На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2001-9-6 на главную / новости от 2001-9-6
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 6 сентября 2001 г.

Червь SirCam не проявляет признаков ослабления

Еще одно очко в пользу плохих парней.

Спустя почти семь недель после начала своего распространения червь SirCam все еще занимает первую строчку в списках наблюдения за поведением вирусов почти всех антивирусных компаний. По оценке аналитической фирмы Computer Economics, на конец августа SirCam поразил 2,3 млн компьютеров и причинил ущерб на 1 млрд $, уничтожив данные в зараженных системах и создав перебои в работе предприятий. Эпидемия не подает признаков угасания, несмотря на то что антивирусные компании выпустили версии сканирующих программ, обнаруживающие SirCam.

Проблема в том, что среднестатистический Джо, который наивно относится к рискам в интернете и не обновляет свое антивирусное ПО, продолжает распространять зараженный код. «Мы понимаем, что свой дом и свой автомобиль охранять надо, — говорит директор антивирусного центра Symantec Винсент Уифер (Vincent Weafer). — Но свой компьютер тоже надо охранять». К сожалению, подавляющее большинство домашних пользователей этого не осознает. В результате онлайнового опроса Symantec обнаружила, что почти у четырех из каждых десяти пользователей либо вообще не установлено антивирусное ПО, либо с момента приобретения компьютера оно ни разу не обновлялось. «Мы должны поднять уровень осведомленности и образования», — говорит Уифер.

Однако не все уверены, что все дело в образовании. «Конечно, антивирусное ПО устанавливать нужно, — говорит президент американского отделения поставщика услуг электронной почты MessageLabs Эндрю Фарис (Andrew Faris). — Но одного сканера отнюдь не достаточно». И наглядным доказательством тому служит пример с SirCam.

Червь, обнаруженный в середине июля, распространяется в электронных письмах, пользуясь испытанной тактикой. Появляясь в сообщениях, будто бы отправленных другом, червь активизируется в момент открытия вложения. Программа заражает компьютер-жертву, извлекает какой-нибудь файл из папки «Мои документы», заражает его и отправляет по адресам из адресной книги Microsoft Outlook. Червь извлекает адреса e-mail и из веб-страниц, временно хранящихся в интернет-кэше компьютера.

С начала сентября служба MessageLabs, отфильтровывающая вредоносные e-mail вложения, обнаружила 20 тыс. SirCam. Червь остается вне конкуренции, занимая верхнюю строку в общем списке перехваченных вирусов, который ведет компания: по общему количеству копий (263 тыс.) SirCam намного опережает вирус Magistr.A, заразивший с начала июня почти 93 тыс. компьютеров.

В первое время SirCam ускользал от большинства антивирусных программ. Лишь после выпуска отредактированных версий своих определений вирусов они смогли обеспечить заказчиков защитой. Но если корпоративные клиенты быстро установили апдейт, то многие домашние пользователи так и не сделали этого. Фарис считает, что выход в гораздо более широком сканировании и фильтрации интернета сервис-провайдерами. «Мы пользуемся тремя сканерами и добавили еще четвертый, — рассказывает он. — Мы устроили настоящий прогон сквозь строй». Потребителям трудно реализовать подобную защиту. А пока домашние пользователи не станут лучше защищены от интернета, в нем будут разражаться все худшие эпидемии, считает редактор веб-сайта Virus Myths Роб Розенбергер (Rob Rosenberger), который обычно скептически относится к шумихе, поднимаемой вокруг вирусов. «Эпидемии продолжатся, и они будут ужасными, — говорит он. — Но, рассуждая философски, быть может, это не так уж и плохо. Быть может, они необходимы?» По словам Розенбергера, крушения самолетов и автомобильные аварии заставили людей найти способы сделать эти транспортные средства более безопасными. Так и эпидемии вирусов заставят сделать безопаснее интернет. «Уроки даются нам с трудом, — говорит он. — К SirCam мы отнеслись недостаточно серьезно, и проблема вирусов только усугубляется».
Обсуждение и комментарии

AlexanderVM
7 Sep 2001 3:29 AM
Чисто для информации от нарвавшегося на эту херню - AVP monitor на защищает 100% от Сиркама при заражении через локальную сеть, т.е. он предупреждает, что так и так и говорит, что надо запустить сканер, но нихрена не делает (блокировать или удалить там)
 

Skull - sibskullmail.ru
7 Sep 2001 4:36 AM
То-то в нашей конторе не обновляли AVP 3 дня и
наелись с этим SirCam! Женя Касперский по поводу
лечения документов MSOffice - отъявленный
мудень! Это ж надо так похабить структуру файлов!

А рецепт прост - не ставить убогие ОС, почтовые
программы и браузеры. Кушайте, любители Windows!
Много подобных какашек вам приготовлено на
ближайшие 5 лет :)
 

glassy
7 Sep 2001 7:13 AM
Мне заплатку принесли -- маленький .com от Касперского. Но он, разумеется ничего у меня не лечил, так как заражен был не мой компьютер, но ворнинги о заражении и недоставке сотнями попадали в конце концов мне. (я сразу подумал, неплохая ведь идея, если бы сиркам отправлял свои письма с fake-адреса bgates@microsoft.com)
Но штука зверская, ничем ее не вытравишь (нашли потом-таки)
 

vIv
7 Sep 2001 9:28 AM
какого хрена ISP будут что-то там фильтровать? Надеюсь, не молча, а только по запросу? Так у нас мало кто заплатит за такой сервис, - тоже толку мало.
 

g16
7 Sep 2001 9:52 AM
To:AlexanderVM
Настраивать его надо РУЧКАМИ
А на почтовый сервак ставить АВП для почтовых серверов - он-то как раз всё ловит :)
 

Null
7 Sep 2001 10:04 AM


Одна небольшая компания когда-то написала один большой вирус, и распространила его по всему свету, причем брала за это деньги. И каждый юзер рад был приобрести этот вирус и установить его к себе на компьютер, потому что в голове его уже сидел другой вирус, распространенный той же самой компанией!

Дык вот, дорогие мои! Вирусы распространяются не почтой, и не дисектами и не по сетям! Распространяются они в журналах, рекламных проспектах, по телевизору и в web-е. И заражают отнюдь не компьютеры! Вирусы сидят в головах тупых юзеров, работающих в винде, запускающих почтовые аттачи, и открывающих офисные документы с убеждением в том, что при просмотре вроде как ничего не запускается.

А то, что распространяется почтой по сетям -- так просто небольшой апдейт к вирусу, сидящему в головах юзеров, который заставляет выполнять пользователя определенные действия. А код вируса до безобразия прост:

Hi! How are you?
I send this file in order to have your advice

:)

 

junik - junkhome.relline.ru
7 Sep 2001 10:27 AM
Этот SirCam программулька GroupShield замечательно убивает. Причем уже больше полутора месяцев. Каждый день по пять-восемь писем в адреса домена с этой дрянью приходят. Но все тип-топ.
 

oralsex
7 Sep 2001 11:17 AM
Откуда столько проблем... ума не приложу. Стоит у всех АВП (с монитором), обновляется раз в неделю (имхо, больше не надо). В мониторе ручками поправлена опция во вкладке "действия" - вместо "только сообщение" ставим "лечить автоматически" (имхо это правильно). Все! Сеть из пары десятков юзеров, как минимум половине из них эта срань приходила (а некоторым валит до сих пор), из них минимум половина оказалась достаточно безголовыми чтобы этот аттач открыть - ни у кого случаев заражения не отмечена, АВП монитор гадину ловил и убивал на месте с кучей ругательств. Следовательно и вопрос лечения не стоит.
 

Stranger_NN
7 Sep 2001 6:25 PM
1. Откуда такие потери? Эта зараза вычищается DrWeb + руками за 10 минут.
2. Если сканировать почту - проблемы вообще нет!
3. Да, похоже вирус в головах... И не только пользоватлей... :(
 

Nix
8 Sep 2001 1:23 AM
Потери главные от того, что резко возросла нагрузка на почтовые сервера. Если ваш адрес сильно засвечен (как у нас адрес редакции), то на него SirCam лезет сотнями в день, причем письма все тяжелые. Приходится фильтровать на сервере.
 

 

← август 2001 3  4  5  6  7  10  11  12  13 октябрь 2001 →
Реклама!
 

 

Место для Вашей рекламы!