на главную



Новости

Структура

Проекты

Семинары

Полезное




22 августа 2003

1. Утилита для защиты от "Sobig.f" и "Welchia"    
    
    "Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама, представляет бесплатную
утилиту для нейтрализации сетевых червей "Sobig.f" и "Welchia".

    Данная программа обнаруживает активные копии червей в памяти
компьютера, деактивирует их, удаляет зараженные файлы с жесткого и
сетевых дисков, а также восстанавливает системный реестр Windows.

    Утилита является абсолютно бесплатной и доступна для загрузки по
адресам:

    Версия в ZIP-архиве:
ftp://ftp.kaspersky.com/utils/clrav.zip

    Неархивированная версия:
ftp://ftp.kaspersky.com/utils/clrav.com

    Документация для утилиты:
ftp://ftp.kaspersky.com/utils/clrav_ReadMe.txt

    Сразу же после дезинфекции компьютера "Лаборатория Касперского"
настоятельно рекомендует установить обновление для Windows, которое
закроет брешь, используемую "Welchia". Обновление доступно бесплатно
на сайте Microsoft по адресам:

    Windows NT 4.0 Server
    английский
http://download.microsoft.com/download/6/5/1/651c3333-4892-431f-ae93-bf8718d29e1a/Q823980i.EXE
    русский
http://download.microsoft.com/download/a/f/0/af0446ae-c9c1-4207-b9ca-119e43773997/rus_Q823980i.exe

    Windows NT 4.0 Terminal Server Edition
    английский
http://download.microsoft.com/download/4/6/c/46c9c414-19ea-4268-a430-53722188d489/Q823980i.EXE

    Windows 2000
    английский
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
    русский
http://download.microsoft.com/download/e/d/b/edb1ed43-ac1f-4329-8f6a-bf6111029390/Windows2000-KB823980-x86-RUS.exe

    Windows XP 32 bit Edition
    английский
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
    русский
http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe

    Windows XP 64 bit Edition
    английский
http://download.microsoft.com/download/a/7/5/a75b3c8f-5df0-451b-b526-cfc7c5c67df5/WindowsXP-KB823980-ia64-ENU.exe

    Windows Server 2003 32 bit Edition
    английский
http://download.microsoft.com/download/8/f/2/8f21131d-9df3-4530-802a-2780629390b9/WindowsServer2003-KB823980-x86-ENU.exe
    русский
http://download.microsoft.com/download/e/6/4/e64b36a3-e529-4389-b3c5-4a02e7360454/WindowsServer2003-KB823980-x86-RUS.exe

    Windows Server 2003 64 bit Edition
    английский
http://download.microsoft.com/download/4/0/3/403d6631-9430-4ff6-a061-9072a4c50425/WindowsServer2003-KB823980-ia64-ENU.exe

**

19 августа 2003
1. Внимание! Новая модификация червя "Sobig"

"Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама сообщает об обнаружении новой
модификации сетевого червя "Sobig" (Sobig.f). Сообщения о случаях
заражения данной вредоносной программой уже поступили из России и
нескольких европейских стран.

"Sobig.f" практически ничем не отличается от своих предшественников,
первый из которых был найден в середине января 2003 г. Косметические
изменения коснулись лишь признаков рассылаемых писем (тема, текст, имена
вложенных файлов) и даты деактивации. 10 сентября червь переходит в
спящий режим и никак более не выдает своего присутствия на компьютере.

Напомним, что "Sobig" распространяется по электронной почте в виде
вложенных файлов и по ресурсам локальной сети, создавая свои копии на
открытых дисках. Для почтовой рассылки он сканирует файлы зараженного
компьютера, находит в них адреса и незаметно посылает на них свои копии.
Чтобы заставить пользователя запустить свой файл-носитель червь
использует разнообразные методы социального инжиниринга, в частности,
маскируясь под письма от технической поддержки Microsoft. Среди побочных
действий "Sobig" необходимо отметить возможность загрузки и установки с
удаленных web-серверов на зараженный компьютер обновленных версий червя
или внедрять в систему программы-шпионы.

Защита от "Sobig.f" уже добавлена в базу данных Антивируса
КасперскогоR. Более подробное описание червя доступно в Вирусной
Энциклопедии Касперского
(http://www.viruslist.com/viruslist.html?id=2744146).

**

19 августа 2003

1. "Welchia": антивирусный вирус

"Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама, сообщает об обнаружении
нового сетевого червя "Welchia", который ищет компьютеры, зараженные
"Lovesan" ("Blaster"), лечит их и устанавливает заплатку для Windows.
Служба круглосуточной технической поддержки компании уже
зарегистрировала многочисленные инциденты, вызванные данной вредоносной
программой.

"Welchia" принадлежит к разряду вирусов, несущих определенную
гуманитарную функцию. Они атакуют компьютер, проникают в систему, но не
наносят какого-либо вреда. Наоборот, они удаляют другие вредоносные
программы и иммунизируют компьютеры. Наиболее известный пример подобного
вируса был зарегистрирован (http://www.kaspersky.ru/news.html?id=251) в
сентябре 2001 г.: тогда сетевой червь "CodeBlue" искал в интернете
компьютеры, зараженные другим червем, "CodeRed", и лечил их.

"Welchia" проводит заражение подобно червю "Lovesan": через бреши в
системе безопасности. Однако, в отличие от него, "Welchia" атакует не
только уязвимость в службе DCOM RPC
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp),
но также брешь WebDAV в системе IIS 5.0
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp)
(специальное программное обеспечение для управления web-серверами). Для
проникновения на компьютеры червь сканирует интернет, находит жертву и
проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь
WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель,
устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS
системного каталога Windows и создает сервис "WINS Client".

После этого "Welchia" начинает процедуру нейтрализации червя
"Lovesan". Для этого он проверяет наличие в памяти процесса с именем
"MSBLAST.EXE", принудительно прекращает его работу, а также удаляет с
диска одноименный файл. Далее "Welchia" сканирует системный реестр
Windows для проверки установленных обновлений. В случае, если
обновление, закрывающее уязвимость в DCOM RPC не установлено, червь
инициирует процедуру его загрузки с сайта Microsoft, запускает на
выполнение и, после успешной установки, перегружает компьютер.

Наконец, в "Welchia" существует механизм самоуничтожения. Червь
проверяет системную дату компьютера и, если текущий год равен 2004,
удаляет себя из системы.

Уже сейчас распространение "Welchia" достигло глобальных масштабов.
При сохранении этой тенденции можно считать, что в течение недели червь
сможет полностью погасить эпидемию "Lovesan".

"Приходится констатировать, что и в интернете работает пословица
"Клин клином вышибают". Оказывается, самый эффективный способ борьбы с
вирусом - вирус. Во время последней эпидемии многие пользователи
проявили полное безразличие к защите своих компьютеров, из-за чего
интернет снова оказался под угрозой паралича, - сказал Денис Зенкин,
руководитель информационной службы "Лаборатории Касперского", - Жаль,
если в будущем сеть превратится в арену ожесточенной битвы вирусов,
безнаказанно заражающих компьютеры под молчаливое согласие безразличных
пользователей".

Защита от "Welchia" уже добавлена в базу данных Антивируса
Касперского. Более подробная информация о данной вредоносной
программе доступна в Вирусной Энциклопедии Касперского
(http://www.viruslist.com/viruslist.html?id=2743974).

**

15 августа 2003

1. Cетевой червь "Lovesan": вопросы-ответы

Профилактика, диагностика и лечение "Lovesan"

1. "Lovesan", "Lovsan", "Blaster", "Msblast", "Poza" - это одно и
тоже или разные черви?

Все эти имена относятся к одной вредоносной программе, но
используются разными антивирусными компаниями. В терминологии
"Лаборатории Касперского" этот червь называется "Lovesan". На данный
момент известны три модификации червя, которым некоторыми разработчиками
присвоены индексы "a", "b" и "c".

2. Как понять, заражен ли мой компьютер?

Признаками заражения компьютера являются: Наличие файлов
"MSBLAST.EXE", "TEEKIDS.EXE" или "PENIS32.EXE" в системном каталоге
Windows (обычно WINDOWS\SYSTEM32\) Внезапная перезагрузка компьютера
после соединения с Интернетом каждые несколько минут Многочисленные сбои
в работе программ Word, Excel и Outlook Сообщения об ошибках, вызванных
файлом "SVCHOST.EXE" Появление на экране окна с сообщением об ошибке
(RPC Service Failing)

3. Чем опасен этот червь для моего компьютера?

"Lovesan" не несет существенной опасности непосредственно для
зараженного компьютера. Червь не удаляет, не изменяет и не похищает
данные. Его угроза состоит в нарушении нормальной работы интернета в
целом, что происходит из-за перегрузки каналов передачи данных рассылкой
вирусного кода. Кроме того, начиная с 16 августа "Lovesan" атакует
web-сайт windowsupdate.com, на котором содержатся обновления для
операционной системы Windows. В результате этого web-сайт может выйти из
строя, и пользователи окажутся отрезанными от этой важной информации.

В этой связи "Лаборатория Касперского" рекомендует как можно быстрее
установить обновление, не дожидаясь возможных перебоев в работе
web-сайта.

4. Какие системы заражает "Lovesan"?

Червь заражает компьютеры под управлением Windows NT, Windows 2000,
Windows XP. Полный список уязвимых операционных систем приведен ниже:

Windows NT 4.0 Server
Windows NT 4.0 Terminal Server Edition
Windows 2000
Windows XP 32 bit Edition
Windows XP 64 bit Edition
Windows Server 2003 32 bit Edition
Windows Server 2003 64 bit Edition

5. Как защитить мой компьютер?

Существует несколько способов защиты от "Lovesan". Во-первых,
необходимо загрузить последние обновления антивируса и ни в коем случае
не отключать антивирусный монитор во время работы с интернетом.
Во-вторых, используйте межсетевой экран (firewall) для блокировки портов
135, 69 и 4444. Наконец, установите обновление для Windows, закрывающее
брешь, через которую "Lovesan" проникает на компьютеры. Последний способ
является наиболее эффективным, поскольку предотвращает заражение не
только "Lovesan", но также всеми его разновидностями и другими подобными
червями, использующими описанную брешь Windows.

6. Что такое межсетевой экран и где его взять?

Межсетевой экран (англ. Firewall) - это специальная программа,
которая защищает от хакерских атак, контролируя потоки данных между
интернетом и компьютером. Она допускает только безопасные соединения с
сетью, фильтрует вредоносные пакеты данных и предотвращает доступ в
интернет неавторизованных приложений.

Существуют два типа межсетевых экранов: для защиты сетей и рабочих
станций. Для защиты домашних компьютеров мы рекомендуем воспользоваться
KasperskyR Anti-Hacker (http://www.kaspersky.ru/buyonline.html?info=1092732).

7. Как устанавливать обновление для Windows?

Вам необходимо загрузить обновление с сайта Microsoft по адресам:

Windows NT 4.0 Server
(русский
(http://download.microsoft.com/download/a/f/0/af0446ae-c9c1-4207-b9ca-119e43773997/rus_Q823980i.exe),
английский
(http://download.microsoft.com/download/6/5/1/651c3333-4892-431f-ae93-bf8718d29e1a/Q823980i.EXE),
немецкий
(http://download.microsoft.com/download/a/b/9/ab93b6b0-a6cf-489e-8617-30c504e2186f/DEUQ823980i.EXE),
французский
(http://download.microsoft.com/download/0/a/6/0a650ec4-5936-4bdc-a333-4099f833a58d/fra_Q823980i.exe),
испанский
(http://download.microsoft.com/download/a/1/c/a1c2268c-00d6-4337-aa31-4792a27d1a9a/esp_Q823980i.exe))

Windows NT 4.0 Terminal Server Edition
(английский
(http://download.microsoft.com/download/4/6/c/46c9c414-19ea-4268-a430-53722188d489/Q823980i.EXE),
немецкий
(http://download.microsoft.com/download/7/d/5/7d5325d5-303e-4640-81e8-6d0815804ae7/DEUQ823980i.EXE),
французский
(http://download.microsoft.com/download/4/4/b/44b337e5-cd90-4666-b445-0109f79db350/fra_q823980i.exe),
испанский
(http://download.microsoft.com/download/8/8/f/88fdf629-315f-4390-9d5a-713c871b8895/esp_q823980i.exe))

Windows 2000
(русский
(http://download.microsoft.com/download/e/d/b/edb1ed43-ac1f-4329-8f6a-bf6111029390/Windows2000-KB823980-x86-RUS.exe),
английский
(http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe),
немецкий
(http://download.microsoft.com/download/9/2/1/921a4733-e72c-4309-89db-408b65f64b0c/Windows2000-KB823980-x86-DEU.exe),
французский
(http://download.microsoft.com/download/d/9/a/d9a3ee53-71cb-46d7-8310-6331368635ec/Windows2000-KB823980-x86-FRA.exe),
испанский
(http://download.microsoft.com/download/c/c/a/cca96cb3-cbda-4e9b-8c8e-c76505c48dfd/Windows2000-KB823980-x86-ESN.exe))

Windows XP 32 bit Edition
(русский
(http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe),
английский
(http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe),
немецкий
(http://download.microsoft.com/download/9/6/9/9692371d-a587-42bd-81ba-0df4982040ae/WindowsXP-KB823980-x86-DEU.exe),
французский
(http://download.microsoft.com/download/d/7/9/d79802a1-909a-4806-8bfc-43254bd0cd8c/WindowsXP-KB823980-x86-FRA.exe),
испанский
(http://download.microsoft.com/download/6/6/0/660dd9a5-c7b4-4d62-9c1d-025b073c1c7b/WindowsXP-KB823980-x86-ESN.exe))

Windows XP 64 bit Edition
(английский
(http://download.microsoft.com/download/a/7/5/a75b3c8f-5df0-451b-b526-cfc7c5c67df5/WindowsXP-KB823980-ia64-ENU.exe),
немецкий
(http://download.microsoft.com/download/1/a/4/1a4178c9-4f7d-4b00-a587-5a2c8b6836a4/WindowsXP-KB823980-ia64-DEU.exe),
французский
(http://download.microsoft.com/download/2/1/7/2170fd3c-ff45-4a52-91ed-8e6acdf67d5d/WindowsXP-KB823980-ia64-FRA.exe))

Windows Server 2003 32 bit Edition
(русский
(http://download.microsoft.com/download/e/6/4/e64b36a3-e529-4389-b3c5-4a02e7360454/WindowsServer2003-KB823980-x86-RUS.exe),
английский
(http://download.microsoft.com/download/8/f/2/8f21131d-9df3-4530-802a-2780629390b9/WindowsServer2003-KB823980-x86-ENU.exe),
немецкий
(http://download.microsoft.com/download/2/c/4/2c4101fe-b675-4266-9fd1-b7558710e3b4/WindowsServer2003-KB823980-x86-DEU.exe),
французский
(http://download.microsoft.com/download/9/1/e/91eee54a-9b68-49f6-aa45-b6cbd7fe5c4f/WindowsServer2003-KB823980-x86-FRA.exe),
испанский
(http://download.microsoft.com/download/2/6/0/260e8ccf-a271-42b9-8e94-60b62a0bb8c5/WindowsServer2003-KB823980-x86-ESN.exe))

Windows Server 2003 64 bit Edition
(английский
(http://download.microsoft.com/download/4/0/3/403d6631-9430-4ff6-a061-9072a4c50425/WindowsServer2003-KB823980-ia64-ENU.exe),
немецкий
(http://download.microsoft.com/download/3/0/5/3055cb12-dbb5-401f-931b-b86907ff2f63/WindowsServer2003-KB823980-ia64-DEU.exe),
французский
(http://download.microsoft.com/download/c/f/6/cf63408b-bbbf-425e-bc68-ae460cb84e2f/WindowsServer2003-KB823980-ia64-FRA.exe))

После окончания загрузки запустите файл и установка пройдет в
автоматическом режиме. Следуйте инструкциям, которые будет предоставлять
мастер установки.

8. Не могу загрузить обновление с сайта Microsoft - компьютер
постоянно перегружается.

Внезапная перезагрузка компьютера - одно из проявлений "Lovesan".
Для обеспечения передачи обновления с сайте Microsoft мы рекомендуем
найти файл TFTP.EXE (в системном каталоге Windows, обычно
\WINDOWS\SYSTEM32\, и скрытом каталоге \WINDOWS\SYSTEM32\DLLCACHE) и
переименовать его. После окончания загрузки и установки обновления можно
вернуть файлу оригинальное название.

9. Что мне делать, если вирус уже заразил мой компьютер?

Для этого достаточно использовать установленный на вашем компьютере
антивирус. Перед этим убедитесь, что антивирус содержит последние
обновления базы данных.

Также вы можете воспользоваться бесплатной утилитой для защиты от
"Lovesan", предлагаемой "Лабораторией Касперского". Данная программа
обнаруживает активную копию червя в памяти компьютера, деактивирует ее,
удаляет зараженные файлы с жесткого и сетевых дисков, восстанавливает
системный реестр Windows. После завершения работы утилиты перезагрузите
компьютер и запустите антивирусный сканер с последними обновлениями базы
данных.

Утилита является абсолютно бесплатной и доступна для загрузки по
адресам:

Версия в ZIP-архиве: ftp://ftp.kaspersky.com/utils/clrav.zip

Неархивированная версия: ftp://ftp.kaspersky.com/utils/clrav.com

Документация для утилиты: ftp://ftp.kaspersky.com/utils/clrav_ReadMe.txt


10. Воспользовался утилитой против "Lovesan", но мой компьютер
снова заразился.

Утилита только удаляет червя и восстанавливает зараженный компьютер,
но не создает иммунитет против "Lovesan". Для этого вам необходимо
установить описанное выше обновление для Windows.

Полезные ссылки:
Техническое описание "Lovesan"
(http://www.viruslist.com/viruslist.html?id=2727712)
Межсетевой экран KasperskyR Anti-Hacker
(http://www.kaspersky.ru/buyonline.html?info=1092732)
Рекомендации Microsoft
(http://www.microsoft.com/security/incident/blast.asp)
Рекомендации CERT:
первая
(http://www.cert.org/advisories/CA-2003-19.html),
вторая
(http://www.cert.org/advisories/CA-2003-20.html).



*********************************************************

14 августа 2003
1. Бесплатная утилита для лечения червя "Lovesan"

"Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама, представляет бесплатную
утилиту для нейтрализации сетевого червя "Lovesan".

Данная программа обнаруживает активную копию червя в памяти
компьютера, деактивирует ее, удаляет зараженные файлы с жесткого и
сетевых дисков, также восстанавливает системный реестр Windows. По сути
дела, данная утилита полностью восстанавливает компьютер и удаляет все
следы заражения червем.

Утилита является абсолютно бесплатной и доступна для загрузки по
адресам:

Версия в ZIP-архиве: ftp://ftp.kaspersky.com/utils/clrav.zip
Неархивированная версия: ftp://ftp.kaspersky.com/utils/clrav.com
Документация для утилиты: ftp://ftp.kaspersky.com/utils/clrav_ReadMe.txt

Сразу же после дезинфекции компьютера "Лаборатория Касперского"
настоятельно рекомендует установить обновление для Windows, которое закроет
брешь, используемую "Lovesan". Обновление доступно бесплатно на сайте
Microsoft по адресам:

Windows NT 4.0 Server
---------------------
английский:
http://download.microsoft.com/download/6/5/1/651c3333-4892-431f-ae93-bf8718d29e1a/Q823980i.EXE
русский:
http://download.microsoft.com/download/a/f/0/af0446ae-c9c1-4207-b9ca-119e43773997/rus_Q823980i.exe

Windows NT 4.0 Terminal Server Edition
--------------------------------------
английский:
http://download.microsoft.com/download/4/6/c/46c9c414-19ea-4268-a430-53722188d489/Q823980i.EXE

Windows 2000
------------
английский:
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
русский:
http://download.microsoft.com/download/e/d/b/edb1ed43-ac1f-4329-8f6a-bf6111029390/Windows2000-KB823980-x86-RUS.exe

Windows XP 32 bit Edition
-------------------------
английский:
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
русский:
http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe

Windows XP 64 bit Edition
-------------------------
английский:
http://download.microsoft.com/download/a/7/5/a75b3c8f-5df0-451b-b526-cfc7c5c67df5/WindowsXP-KB823980-ia64-ENU.exe

Windows Server 2003 32 bit Edition
----------------------------------
английский:
http://download.microsoft.com/download/8/f/2/8f21131d-9df3-4530-802a-2780629390b9/WindowsServer2003-KB823980-x86-ENU.exe
русский:
http://download.microsoft.com/download/e/6/4/e64b36a3-e529-4389-b3c5-4a02e7360454/WindowsServer2003-KB823980-x86-RUS.exe

Windows Server 2003 64 bit Edition
----------------------------------
английский:
http://download.microsoft.com/download/4/0/3/403d6631-9430-4ff6-a061-9072a4c50425/WindowsServer2003-KB823980-ia64-ENU.exe

****************************************************



С пожеланиями и советами обращаться:
Webmaster

Copyright © 1999-2003 "Интернет Центр АСФКемГУ"