На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 1999-12-8 на главную / новости от 1999-12-8
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 8 декабря 1999 г.

Эксперты предупреждают о появлении самообновляющегося вируса

Во вторник антивирусные фирмы предупредили пользователей о новом компьютерном вирусе, который распространяется через чат-сеансы в Интернете и автоматически обновляется, подкачивая из веба дополнительные модули.

«Это только верхушка айсберга, — говорит старший научный сотрудник Symantec Эрик Чейн (Eric Chien). — Способность вируса к самосовершенствованию имеет принципиальное значение. Создатели вирусов все чаще используют сетецентрические идеи».

Пока в Symantec поступила только пара десятков сообщений о вирусе W95.Babylonia, который впервые обнаружен в прошлую пятницу. Другая антивирусная фирма, Computer Associates, получила 15 сообщений. В настоящее время вирус заражает исполняемые файлы (.EXE) и файлы справки (.HLP).

Пока вирус распространен мало и не причиняет особого вреда, но эксперты опасаются, что в будущем могут появиться его более совершенные варианты. Или, что не менее опасно, автор вируса в любой момент может придать ему разрушительную силу. Веб-сайт, на котором происходит обновление Babylonia, предположительно находится в Японии. Программа размером всего 11 Кбайт распространяется в момент открытия зараженных файлов и, когда зараженный компьютер находится в онлайне, подкачивает обновления из веба.

Вирус загружает четыре модуля
Существующая версия загружает со своего веб-сайта четыре модуля. Первый — просто другая, усовершенствованная версия вируса. Второй модуль представляет собой текстовый файл, заменяющий файл autoexec.bat и содержащий следующие строки: 

W95/Babylonia by Vecna (c) 1999 
Greetz to RoadKil and VirusBuster 
Big thankz to sok4ever webmaster 
Abracos pra galera brazuca!!! 
--- 
Eu boto fogo na Babilonia!

Автор вируса называет себя Vecna; по мнению Symantec, это член латиноамериканской группы 29А (666 в шестнадцатеричном коде). Предполагается, что вирус Bubbleboy создал Zulu, другой член той же группы.

Третий модуль отправляет электронное сообщение на адрес в системе Hotmail, заведенный для подсчета числа зараженных Babylonia компьютеров. А четвертый модуль содержит код, который приводит к тому, что из зараженных компьютеров пользователей, работающих с чат-программой mIRC, всем участникам чат-сеанса с помощью входящего в mIRC средства передачи файлов DCC рассылаются копии вируса. В большинстве случаев чат-ПО предупреждает получателей о том, что им отправлен файл. Однако те, кто установил автоматический режим загрузки DCC, не получают никакого предупреждения. Компьютер получателя остается незараженным до тех пор, пока этот файл, маскируемый под поправку Y2K (он недвусмысленно называется 2k bug fix.exe), не будет запущен.

Между тем все или некоторые из этих признаков вируса могут меняться. Автор волен добавлять новые модули, изменяющие вирус, уже заразивший компьютер пользователя. При этом может меняться как способ его распространения, так и его разрушительная нагрузка. «Завтра он может начать распространяться через Outlook», — говорит Чейн из Symantec.

По иронии судьбы, способ обновления вируса напоминает технологию LiveUpdate самой Symantec — она используется для поддержания в актуальном состоянии антивирусной программы. Подобный способ самообновления через веб применяется в индустрии программного обеспечения уже несколько лет.

Где купить: продукты Symantec.

 

← ноябрь 1999 3  5  6  7  8  9  10  14  15 январь 2000 →
Реклама!
 

 

Место для Вашей рекламы!