства БМВ и «Субару», билетный центр Globus Group. На атакованных ресурсах хакеры разместили текст: «Вы убиваете палестинцев, мы убиваем серверы».

Ежедневно в Израиле подвергаются атаке множество сайтов. Большинство из них — небольшие ресурсы, не имеющие адекватной системы информационной безопасности. Атака Team Evil отличается тем, что в число взломанных сайтов попали исключительно ресурсы крупных компаний и организаций, обладающих средствами защиты от подобных действий.

В прошлом Team Evil удалось взломать сайты нескольких небольших, но известных в Израиле компаний. В апреле марокканские хакеры атаковали десятки сайтов, в том числе сайты детского магазина «Шилав», супермаркета Blue Square и McDonald's. Представитель хакеров и раньше заявлял: «Мы — группа марокканских хакеров, которая взламывает сайты в рамках войны с Израилем. Мы атакуем израильские сайты каждый день. Это наш долг... компьютерные взломы — не преступление». Все члены Team Evil — марокканцы в возрасте до 20 лет.

Рост хакерской активности, следующий за военными операциями, — известный феномен, как в Израиле, так и в остальных частях мира. Подобный всплеск атак как против израильских, так и против арабских сайтов в начале второй интифады.


Администратор
 
port-denisDate: Четверг, 2006-06-29, 10:05 PM | Message # 9
Admin
Group: Администраторы
Posts: 356
Reputation: 1
Status: Офлайн
Турецкие хакеры атаковали в минувшее воскресенье французский сайт Microsoft, сообщает сайт News.com. В результате атаки на главной странице сайта были помещены граффити и текст «Привет хозяин Твоей системой владеют турецкие хакеры! Ты — в руках redLine! Особое спасибо RudeBoy |SacRedSeer| The_Bekir и всем турецким хакерам, атаковавшим эту цель: microsoft.com date: 18/06/2006 @ 19:06 МЫ ЗДЕСЬ БЫЛИ...».

Хакеры получили доступ к серверу, на котором размещается ресурс http://experts.microsoft.fr/, подтвердили представители Microsoft. Атака стала возможной, по-видимому, благодаря бреши в конфигурации сервера, считают в Microsoft: «Microsoft предпринял соответствующие шаги, чтобы разрешить ситуацию и остановить любую дополнительную преступную активность».

Microsoft совместно с правоохранительными органами расследует взлом. Взломанный сайт был недоступен большую часть понедельника и утром вторника. В пострадавшей компании сообщили, что работы над восстановлением работоспособности ресурса ведутся. Сайт хостится у неназванной сторонней компании. По данным британской компании Netcraft, взломанный сайт работает на платформе Windows Server 2003 и IIS 6.0 Web server.

«Мы приносим свои извинения клиентам на случай, если они терпят неудобства из-за отказа сайта. Microsoft работает, чтобы помогать защищать своих клиентов. Мы старательно работаем с хостинг-провайдером, чтобы восстановить работоспособность сайта как можно скорее», — заявили в Microsoft.


Администратор
 
port-denisDate: Четверг, 2006-06-29, 10:08 PM | Message # 10
Admin
Group: Администраторы
Posts: 356
Reputation: 1
Status: Офлайн
Троянская программа, использующая спуфинг-технологию. Реализована в виде поддельной HTML-страницы. Предназначена для кражи конфиденциальной информации клиентов Caja Madrid.

Рассылается по электронной почте под видом важного сообщения от департамента поддержки Caja Madrid:

В письме содержится ссылка, в которой использована Frame Spoof уязвимость в Internet Explorer.

Уязвимость Frame Spoof (MS04-004) присутствует в 5.x и 6.x версиях Microsoft Interner Explorer. Компанией Microsoft был опубликован специальный документ, в котором приведено описание данной уязвимости и даны рекомендации по распознаванию подобных ложных ссылок.

Попадая на сайт, пользователи вводят свои учетные данные, после чего они пересылаются злоумышленникам, и те могут получить полный доступ к управлению счетом пользователя


Администратор
 
port-denisDate: Четверг, 2006-06-29, 10:08 PM | Message # 11
Admin
Group: Администраторы
Posts: 356
Reputation: 1
Status: Офлайн
Сетевые черви
Основным признаком, по которому типы червей различаются между собой, является способ распространения червя — каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия КЧ между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).

Email-Worm — почтовые черви
К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

IM-Worm — черви, использующие интернет-пейджеры
Известные компьютерные черви данного типа используют единственный способ распространения — рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

IRC-Worm — черви в IRC-каналах
У данного типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ — отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Net-Worm — прочие сетевые черви
Существуют прочие способы заражения удаленных компьютеров, например:

копирование червя на сетевые ресурсы;
проникновение червя на компьютер через уязвимости в операционных системах и приложениях;
проникновение в сетевые ресурсы публичного использования;
паразитирование на других вредоносных программах.

Первый способ заключается в том, что червь ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом черви данного типа или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Для проникновения вторым способом черви ищут в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально оформленный сетевой пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.

Отдельную категорию составляют черви, использующие для своего распространения веб- и FTP-сервера. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и необходимым образом модифицирует служебные файлы сервера (например, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают зараженную веб-страницу), и таким образом проникает на другие компьютеры в сети.

Существуют сетевые черви, паразитирующие на других червях и/или троянских программах удаленного администрирования (бэкдорах). Данные черви используют тот факт, что многие бэкдоры позволяют по определенной команде скачивать указанный файл и запускать его на локальном диске. То же возможно с некоторыми червями, содержащими бэкдор-процедуры. Для заражения удаленных компьютеров данные черви ищут другие компьютеры в сети и посылают на них команду скачивания и запуска своей копии. Если атакуемый компьютер оказывается уже зараженным «подходящей» троянской программой, червь проникает в него и активизирует свою копию.

Следует отметить, что многие компьютерные черви используют более одного способа распространения своих копий по сетям, использующие два и более методов атаки удаленных компьютеров.

P2P-Worm — черви для файлообменных сетей
Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.

Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.


Администратор
 
port-denisDate: Четверг, 2006-06-29, 10:10 PM | Message # 12
Admin
Group: Администраторы
Posts: 356
Reputation: 1
Status: Офлайн
Под именем "EICAR-Test-File" детектируется небольшой 68-байтный COM-файл, который вирусом НЕ ЯВЛЯЕТСЯ, а всего лишь выводит текстовое сообщение и возвращает управление DOS.

Для чего это нужно?
Некоторое время назад разработчики нескольких антивирусных программ начали включать в свои пакеты подобные файлы, которые вирусами не являются, но определяются антивирусом как вирус. Это было вызвано интересом со стороны пользователей, которые "живых" вирусов не имеют, но желают посмотреть, каким образом антивирус реагирует на вирусы, какие сообщения при этом выводит и какие действия предлагает совершить пользователю.

Спустя некоторое время разработчики антивирусных программ решили выработать единый стандарт на подобный "симулятор вируса", а спустя еще некоторое время пришли к выводу, что эта программа должна состоять только из текстовых сообщений. Это необходимо для того, чтобы наиболее любопытные пользователи могли набить ее самостоятельно (например, под диктовку по телефону или переписав из документации).

В результате этот COM-файл выглядит так:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Если вырезать это строку или набить ее командой "COPY CON TEST.COM", то полученный COM-файл при запуске выводит сообщение:

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

и возвращает управление DOS - ничего более, но многие антивирусные программы будут детектировать его как "EICAR test file" или типа того.

Антивирус Касперского® детектирует этот файл только при подключенной базе EICAR.AVC. Данная запись была вынесена из основной антивирусной базы по просьбам пользователей.


Администратор
 
port-denisDate: Четверг, 2006-06-29, 10:12 PM | Message # 13
Admin
Group: Администраторы
Posts: 356
Reputation: 1
Status: Офлайн
Троянские программы
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.

Backdoor — троянские утилиты удаленного администрирования
Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. — пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.

Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Trojan-PSW — воровство паролей
Данное семейство объединяет троянские программы, «ворующие» различную информацию с зараженного компьютера, обычно — системные пароли (PSW — Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.

Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т. п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.

Trojan-AOL — семейство троянских программ, «ворующих» коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.

Trojan-Clicker — интернет-кликеры
Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).

У злоумышленника могут быть следующие цели для подобных действий:

увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
организация DoS-атаки (Denial of Service) на какой-либо сервер;
привлечение потенциальных жертв для заражения вирусами или троянскими программами.
Trojan-Downloader — доставка прочих вредоносных программ
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы).

Trojan-Dropper — инсталляторы прочих вредоносных программ
Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.

Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.

Обычно структура таких программ следующая:

Основной код
Файл 1
Файл 2
...

«Основной код» выделяет из своего файла остальные компоненты (файл 1, файл 2, ...), записывает их на диск и открывает их (запускает на выполнение).

Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему.

В результате использования программ данного класса хакеры достигают двух целей:

скрытная инсталляция троянских программ и/или вирусов;
защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.

Trojan-Proxy — троянские прокси-сервера
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.

Trojan-Spy — шпионские программы
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.

Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.

Trojan — прочие троянские программы
К данным троянцам относятся те из них, которые осуществляют прочие действия, попадающие под определение троянских программ, т. е. разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера и прочее.

В данной категории также присутствуют «многоцелевые» троянские программы, например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.

Rootkit — сокрытие присутствия в операционной системе
Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.

Так как инструменты типа rootkit на сегодняшний день «прижились» и на других ОС (в том числе, на Windows), то следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.

Таким образом, rootkit — программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).

Для поведения Rootkit в классификации «Лаборатории Касперского» действуют правила поглощения: Rootkit — самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.

ArcBomb — «бомбы» в архивах
Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.

Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.

Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.

Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).

Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).

Trojan-Notifier — оповещение об успешной атаке
Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.

Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.


Администратор
 
port-denisDate: Четверг, 2006-06-29, 10:13 PM | Message # 14
Admin
Group: Администраторы
Posts: 356
Reputation: 1
Status: Офлайн
2002
В 2002 г. было зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов (Sircam, Hybris, Magistr, CIH, BadtransII, Thus и др.).

В течение года вредоносные программы продолжили активно проникать на новые платформы и приложения. Уже в январе с разницей всего в два дня появились flash-вирус LFM и вирус Donut, которые впервые использовали для своего распространения технологию .NET. Однако развитие событий показало, что оба вируса оказались не более чем концептуальными: в дальнейшем не было зарегистрировано ни одного случая заражения ими. В середине мая были обнаружены сетевые черви Spida (заражающий SQL-серверы) и Benjamin. Последний стал вдохновителем целого семейства вредоносных программ, которые на протяжении 2002 г. непрерывно атаковали членов файлообменной сети KaZaA. Также не прекращались атаки на пользователей Linux. Лучшим опровержением распространенного мнения, что эта операционная система защищена от любых вредоносных программ, стал червь Slapper, который всего за несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь Scalper также получил довольно широкое распространение.

Нельзя не отметить стремительный рост так называемых коммерческих вредоносных программ, которые преследуют конкретные коммерческие цели - похищают конфиденциальные данные, финансовые средства, пароли доступа в интернет или производят другие действия, наносящие какой-либо материальный ущерб пользователям.

Несомненным лидером по количеству вызванных инцидентов в 2002 г. является интернет-червь Klez. Данная вредоносная программа была впервые обнаружена 26 октября 2001 г. и на ближайшие два года его модификации стали завсегдатаями списка наиболее распространенных угроз. В истории компьютерной вирусологии еще ни разу не случалось, чтобы вредоносная программа смогла так долго продержаться на высших позициях десятки. Однако в течение 2002 года свирепствовали лишь две из десяти существующих разновидностей этого червя - Klez.H (обнаружен 17.04.2002) и Klez.E (обнаружен 11.01.2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны Klez.

По масштабам и продолжительности эпидемия Klez не имела себе равных. Ближайшим конкурентом Klez оказался интернет-червь Lentin. В конце 2002 года он смог превзойти Klez по количеству вызванных инцидентов. Весьма заметным оказался и червь Tanatos (также известен как Bugbear), эпидемия которого разразилась в октябре 2002 года.

Тенденция 2001 года, когда для своего распространения черви использовали различные бреши в программных продуктах Microsoft, была продолжена в 2002 г. Все вышеназванные черви (Klez, Lentin, Tanatos), а также BadTrans - использовали для своего распространения IFRAME-брешь в системе безопасности Internet Explorer. В целом на них пришлось более 85% всех инцидентов.

В конце года наметилась интересная тенденция в качественном составе самых распространенных вредоносных программ. Если раньше почти 100% всех инцидентов приходилось на один, два, максимум три вируса, то начиная с сентября 2002 года ситуация коренным образом изменилась. С этого момента наблюдается так называемая диверсификация - все больше заражений приходится на вирусы, не вошедшие в хит-парады: в декабре этот показатель достиг 62%. Это свидетельствует о том, что пользователи наконец обратили внимание на главные угрозы и предприняли необходимые меры защиты. Грамотные действия пользователей повлекли за собой сокращение числа инцидентов с участием, например, Klez, Lentin и Tanatos. Однако снижения общего количества заражений отмечено не было. Это позволяет заключить, что на арену вышло большое количество других вредоносных программ (например, Bridex). По отдельности доля заражений, вызванных каждой из них, была невелика, но в совокупности они составили достаточно внушительный объем.

Сетевые черви
Среди сетевых червей традиционно преобладали почтовые черви (прежде всего Klez и Lentin), использующие email в качестве основного транспорта для доставки на целевые компьютеры. Стало появляться все больше почтовых червей, применяющих метод прямого соединения с SMTP-сервером. Эта тенденция объясняется тем, что традиционный способ рассылки червей (например, через Outlook или другие почтовые клиенты) уже не имеет достаточных шансов на успех. Производители почтового ПО интегрировали в свои программы антивирусные модули или специальные функции для предотвращения несанкционированной рассылки каких-либо данных. Учитывая это, вирусописатели все чаще используют новые технологии распространения червей, которые обходят такой тип защиты. Другие типы червей (LAN, P2P, IRC) были практически незаметны.

Вирусы
Среди замеченных в 2002 г. компьютерных вирусов, как ни странно, больше всего себя проявили макро-вирусы. Прежде всего здесь стоит отметить Thus, TheSecond, Marker и Flop. Эти макро-вирусы для текстового редактора Microsoft Word показали удивительную живучесть. Эпидемии с их участием были зафиксированы еще в конце 90-х, но в 2002 году они пережили второе рождение: пользователи, уверенные в том, что макро-вирусы полностью сошли со сцены реальных угроз, ослабили бдительность и отключили соответствующие системы защиты. Немного отстают от лидеров Windows-вирусы. Больше всего заражений вызвали Elkern, CIH, FunLove и Spaces. Практически незаметными в течение 2002 г. оказались скрипт-вирусы и другие типы этого класса компьютерной фауны.

Компьютерные мистификации
Начавшееся в 2001 году повальное 'увлечение' мистификациями продолжилось и в 2002 году. Пользователи регулярно засыпали друг друга как старыми, так и новыми мистификациями. Наибольший резонанс имели слухи о вирусах JDBGMGR и Ace-?, а также SULFNBK, Virtual Card for You, California IBM и Girl Thing.


Администратор
 
Форум » Разные Темы » Вирусы » Какие вирусы бывают!!!
  • Страница 1 из 1
  • 1
Поиск:

Copyright MyCorp © 2006 Сайт управляется системой uCoz