На прошедшей неделе активность создателей вирусов была почти незаметна. Несколько новых сетевых червей и троянских коней, которые мало чем выделяются на уже существующем фоне вредоносных программ, - единственный результат вирусной деятельности за этот срок. То ли авторы вирусов решили организовать себе затяжные зимние каникулы, то ли порядком опасаются арестов, информация о которых поступает чуть ли не каждую неделю, а серьезных эпидемий при таком раскладе в ближайшее время не предвидится. Правда, скорее всего, это временное затишье - еще несколько недель, и компьютерный мир вновь содрогнется от вирусного нашествия.

Новый червь Sdbot.ai мало чем отличается от современных собратьев. После попадания на компьютер он копирует себя в файл "%System%\systacq.exe", а также вносит изменения в реестр с целью автоматической активизации при каждом запуске операционной системы. Кроме того, червь открывает "черный вход" на машину жертвы, используя при этом TCP-порт 29147.

Следующий вирус - червь Kipis.a - распространяется посредством электронной почты через зараженные вложения с темами "Love", "Happy New Year" и "I Love You", а также с помощью файлообменных сетей. После активации вирус вносит изменения в файл "regedit.com", находящийся в корневом каталоге Windows, создает папку "security", в которую размещает свою копию с именем "svchost.exe", а также регистрирует себя в ключе автозагрузки системного реестра. Напоследок для поиска электронных адресов будущих жертв червь сканирует адресные книги операционной системы Windows, а также файлы с расширениями .adb, .dbx, .doc, .htm, .tbb и .txt. Помимо этого, Kipis.a содержит бэкдор-функцию, которая позволяет злоумышленнику получить полный доступ к машине пользователя.

Троянская программа Zins после попадания на компьютер копирует себя в файл "%System%\aux.exe", а также вносит изменения в реестр, чем обеспечивается его постоянная загрузка при старте Windows. Вредоносная программа также пытается завершить работу ряда антивирусных программ. Главная же функция трояна - сбор конфиденциальной информации и последующая ее передача своему создателю, а также открытие "черного входа" в систему.

Немногим отличается от вышеупомянутого трояна вредоносная программа Feutel. Проникнув на машину, она копирует себя в "%Windir%\G_Server.exe", вносит себя в реестр в качестве сервиса с именем "Gray_Pigeon_Server", а также создает несколько файлов с расширением .dll. После этого Feutel пытается связаться с серверами www.75558889.com и vip.huigezi.com для того, чтобы получить дальнейшие инструкции от своего создателя. Тот, в свою очередь, может получить конфиденциальную пользовательскую информацию, а также запустить на машине жертвы произвольные приложения.

К числу рекламного мусора интернета можно отнести новый троян Hako. После активации он копирует себя на жесткий диск компьютера, а также вносит изменения в реестр. Напоследок Hako ищет активные окна интернет-пейджера ICQ, и при их обнаружении отправляет по найденным в списке контактов адресам сообщения, содержащие в себе ссылки на серверы www.918haha.com и www.koko888.com.

Исключением из числа маловыдающихся вредоносных программ является троянская программа Phel, создатели которой доказали, что сегодня даже установка второго сервисного пакета для операционной системы Windows XP не спасает от вирусной угрозы. Так, троян Phel (если первую букву поместить в конец, получится "help") эксплуатирует уязвимость в компоненте HTML Help Control браузера Internet Explorer, характерную для всех версий данной операционной системы. Несмотря на то, что вредоносная программа объявилась еще в конце прошлого года, угроза заражения компьютера трояном актуальна и сейчас. Для того, чтобы атака прошла успешно, злоумышленник должен заманить пользователя на специально сформированный сайт, где и произойдет заражение компьютера троянской программой. Стоит отметить, Microsoft серьезно отнеслась к этой уязвимости и уже работает над решением проблемы. Кроме того, софтверный гигант хочет найти и привлечь к ответственности создателей вредоносной программы.

* * *

Проблемы с безопасностью программного обеспечения возникли не только у корпорации Microsoft, но и у ряда антивирусных разработчиков. Так, недавно обнаруженная уязвимость позволяет злоумышленнику выполнять различные действия в обход персональных межсетевых экранов.

Дыра характерна для приложений, которые используют ярлыки или предоставляют графический интерфейс для изменения текущих настроек межсетевого экрана и при этом не требуют ввод пароля. Благодаря уязвимости любой желающий способен с помощью троянской программы обойти ограничения безопасности машины. Большинство брандмауэров используют опцию запоминания настроек и автоматически генерируют соответствующие правила, что позволяет лишь однократно использовать эту уязвимость. Дыра присутствует в программах Agnitium Outpost Firewall, Kaspersky Anti-Hacker, Symantec's Norton Personal Firewall и других. По мнению антивирусных экспертов, уязвимость обладает высокой опасностью для пользователей компьютеров, что подтверждает существование эксплойта, использующего эту брешь.

Андрей АСФУРА