На прошедшей неделе в Сети был обнаружен целый ассортимент сетевых червей. Средства распространения новоиспеченных вирусов варьируются от электронной почты до файлообменных сетей, а цели создания - от получения конфиденциальной информации и организации DDos-атак до простых поздравлений. Таким образом, разнообразие сегодняшних вирусов может сравниться разве что с количеством брешей в программном обеспечении. Последних появляется настолько много, что авторы вирусов уже не особо утруждают себя написанием эксплойтов, а лишь продолжают "штамповать" похожие друг на друга вредоносные программы. Поэтому, к счастью для компьютерного мира, с революционными технологиями в этом сезоне туговато.

Вот и создатели семейства червей Mydoom разнообразием не отличились. Как и более ранние версии, новая модификация под названием Mydoom.AF распространяется по электронной почте в виде вложений. В процессе организации массовых рассылок собственных копий вирус использует встроенный SMTP-сервер. После активации Mydoom.AF создает в системной директории Windows файл avpr.exe и регистрирует его в ключе автозапуска реестра. Кроме того, червь пытается запретить доступ к сайтам производителей антивирусного программного обеспечения и компаний, чья деятельность связана с вопросами компьютерной безопасности.

Сетевой червь Forbot распространяется через общедоступные сетевые ресурсы и инфицирует компьютеры с операционными системами Windows. После проникновения на машину вредоносная программа создает на жестком диске файл ieupdate.exe, регистрируется в ключе автозапуска реестра и завершает работу ряда антивирусных приложений. Кроме того, открывает "черный ход" в систему, через который авторы могут получить доступ к инфицированному компьютеру. К тому же Forbot позволяет осуществлять распределенные DoS-атаки на некоторые сетевые ресурсы.

До Нового года еще более двух месяцев, а создатели вирусов, подобно Деду Морозу, уже готовят сюрпризы. Один из них - червь Scranor. Распространяется через пиринговые сети Kazaa и iMesh, а также через каналы IRC. После активации вирус создает на жестком диске несколько своих копий с различными именами и расширением .exe, а также регистрируется в реестре Windows. Далее червь загружает с сайта freewebs.com файл botnet.jpg, являющийся копией другой вредоносной программы, и сохраняет его в корневом каталоге диска C под именем botnet.exe. Если до 1 января пользователь не догадается о существовании червя, то Scranor сам о себе напомнит, выведя на экран монитора сообщение с текстом "Ha? Happy New Year W32.Scran!!".

*

Находясь в авангарде борьбы с вирусными программами, антивирусные разработчики умудряются допускать в своих программных пакетах ошибки. Благодаря компании iDefence, специализирующейся в области электронной безопасности, стало известно, что в таких распространенных антивирусах, как Kaspersky AntiVirus, McAfee Anti-Virus, Sophos Anti-Virus и eTrust AntiVirus, существуют дыры, которые могут использоваться злоумышленниками с целью загрузки на удаленные компьютеры вредоносных файлов.

Проблема связана с тем, что вышеназванные программы некорректно обрабатывают заголовки архивов в формате ZIP. Дело в том, что информация о реальном размере находящихся в ZIP-архиве файлов хранится в двух заголовках (local и global header). Если злоумышленник в обоих заголовках укажет значение размера какого-либо файла равным нулю, то антивирусные сканеры ошибочно посчитают такой объект слишком маленьким для проверки и пропустят его. В то же время, утилиты архивации не используют указанный в заголовках размер файла и успешно распаковывают модифицированные подобным образом ZIP-архивы.

Тем не менее, заплатки для большинства уязвимых антивирусных пакетов уже выпущены. "Теперь при анализе архивированного объекта антивирусный сканер полностью повторяет действия архиватора, сначала распаковывая файл и только затем подвергая его анализу", - заявил Евгений Касперский.

Андрей АСФУРА