Вы являетесь 1 посетителем 
с 13 июля 2000 года 

Свежие семечки :: Салфетки :: Для писем



 Размышлизмы:

 - по номерам:

01 02 03 04 05 06 07 08 09 10
11 12 13 14 15 16 17 18 19 20
21 22 23 24 25 26 27 28 29 30
31 32 33 34 35 36 37 38 39 40
41 42 43 44 45 46 47 48 49 50
51 52 53 54 55 56 57 58 59 60
61 62 63 64 65 66 67 68 69 70
71 72 73 74 75 76 77 78 79 80
81 82 83 84 85 86 87 88 89 90
91 92 93 94 95 96 97 98 99 a0

 - по названиям:

[№97] Веселуха - II.
[№96] О любви к молодым ученым.
[№95] Моя Москва.
[№94] Мечта.
[№93] Нового года... будет.

[ далее ]


 Наша кнопка:

Наша кнопка

 Случайная кнопка:

Сибирские Партизаны


   
Сергей Ткачев
  Заметка №17 07.05.00
ALL YOU NEED IS LOVE?
  Сергей Ткачев

Посмотреть/оставить комментарии к этой заметке 
За это время было оставлено комментариев: [an error occurred while processing this directive]  

Сегодня речь пойдет о любви. Любовь - она, как в том анекдоте, бывает разная - в том числе, и любовь к партии и правительству. Но не о последней, явно являющейся каким-то извращением, будет сегодня речь. Собственно, не будем говорить и о прогулках под Луной, букетах цветов, поцелуях и прочем подобном. Речь сегодня пойдет о продукте любви к программированию отдельных темных личностей - о новом сетевом черве I-Worm.LoveLetter(по классификации "Лаборатории Касперского"), известном в народе как вирус "Я-тебя-люблю".

Вообще, лично для меня было большим удивлением узнать о каких-то там "надолго парализованных сетях" по всему миру - казалось бы, сетевые черви, обычным, в общем-то, образчиком которых является и I-Worm.LoveLetter, известны уже достаточно давно, и методы предупреждения заражения и борьбы с ними также разработаны. Но... Печальный опыт с тем же CIH'ом, известным в народе как "Чернобыль", показывает, что все равно найдется куча людей, которым все эти рекомендации до фени. По крайней мере, до первого переформатированного винта :) (Если вспомнить историю, о CIH'е было известно как минимум месяца за 3-4 до его срабатывания. что нисколько не помешало ему в назначенное время 26 апреля порушить кучу компьютеров) Так и тут. Ну не может человек не открыть вложение, к тому же названное LOVE-LETTER-FOR-YOU.TXT.vbs, и пофиг, что пристствует непонятное расширение .vbs - ведь иконка-то как у текстового файла, и называется он почти так же. Опять-таки, когда получаешь от своего босса такое письмо - а вдруг? Вдруг твой босс воспылал к тебе ей, той самой? Может, это и есть тот самый единственный в жизни шанс? :) Идиотизм вечен...

Вот после этого и удивляешься, как такое может быть. А уж пресса добавит сюда свою ложку дегтя, после которой тебя начнут доставать твои сослуживцы и знакомые, плохо разбирающиеся в компьютерах, но тем не менее где-то там чего-то слышавших, что де "появился новый ужасный вирус, и что же теперь будет, и так страшно открывать e-mail - вдруг в нем вирус" и прочее, и прочее в том же духе. Кошмар просто...

Ссылки в тему
Лаборатория Касперского
Вирусная энциклопедия
Конечно, компьютерные вирусы, как правило, обладают деструктивным действием того или иного рода - порча данных, воровство паролей для доступа в Интернет или ценных данных и прочее, но все же слишком страшного, по крайней мере, по моему мнению, здесь нет. Поэтому, если вашей целью не является заиметь "коня" (в смысле, троянского, к которым зачастую и относятся сетевые черви) или другого какого "червяка", то достаточно соблюдать несколько простых правил.

Правило первое - никогда не открывать и не запускать вложений в письмах от незнакомых людей. Ни при каких обстоятельствах. Неважно, что вам сулится в письме - смешной screensaver, очередной update для Windows от Microsoft, "ломалка" Интернета :) или новая утилита. Ни одна серьезная фирма рассылкой своих продуктов не занимается. Боже упаси вас открывать исполняемый файл - на 99% это троян. Причем, исполняемый файл - это не только .exe и .com, но и .bat, .scr, .vbs и ряд других. (Пишу "ряд других", т.к. вроде с каждыми новыми версиями Windows список типов исполняемых файлов расширяется - поправьте меня, если это не так) Чревато может быть и открытие документов MS Word - трояна может не получите, но какую-нибудь гадость подцепить возможно вполне. То есть, идея такая - получили от незнакомого человека письмо с вложением - сразу стереть и забыть. Но это от незнакомого. Учитывая же сам способ размножения сетевых червей, вполне возможно и получение зараженного письма от человека, которого вы хорошо знаете. Что здесь порекомендовать? Не стоит сразу вот так кидаться открывать такое вложение. Прежде всего, подозрение должно вызвать, например, то, что письмо написано по-английски, хотя общались вы до этого исключительно на русском, или, например, с этим человеком вы общаетесь исключительно по бизнес-вопросам, и всякая рассылка утилит и прочего барахла для него, мягко сказано, нетипична. В любом случае, при появлении хоть малейшего подозрения на зараженность, лучше подстраховаться и послать запрос человеку, от которого пришло подозрительное письмо, на предмет рассылки от него. Времени это займет немного, а от заражения "червяком" спасетесь. Причем, пока приходит ответ, стирать подозрительное письмо вовсе необязательно - из ныне известных червей ни один не запускается самостоятельно (да и возможно ли это?), и для его активации необходим запуск вручную. Поэтому главное - ничего не запускать! И не открывать! И вообще, при любом подозрительном письме, лучше сразу обратиться к знающему человеку - потеря данных будет куда как плачевней, чем опасение прослыть паникером.

Правило второе - обязательно иметь на компьютере антивирусную программу! И взять за правило хотя бы раз в неделю проверять компьютер "на вшивость". Если раньше это у вас не практиковалось и, тем более, вы не имеете антивируной защиты, тогда хороший повод сделать это без промедления! Вполне может статься, что ваш компьютер прямо-таки рассадник всяческой заразы. Какой антивирус я бы порекомендовал? На сегодняшний день одним из лучших, как мне кажется, является Antiviral Toolkit Pro от "Лаборатории Касперского". Очень качественно сделанный программный продукт, ежечасная техподдержка и высокий процент выявляемости даже новых неизвестных вирусов делают его весьма лакомым кусочком для всех пользователей.

Теперь, откуда его взять? Возможны два варианта - если вы корпоративный пользователь и/или работаете в фирме и т.п., которая может оплатить этот программный продукт, то лучше его купить. Цена, если не ошибаюсь, что-то вроде 99 долларов. В принципе, наверняка окупается достаточно быстро. За дальнейшей информацией - сюда. Но что делать нам, бедным юзерам? Возможен, естественно, и второй вариант - скачать с сайта производителя полноценную демо-версию с рядом отключенных опций и затем найти крак-генератор ключа для превращения в полноценную рабочую программу. Таких "ломалок", в силу большой популярности AVP, в сети полным полно. Поищите. Одни получше, другие похуже - но какой-нибудь подойдет обязательно. Да-да, я понимаю, нехорошо, конечно, советовать такую вот бяку... Мне уже стыдно... :)

Правило (скорее, совет) третье - периодически просматривайте (но если вы в этом точно разбираетесь! Иначе за сохранность вашего компьютера я не отвечаю) следующие файлы: autoexec.bat, config.sys, win.ini, system.ini на предмет непонятных запускаемых файлов (но, как я уже повторяю, если вы точно осознаете, что делаете!) В них, естественно, не должно быть ничего лишнего. Обнаружение чего-то подозрительного может свидетельствовать о том. что вы заимели "троянца" или "червя". Следующим шагом должна стать проверка реестра. Только тут тоже осторожней - удалите чего-нибудь не то - компьютер может в следующий раз просто не загрузиться. Поэтому, если не знаете, что в регистре зачем. лучше тоже не лезьте. А смотреть нужно будет по следующим разделам:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Тут тоже не должно быть ничего лишнего. Если же обнаружили - тут уже повод обратиться к специалисту, либо попробовать запустить тот же AVP. Да, только не забывайте обновлять антивирусные базы для него, а то бывает поставят себе антивирус, и на этом успокаиваются, а ведь вирусописатели на одном месте не топчутся, знаете ли :) В этом смысле, чем AVP хорош - так тем, что обновления стали выходить для него каждый день! Вот.

...Хвалебная какая-то ода в честь Antiviral Toolkit Pro получилась :) но она (программа) того стоит. Убедитесь, не пожалеете.

Так что, как видите, все просто. Главное - осторожность и еще раз осторожность. А так... Не настолько страшен вирус, как его малюют. Ведь правда?

P.S. Прочитал у Спектатора один из способов маскировки вложенного исполняемого файла - приходит файл с названием типа "голая_баба.jpg" потом 200(!) пробелов и ".exe", То бишь поняли? Ни один броузер такое длинное имя не отображает, как правило, поэтому эдакий любитель фотографий баб голых откроет этот файл без всякой задней мысли. Психология-с! Так что всякими картинками эдакими не увлекайтесь :)

P.P.S. Кому интересно - описание I-Worm.LoveLetter (взято все оттуда же):

Интернет червь написан на скрипт языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH). В Windows 98, Windows 2000 он установлен по умолчанию. Выполняет деструктивные действия, рассылает свои копии по электронной почте и скачивает и устанавливает троянский файл из Интернет.

Проявления червя
После старта червь ищет все файлы на всех доступных дисках. Для файлов с разными расширениями червь выполняет следующие действия:
1 .VBS, VBE: Перезаписывает их собой.
2 .JS, JSE, CSS, WSH, SCT, HTA: Создает файл с именем оригинального объекта и раширением VBS, записывает в этот файл свое тело и удаляет оригинальный файл.
3 .JPG, JPEG: Файлы с такими расширениями червь затирает собой и переименовывает их, добавляя к имени и расширению файла-жертвы расширение .VBS (например -- PIC1.JPG.VBS).
4 .MP2, MP3: Создает новый файл с именем и расширением файла жертвы, добавив расширение VBS, записывает туда свое тело, а на оригинальные файлы устанавливает атрибут скрытый.
5. Если найден один из файлов: MIRC32.EXE, MLINK32.EXE, SCRIPT.INI, MIRC.HLP, MIRC.INI - создает на диске скрипт файл SCRIPT.INI в каталоге с IRC-клиентом.
6.Червь также создает на диске в системных каталогах файлы со своими копиями. Имена создаваемых файлов: MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS

Скачивание троянского файла
Червь модифицирует стартовую страницу Internet Explorer. Новая ссылка указывает на троянский файл в Интернете: WIN-BUGSFIX.EXE. Таким образом при старте Internet Explorer скачивает троянец из интернета. Затем червь проверяет существование этого файла в DOWNLOAD каталоге Internet Explorer. И если файл найден, то вирус инсталирует его для автоматического запуска в системном реестре.

Добавляет ключ:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX
Червь также создает на диске в системных каталогах файлы со своими копиями. Имена создаваемых файлов: MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS

Червь прописывает в секции для автоматического запуска файлы:
MSKernel32.vbs, Win32DLL.vbs

Модифицируются ключи системного реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

Червь создает на диске в системном каталоге WINDOWS свой HTML дроппер: LOVE-LETTER-FOR-YOU.HTM
SCRIPT.INI рассылает этот HTM-дроппер по IRC-каналам. После запуска HTML файла браузер выводит текст:
This HTML file need ActiveX Control
To Enable to read this HTML file
- Please press 'YES' button to Enable ActiveX
Затем червь создает из себя при помощи скрипт программы файл MSKERNEL32.VBS и прописывает его в автозагрузку в системном реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32

Рассылка по электронной почте
При каждом запуске червь рассылает себя при помощи клиента электронной программы Outlook 97/98/2000. Для этого червь сканирует все адреса из адресной книги и рассылает себя по электронной почте. Тема письма:
ILOVEYOU
Сообщение в теле письма:
kindly check the attached LOVELETTER coming from me.

Имя прикрепленного файла:
LOVE-LETTER-FOR-YOU.TXT.vbs

Посмотреть/оставить комментарии к этой заметке 
За это время было оставлено комментариев: [an error occurred while processing this directive]  


Данный проект реализован при непосредственной поддержке узла "Синор"



© by Сергей Ткачев aka Ash