ня якомога раніше і можуть уповільнити створення нових черв'яків. Їх авторам доведеться вибирати між швидкою атакою і невидимої атакою. Ми сподіваємося, що така технологія залишиться можливою лише в теорії, але ймовірність подібної небезпеки необхідно брати до уваги.
Методи стиснення
Борючись з bot-хробаками, антивірусні компанії вже давно зрозуміли, що відмінності між багатьма варіантами одного і того ж хробака полягають тільки у використанні різних методів стиснення. Автори черв'яків Перекомпілюйте їх і по-іншому стискають нову програму. Варто виробникам антивірусів навчитися її дізнаватися, як умільці просто застосовують інший алгоритм, і процес триває. Існують сотні різних методів компресії, тому завдання виявлення bot-хробаків вкрай складна. Необхідно спочатку навчитися з'ясовувати метод стиснення, а вже потім застосовувати різні шаблони для пошуку черв'яків. Ми очікуємо, що в найближчі місяці в цьому напрямку буде досягнутий певний прогрес. Компанія Trend Micro, наприклад, вже працює над створенням системи сканування, яка зможе визначати спосіб компресії.
Користувачі повинні усвідомлювати небезпеку bot-хробаків, а також знати методи, які ті використовують для зараження інших комп'ютерів, щоб мати можливість захиститися від них.
Для того щоб протистояти загрозі, пропонується наступне:
Встановлювати поновлення безпеки на домашніх ПК, як тільки вони з'являються на веб-сайті корпорації Microsoft. Автоматичне оновлення вже стало додатковою можливістю, а обов'язковою функцією. Безпека домашніх систем можна забезпечити, тільки маючи підключення до Інтернету.
У корпоративних системах застосовувати програмне і апаратне забезпечення, розроблене спеціально з урахуванням захисту від таких вторгнень. Визначення і блокування мережевих пакетів, які використовують черв'яки для проникнення через слабкі місця, по суті кращий захист від такого типу malware.
3) В«Лабораторія КасперськогоВ» повідомляє про виявленні ряду модифікацій відомого мережевого хробака "Email-Worm.Win32.Bagle" . Всі нові варіанти хробака являють собою різні варіанти паковки однієї і тієї ж шкідливої вЂ‹вЂ‹програми, відмінною рисою якої є відсутність функції розмноження. Дане виконання хробака, відносить програму до класу так званих "intended" хробаків, виключає самостійне поширення злобливого коду з ураженого комп'ютера. Разом з тим, численні випадки виявлення у поштовому трафіку нових модифікацій Bagle підтверджують інформацію про те, що дана епідемія викликана ланцюгом спам-розсилок заражених хробаком листів.
Нові варіанти Bagle були розіслані через електронну пошту у вигляді вкладень в електронні листи. Черв'як являє собою виконуваний в середовищі Windows файл, прикладений до листа з довільними або відсутніми заголовком і текстом. Назва, формат і розмір прикладеного файлу також довільні. Це не дозволяє виявити заражене лист за його формальними ознаками, і саме тому кінцевого користувачеві необхідно проявляти максимальну обережність.
Активізація хробака проводиться за ініціативи користувача, який відкрив додаток до листа і тим самим запустив заражений файл. Після запуску черв'як копіює себе в системний каталог Windows і реєструє себе в ключі автозапуску системного реєстру. При цьому шкідлива програма перериває процеси, що здійснюють персональний захист комп'ютера і локальних підмереж, залишаючи атакований комп'ютер незахищеним.
В даний час антивірусними аналітиками В«Лабораторії КасперськогоВ» виявлені 9 різних варіантів "Email-Worm.Win32.Bagle". Те, що відмінність між ними незначно і складається у версії використовуваної для пакування зараженого файлу утиліти, дозволило використовувати єдину процедуру виявлення і нейтралізації всіх нових модифікацій хробака. Вона додана до бази даних Антивірусу Касперського В® як Email-Worm.Win32.Bagle.pac. Більш детальна інформація про даний наборі шкідливих програм доступна в Вірусною Енциклопедії Касперського.
2.3 Макровіруси
1) Новий макровірус розмножується за допомогою Microsoft Mail
7 березня 2008 антивірусний відділ НТЦ Kami повідомив про виявлення нового Макров іруса Macro.Word.ShareFun, який містить дев'ять макросів і поширюється через електронну пошту. Він заражає файли і систему при відкритті/закритті документів і при зверненнях до меню Tools/Macro. Проявляється цей вірус вкрай незвичайним способом - розсилає заражені документи за Microsoft Mail, якщо ця система встановлена. Ця процедура (макрос ShareTheFun) викликається при відкритті файлів (AutoOpen) з імовірністю 25%. p> При виклику вона зберігає поточний документ (вже заражений) під ім'ям C: DOC1.DOC, далі вибирає з списку адрес Microsoft Mail три випадкових адреси та посилає за цими адресами заражений файл C: DOC1.DOC. Заражені листи йдуть з заголовком: You have GOT to read this! (Ви повинні ...
