вторник, октября 11

В поисках вирусов


Вирус №1. Этот вирус использует для распространения электронную почту.  Зафиксировано более 20 штаммов данного вируса. Впервые он был обнаружен 16 февраля 2004 года. Он представляет собой exe-файл размером около 20 кб. После запуска вирус выводит ложное сообщение об ошибке: «The file could not be opened!», копирует себя в каталог Windows и регистрируется в ключе автозапуска системного реестра. Также создает множество своих копий. Вирус находит адреса электронной почты и рассылает по ним свои копии. Признан наиболее опасным вирусом 2004 года. Найти и обезвредить!
Вирус №2. Полиморфный вирус, поражающий компьютеры под управлением операционной системы Windows. Основной исполняемый компонент вируса написан на языке программирования Borland C++ и упакован упаковщиком UPX. Размер вируса 176128 байт. Обладает способностью распространяться по доступным для совместного пользования дискам локальной сети. Заражает файлы с расширениями .exe и .scr как на пораженном компьютере, так и в рамках локальной сети, дописывая к ним свой код и увеличивая, таким образом, их размер на 176128 байт. Найти и обезвредить!

 
Вирус №3. Полиморфный зашифрованный вирус, заражающий .exe и .scr файлы Windows.
При запуске вирус внедряет код в процесс, который находится на 4-той позиции в списке процессов, после заражает сам исполняемый файл процесса. Вирус  расширяет последнюю секцию исполняемого файла, записывает в неё свое тело и перенаправляет точку входа программы на свое тело. Вирус может принимаеть команды от злоумышленника, открывать указанные URL с компьютера пользователя, загружать из интернета вредоносный код и внедрять его в процессы. Найти и обезвредить!

Вирус №4. Вирус распространяется по электронной почте в виде новости о гибели 230 человек во время урагана в Европе. Пользователям предлагается открыть вложенный файл Full Story.exe или Full Video.exe, который устанавливает на компьютер троянскую программу, предоставляющую возможность удаленного управления машиной. Создателям этого вируса удалось создать исполинскую бот-сеть, количество заражённых компьютеров в которой - до 50 миллионов. Вирус предположительно имеет российское происхождение.  Время от времени фиксируются резкие всплески его активности. Найти и обезвредить!

Вирус № 5. Данная угроза киберпреступности может использовать различные методы: маскировка поддельных ссылок под ссылки на сайты организаций, использование изображений вместо текста, использование JavaScript для изменения адресной строки, использование уязвимостей в скриптах подлинного сайта и прочее. Первая попытка такой атаки была выявлена в 2004 году, её жертвами стали клиенты московского Ситибанка. Найти и обезвредить!

21 комментарий:

Анонимный комментирует...

1)Для устранения вируса и лечения нужно загрузить компьютер в безопасном режиме и воспользоваться лечащими антивирусными программами (Kaspersky, Dr.Web), очистить реестр Windows и восстановить при помощи резервной копии.Наташа и Кристина.

Анонимный комментирует...

№1 Червь NetSky
рекомендация: не рекомендуется открывать вложенные в почтовые сообщения файлы, полученные от сомнительных источников. наташа и вика

Анонимный комментирует...

http://ru.wikipedia.org/wiki/Netsky_%28%F7%E5%F0%E2%FC%29 - все о почтовом черве(Дима и Артем)

Анонимный комментирует...

Рекомендации по удалению
Win32.Parite.2

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл:
%USERPROFILE%\Local Settings\Application Data\Gameztar Toolbar\2.1.3.6670\bin\mvbup.exe
3. Удалить каталог:
%USERPROFILE%\Local Settings\Application Data\Gameztar Toolbar
4. Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):

%Temporary Internet Files%

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Наташ и Кристина.

Анонимный комментирует...

2. Win32.Parite.2
Для обозначения своего присутствия в системе с целью избежать повторного инфицирования вирус создает семафор "RESIDENTED".

В системном реестре Windows червь вносит данные
PINF
в реестровую запись
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\

Процесс инфицирования файлов начинается с создания дополнительной секции в конце файла с последующей записью в эту секцию вирусного кода, в результате чего размер файл увеличивается на 176128 байт.

Червь инфицирует исполняемые файлы на зараженной машине, а также распространяется по всем доступным для совместного использования сетевым ресурсам, доступным для записи. В результате на таких ресурсах за короткое время могут быть заражены практически все исполняемые файлы.
вика и Наташа

Анонимный комментирует...

Вирус номер 1 это червь. Нужно установить антивирус. Б.М и З.М

Анонимный комментирует...

3. Win32/Virus.Virut.gen
При заражении Virut расширяет последнюю секцию исполняемого файла, записывает в неё свое тело и перенаправляет точку входа программы на свое тело.

У вируса есть функция соединения с определенным IRC сервером. В успешном соединении вирус принимает команды от злоумышленника.

Ещё возможности вируса вируса:
загрузка из интернета вредоносного кода и внедрение его в процессы.
открытие указанных URL с компьютера пользователя.
Наташа и Вика

Анонимный комментирует...

ответ на вопрос номер1:червь Sober-Z,
настя

Анонимный комментирует...

не рекомендуется открывать вложенные в почтовые сообщения файлы, полученные из сомнительных источников. в браузере можно запретить получение активных элементов на лок комп(Дима и Тема)

Анонимный комментирует...

4. Storm Worm
Пользователям рекомендуется не открывать ссылки, присланные через интернет-пейджеры, без получения подтверждения даже в том случае, если они, казалось бы, исходят от знакомых. Кроме того, не следует пренебрегать антивирусным программным обеспечением.
Вика и Наташа

Анонимный комментирует...

Вирус №2.сетевой червь З,Максим Б.Максим
Внимание! после лечения могут оказаться испорчены *.exe файлы на инфицированном компьютере.
Это связано с тем, что в некоторых случаях заражённые данным вирусом исполняемые файлы восстановить в исходном виде практически невозможно любым антивирусом. Соответственно, приложения, содержащие в себе контроль целостности своих исполняемых файлов, перестают запускаться.

Закройте общий доступ к ресурсам на зараженной машине, и отключите все сетевые диски.
Загрузитесь в безопасном режиме(safe mode).
В реестре HKEY_CURRENT_USER/Software/Microsoft/Windows/Explorer Удалите в левом окне параметр PINF.
Во временной паке, например C:\Documents and Settings\***USER***\Local Settings\Temp удалите все файлы.
Запустите Dr.Web. (вирус заражает файлы *.exe, *.tmp, *.scr)

Анонимный комментирует...
Этот комментарий был удален администратором блога.
Анонимный комментирует...

№2 http://ru.wikipedia.org/wiki/%D1%E5%F2%E5%E2%FB%E5_%F7%E5%F0%E2%E8 сетевой червь...(Дима и Артем)

Анонимный комментирует...

ответ на вопрос номер3:Win95.Memorial - неопасный резидентный полиморфный вирус, заражающий DOS'овские COM- и EXE-файлы, а также EXE- и SCR-файлы в формате PortableExe. Это первый известный полиморфный вирус для операционной системы Windows'95. В DOS-файлах и в VxD-драйвере он не зашифрован.

При запуске инфицированного DOS-файла вирус проверяет наличие среды Windows и собственной резидентной копии в памяти компьютера. Если Windows загружена или вирусная копия уже присутствует в системе, то вирус не предпринимает никаких действий и отдает управление программе-носителю. Когда же данные условия не выполняются, Win95.Memorial создает файл C:\Clint.vxd (инфицированные EXE-файлы содержат ошибку в создании VxD-драйвера), записывает в него собственный распакованный вирусный код (в зараженных файлах код виртуального драйвера хранится в упакованном виде) и оставляет в области второй половины таблицы векторов прерываний резидентный код, который "контролирует" прерывание Int 2Fh. Данная резидентная копия не заражает файлы, а предназначена для возвращения ответа "я здесь" и для загрузки виртуального вирусного драйвера C:\Clint.vxd при старте Windows.

При инициализации Windows вирусный резидентный код получает управление и достаточно хитроумным способом, используя интерфейс Windows, "подсказывает" ей, что необходимо загрузить резидентно в память драйвер C:\Clint.vxd. Таким образом, вирус без манипуляций с файлом System.ini загружает свой виртуальный драйвер. Этот драйвер контролирует файловые операции и при обращении к DOS'овским COM- и EXE-файлам, а также к EXE- и SCR-файлам в формате PE заражает их.

При заражении PE-файлов Win95.Memorial создает дополнительную сегментную секцию с названием Clinton (обычно данное название зашифровано) и записывает свой зашифрованный полиморфный код в конец файла. При старте инфицированного PE-файла под Windows'95 вирус определяет адреса необходимых ему процедур в модулях Kernel32 и User32 и, при отсутствии вирусного резидентного кода в системе, создает вирусный виртуальный драйвер в корневом каталоге и загружает его в систему также очень интересным способом с помощью интерфейса Windows95.

Так, установка резидентной копии очень похожа по алгоритму, но различается по реализации для различных операционных сред. Хотя и в том, и в другом случае необходимо наличие Windows 95. настя

Анонимный комментирует...

ответ на вопрос номер2:
Описание

Win32.Parite.2 - полиморфный вирус, поражающий компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Основной исполняемый компонент вируса написан на языке программирования Borland C++ и упакован упаковщиком UPX. Размер червя 176128 байт.

Вирус обладает способностью распространяться по доступным для совместного пользования дискам локальной сети.
Заражает файлы с расширениями .exe и .scr как на пораженном компьютере, так и в рамках локальной сети, дописывая к ним свой код и увеличивая, таким образом, их размер на 176128 байт.

Действия

Будучи запущенным на пораженном компьютере, вирус помещает во временную директорию Windows файл-библиотеку динамической компоновки со случайным названием, состоящим из набора буквенных символов и шестнадцатеричных цифр и расширением .tmp. Именно этот файл и содержит основные функцие, используемые червем.

Для обозначения своего присутствия в системе с целью избежать повторного инфицирования вирус создает семафор \"RESIDENTED\".

В системном реестре Windows червь вносит данные
PINF
в реестровую запись
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\

Процесс инфицирования файлов начинается с создания дополнительной секции в конце файла с последующей записью в эту секцию вирусного кода, в результате чего размер файл увеличивается на 176128 байт.

Червь инфицирует исполняемые файлы на зараженной машине, а также распространяется по всем доступным для совместного использования сетевым ресурсам, доступным для записи. В результате на таких ресурсах за короткое время могут быть заражены практически все исполняемые файлы. настя

Анонимный комментирует...

5. Фишинг
Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».
Профилактическая защита от скрипт-вирусов состоит в том, что в браузере можно запретить получение активных элементов на локальный компьютер.
Наташа и Вика.

Анонимный комментирует...

№2 Профилактическая защита от скрипт-вирусов состоит в том, что в браузере можно запретить получениеактивных элементов на лок комп....(Дима и Артем)...борьба с сетевым вирусом.

Анонимный комментирует...

VBS.Redlof является одним из самых известных зашифрованных полиморфный вирусов. Вирус VBS.Redlof написан на языке Visual Basic Script (VBS) и зашифрован при помощи VBE (Visual Basic encoded script).

Вирус поражает компьютеры под управлением Windows 95/98/Me/NT/2000/XP и заражает файлы с расширениями .asp, .htm, .html , .htt, .jsp, .php и .vbs, дописывая в их конец VBScript, содержащий зашифрованную копию его вирусного кода.

Для попадания на компьютер вирус использует так называемую уязвимость виртуальной машины Microsoft в системе безопасности MS Internet Explorer, при которой вирус может быть активирован с удаленного сайта при просмотре пользователем инфицированного таким вирусом HTML файла.

После первого попадания на компьютер пользователя, вирус открывает файлы с расширением htt , .html, .htm, .jsp, .asp, .php, расположенные в текущей папке, заражает их, а также папку "Мои документы".

Признаки инфицирования
Существует несколько способов определения, заражен ли ваш компьютер вирусом Redlof:

наличие в системе инфицированного VBScript либо в %windir%\System\Kernel.dll, либо в %windir%\System\Kernel32.dll.

наличие в системном реестре записи HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunKernel32\ "%SYSTEM%\Kernel.dll"

Самым простым способом определения заражения вирусом является следующий тест. Создайте простой текстовый файл и переименуйте его в html. Размер сохраненного файла должен составлять 0 байт. Если после закрытия файла его размер возрос до 12 Кбайт, значит вы заражены. З.Максим Б.Максим

Анонимный комментирует...

ответ на вопрос номер4:
Storm worm
Вирус под названием Storm Worm в 2007 году заразил во всем мире более
300 тыс. компьютеров. Масштабы эпидемии делают его самым заразительным
со времен 2005 года, когда также быстро разошелся червь Sober.O. Вирус
Storm Worm распространяется по электронной почте в виде новости о
гибели 230 человек во время последнего урагана в Европе. Пользователям
предлагается открыть вложенный файл Full Story.exe или Full Video.exe,
который устанавливает на компьютер троянскую программу, предоставляющую
возможность удаленного управления машиной.
Sobig
Вирус Sobig, заполонивший ящики электронной почты по всему миру,
стал одним из самых быстро разрастающихся вирусов за всю историю.
Компания
MessageLabs, занимающаяся разработкой фильтров для электронных
посланий, сообщила, что за 24 часа перехватила более миллиона писем,
зараженных вирусом Sobig F.

Итог работы вируса: Зараженными оказались около 500000 компьютеров
по всему миру. И ущерб всего этого ровняется цифре стоимостью в 1
миллиард долларов.
Code red
Пятницу тринадцатого 2001 года наверно многие еще помнят. Именно в этот день активировался вирус Code Red.
Вирус
использовал уязвимость переполнения буфера в Microsoft IIS серверов ,
после чего зараженные веб-серверы показывали следующее сообщение
“HELLO! Welcome to http://www.worm.com! Hacked By Chinese!” .Дальше шел
отказ в обслуживании машины.
Code Red и его преемник Code Red II
являются одними из самых дорогих червей за время истории интернета.Их
ущерб составляет около двух миллиардов долларов.
Nimda
Вирус проникал сети Интернет в виде вложенных файлов в сообщениях
электронной почты, по ресурсам локальных сетей, а также проникающий на
незащищенные IIS-серверы.
Для активизации из писем электронной почты
“Nimda” использовал брешь в системе безопасности Internet Explorer, так
что владелец незащищенного компьютера даже не заметит факта заражения.
После этого червь инициирует процедуры внедрения в систему,
распространения и запускает деструктивные функции.

В теле червя содержится строка:


Concept Virus(CV) V.5, Copyright(C)2001 R.P.China


После этого “Nimda” запускает процедуру распространения, маскируя
свои действия под фоновым процессом EXPLORER. Для отправки с зараженных
компьютеров писем электронной почты “Nimda” создает SMTP-соединение и с
его помощью пересылает свои копии на другие адреса электронной почты.

Чтобы раздобыть адреса электронной почты своих новых жертв, червь
сканировал все файлы с расширением .HTM и .HTML и выбирает из них
найденные адреса. Кроме того, при помощи MAPI-функций он получает
доступ к почтовым ящикам MS Exchange и также считывает из них адреса.

Рассылаемые “Nimda” письма имеют формат HTML. Тема письма выбиралась
случайным образом в соответствии с названием случайного файла из папки
“Мои Документы” или любого другого файла на диске C.

За первую неделю атаки вирус собрал 530 млн. Убытков настя

Анонимный комментирует...

http://ru.wikipedia.org/wiki/Microsoft_Security_Essentials (антивирус Дмитрия)

Анонимный комментирует...

http://download.windowssecrets.com/images/wsn/W20101216-TS-MSE.jpg
вика