Обзор активности компьютерных вирусов в Беларуси (по данным virusinfo.tut.by).

Наиболее распространенные вирусы по итогам прошедшей недели:

1. W32/MyDoom.A-mm - 78%
2. W32/BugBear.B-mm - 9%
3. W32/Yaha.Q-mm - 2%
4. W32/Swen-mm - 2%
5. W32/Bagle-mm - 2%
6. W32/Dumaru.J-mm - 2%
7. W32/Yaha.R-mm - 1%
8. W32/Dumaru.K-mm - 1%
9. W32/Yaha.V-mm - 1%
10. W32/Sober.C-mm - 0%

С большим отрывом лидирует W32/MyDoom.A-mm - почтовый червь, также известный под названиями W32.Novarg.A@mm, Win32/Shimg. Червь был обнаружен 26 января, и уже через несколько дней на него приходилось до 30% мирового почтового трафика (по данным F-Secure). Каждое двенадцатое письмо содержало код MyDoom, что стало новым рекордом. Предыдущий рекорд принадлежит Sobig.F - его код содержало каждое семнадцатое сообщение.

Червь не использует уязвимости программного обеспечения, то есть вирус может получить управление только в случае запуска файла пользователем. Присоединенный к письму файл с кодом вируса имеет размер около 22 килобайт. Расширения файла: .exe, .pif, .cmd, .scr. Часто вирус находится в zip-архиве. Иконка файла призвана убедить пользователя, что это текстовый файл. Тело письма может содержать строки:

• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The message contains Unicode characters and has been sent as a binary attachment.
• Mail transaction failed. Partial message is available.

После запуска вируса открывается окно Notepad, заполненное случайными символами. Червь рассылает свои копии по адресам, найденным на инфицированном компьютере. В коде вируса содержится процедура DoS-атаки на адрес www.sco.com (а в версии MyDoom.B - и на www.microsoft.com). Вторая версия червя также содержит код, из-за которого пользователь не может получить доступ к сайтам известных антивирусных компаний, а также к Microsoft Office Update и Windows Update.

Масштаб эпидемии MyDoom заставляет предположить, что начальная рассылка производилась по адресам в списках спамеров. В этом черве применен оригинальный способ воздействия на пользователя. Письма с признанием в любви, с предложением посмотреть на фотографию в аттаче уже вызывают подозрение у большинства пользователей - многие помнят эпидемию ILOVEYOU (Loveletter). Такие методы стали неэффективными. MyDoom сыграл на знаниях опытных пользователей. Люди, которые не попались на приманку в виде порнографической фотографии, согласились взглянуть на сообщение о поврежденном письме. Почтовый сервер сообщает об ошибке - почему бы не открыть сообщение?

Вокруг эпидемии MyDoom разворачиваются отдаленные от вирусного мира события. Напомню, в теле этого червя содержится процедура DoS-атаки на адрес www.sco.com. SCO, получившая в последнее время известность из-за нападок на Linux, отреагировала на это предложением награды суммой 250000 долларов США любому, кто предоставит достоверную информацию об авторах MyDoom. Когда стало известно о наличии процедуры DoS-атаки на www.microsoft.com во второй версии червя, Microsoft предложила еще столько же. Таким образом, общая сумма вознаграждения за информацию об авторах вируса составила 500000 долларов США.

Между тем, сайт SCO подвергся DoS-атаке раньше намеченного срока. MyDoom начал атаку 1 февраля, но уже 28-29 января были отмечены проблемы с доступом к сайту. Причин тому может быть несколько. Например, сотрудники SCO могли отключить серверы для подготовки к отражению атаки. Причиной роста трафика также могли быть информационные агентства и простые пользователи, решившие самостоятельно проверить доступность ресурса. В воскресенье началась вызванная MyDoom атака на www.sco.com. Справиться с атакой в SCO не смогли и решили отключить серверы. На момент написания этой статьи www.sco.com был недоступен.

На тему эпидемии MyDoom высказался и представитель движения open source Брюс Перенс. Комментируя атаку на сайт SCO, Перенс заметил, что эта компания известна своими "грязными трюками с целью повышения стоимости собственных акций", и допустил, что SCO является инициатором атаки на собственный сайт, чтобы очернить сообщество open source.

Эпидемия MyDoom продолжается. Некоторые рекомендации для защиты своего компьютера:

1. Файл, полученный вместе с письмом, сохраните на диск. Это также относится к файлу, полученному с помощью ICQ. Чтобы увидеть истинное расширение файла, запустите "Проводник", в меню "Вид" выберите пункт "Свойства папки", перейдите на вкладку "Вид" и снимите галку "Не показывать расширения для зарегистрированных типов файлов". Рассмотрите полученный файл, например, в окне Windows Explorer. То, что вы считали фотографией или текстовым файлом, может оказаться исполняемым файлом с двойным расширением и/или длинным именем.
2. Никогда не запускайте полученные по почте файлы с расширениями COM, EXE, SCR, PIF, DOC, VBS и т.п. Это программы, динамические библиотеки, драйверы, командные файлы, скрипты, документы и шаблоны с макросами, которые могут содержать вирусы.
3. Даже если вы получаете файл от знакомого, будьте осторожны: некоторые вирусы используют адреса электронной почты, найденные на инфицированном компьютере, для распространения своих копий. При этом ваш знакомый может не знать, что его адрес используется вирусом. Более того, вирус может отправлять такие письма с любого компьютера, на котором найдет ваш почтовый адрес и адрес вашего знакомого, т.е. на компьютере вашего знакомого вируса может не быть.
4. Если вы не знаете, что содержится в полученном файле, не открывайте его - бесплатный сыр бывает только в мышеловке. Вирусы часто распространяются в письмах, содержание которых призвано заинтересовать человека и заставить открыть присоединенный файл. Письмо может содержать признание в любви, новости о военных действиях в Ираке, предложение установить патч от Microsoft и т.п.

Используйте антивирус, это избавит от многих проблем. Если вы цените свою информацию, заплатите $25 за подписку на год. Если вы не можете позволить себе этого, проверяйте подозрительные файлы в онлайне (например, на www.vba.com.by).

Максим ГОРБАЧЕВ,
ОДО "ВирусБлокАда",
mg@vba.com.by

Чистим следы крупнейшей эпидемии

В ночь с 26 на 27 января в интернете началась эпидемия почтового червя Novarg, которую уже называют крупнейшей в истории всемирной сети. Известно, что MyDoom (это другое название Novarg) распространяется по электронной почте и файлообменной сети KaZaA. Пока специалисты ломают голову в поисках секрета успеха MyDoom, уже сейчас назрела необходимость вылечить зараженные компьютеры от следов деятельности вируса.

И здесь подсуетилась "Лаборатория Касперского", обновившая свою бесплатную консольную утилиту CLRAV. Если раньше она знала такие вредоносные программы, как Klez, Lentin, Opasoft, Tanatos, Welchia, Sobig, Dumaru, Swen, то теперь к этому списку добавлен и MyDoom. Программа CLRAV производит поиск и нейтрализацию названных червей в оперативной памяти и на винчестере зараженного компьютера, а также восстанавливает оригинальное содержимое системного реестра Windows. По окончанию работы утилиты необходимо перезагрузить компьютер и запустить антивирусный сканер для полномасштабной проверки компьютера. Загрузить CLRAV (размер составляет 113 Kb) можно по адресу: ftp://ftp.kaspersky.com/utils/clrav.zip.

Еще одна антивирусная компания, не оставшаяся в стороне, - это Symantec. В отличие от CLRAV, выпущенное ею решение Symantec W32.Novarg.A@mm Removal Tool представляет собой Win-приложение и "заточено" исключительно на обнаружение и удаление Novarg. Скачать эту бесплатную утилиту (размер - 148 Kb) можно отсюда: securityresponse.symantec.com/avcenter/FxNovarg.exe.

Павел БАДЯЛИК