|
ОБЩИЕ
ВОПРОСЫ
HAPPY99
NUKE
ВО,
NETBUS
Win95.CIH
и ожидание клонов
Словарь
терминов
Интересный
вариант защиты локальныых компьютеров
с ОС Windows 95osr/98
Полезная
информация о троянах
ОБЩИЕ
ВОПРОСЫ
Вопрос:
Что мне может угрожать в интеренет?
Ответ:
- всевозможные сетевые атаки
- кража пароля с дальнейшим
использованием его для подключения к
провайдеру за ваш счет
- внедрение на ваш компьютер
вирусов и троянов
- подключение к вашему
компьютеру с корыстными целями
Вопрос:
Как можно максимально защитить себя от
кражи паролей и несанкционированного
доступа к компьютеру?
Ответ:
Вопрос: Я слышал, что
трояна можно получить по почте! Как это
выглядит?
Ответ: По почте вы можете получить
совершенно безобидное сообщение с
пристегнутым файлом и Вам будет
рекомендовано открыть его для
получения более подробной информации.
Авторами будет приложено немало усилий,
что бы спровоцировать Вас открыть этот
файл!
Файл скорее всего будет выглядеть как
самораспаковывающийся архив, в котором
помимо "полезной информации"
будет внедрен агент-троян, который
позаботится о том, что бы обеспечить
себе самозапуск и максимум скрытности.
Троян при этом может быть как структуры
клиент- сервер(по типу ВО), так и простым
сетевым приложением, заботящимся о
передаче по сети автору-злоумышленнику
интересующей его информации, например
файл паролей.
Вопрос: где можно еще
получить информацию в интернете по
вопросам безопасности?
Ответ:
http://www.leader.ru/cgi-bin/go?=secure
http://www.werwolf.de/
http://security.lgg.ru/
http://new.russian.net.ru/main.htm
HAPPY99
Новый вирус - первый "современный"
"Интернет-червь" (Internet Worm)
обнаружен "в живом виде". "Червь"
"выпущен на волю" в январе 1999 (предположительно
самим автором). Во второй половине
января с.г. злоумышленниками были
разосланы письма на несколько Internet-серверов
международных агентств новостей,
зараженные этим вирусом . Наибольшее
количество сообщений о появлении в
компьютерах "червя" были
зарегистрированы в Европейских сетях
Internet, особенно во Франции. Несколько
дней назад российская компания
Лаборатория Касперского
проанализировала данный вирус. "Интернет-червь"
распространяется как вложенный в
письмо EXE-файл с именем HAPPY99.EXE. При
запуске этого файла "червь"
вызывает видео - эффект, напоминающий
фейерверк, и поздравляет с Новым 1999
годом. Помимо этого, "червь"
вызывает процедуру инсталляции своего
кода в систему: копирует себя в
системный каталог Windows, перехватывает
функции работы с Internet, конвертирует
свой код в формат почтового вложения и
добавляет его к отсылаемым письмам.
Таким образом, "червь",
инсталлированный в систему, рассылает
свои копии в Internet по всем адресам, на
которые пользователь посылает
сообщения. "Червь" не использует
дисковые файлы как основные объекты
для размножения и распространения
своих копий, а рассылает свой код в сеть
Internet в виде вложений в электронные
письма. Лаборатория Касперского,
ведущий разработчик антивирусного
программного обеспечения, рекомендует
пользователям при обнаружении данного
"поздравления" в своем компьютере
не отчаиваться, а грамотно удалить его:
1. Необходимо удалить файлы SKA.EXE и SKA.DLL
из системного каталога Windows, заменить
файл WSOCK32.DLL на его незараженную копию
WSOCK32.SKA.
2. Найти и удалить первоначальный EXE-файл
HAPPY99.EXE.
Для дальнейшей защиты
компьютера от данного вируса
достаточно всего лишь установить
атрибут "только чтение" у файла
WSOCK32.DLL. "Червь" не в состоянии
заразить систему в этом случае, т.к. он
не обрабатывает атрибуты файлов.
( информация взята со страниц http://www.compulog.ru/russian/heap/avp2.html
)
NUKE
Вопрос: Что такое NUKE?
Ответ: Вид атаки типа "отказ в
обслуживании", котороя позволяет
нарушить нормальное функционирование
операционной системы компьютера
атакуемого.
Этот шиpоко известный способ атаки
получил боевое крещение в сеpедине мая
1997 года. Таким способом на несколько
дней был выведен из стpоя www.microsoft.com. Hекотоpое
вpемя после этого в сети твоpился
настоящий кошмаp. Шло массовое убийство
сеpвеpов на базеWindows NT. (Windows 98 защищен
получше, нежели младшие собратья).
Вопрос: Как выглядят
последствия такой атаки?
Ответ: Синий экран и сообщение об
неустранимой ошибке. После нажатия на
любую клавишу система возвращается в
частично работоспособное состояние
Вопрос: Что делать если мой
компьютер подвергся такой атаке?
Ответ: Перезагрузить систему и
установить необходимые обновления для
дальнейшего противостояния таким
атакам
Вопрос: Можно ли
противостоять таким атакам?
Ответ: Да, можно. Необходимо установить
соответствуюшие обновления. А версия
Windows 98 достаточно защищена, и не требует
установки обновлений.
Вопрос: Где можно
взять эти обновления и получить более
подробную информацию?
Ответ:
здесь
ВО,
NETBUS
Вопрос: Что такое ВО?
Ответ: Троян,
структуры клиент-сервер
Вопрос: Что можно сделать
используя ВО-клиента?
Ответ: ВО-клиент позволет практически
полностью управлять компьютером, на
котором размещена серверная
компонента.
Вопрос: Если у менея нет
серверной компонеты, страшны ли
попытки злоумышленника подключится к
моему компьютеру используя ВО- клиента?
Ответ: Нет, не страшны.
Вопрос: Как проверить, что у
меня нет серверной компоненты
Ответ:
1) Используйте DR.WEB 4.03: AVP
2) Используйте команду netstat -a, которая
позволяет смотреть статистику
соединений и портов (для продвинутых
пользователей)
3) Используйте программу типа @guard http://www.atguard.com/
в качестве файрвола
(для продвинутых пользователей)
Вопрос: Я использую монитор
NOBO для противостояния атакам ВО.Что мне
делать с логами, в которых отражены
реальные атаки и как мне расшифровать
эти сообщения?
Ответ: . Рекомендуем не
загружать машину достаточно
примитивными мониторами типа NOBO. Тем не
менее, если вы его используете, то отсылайте
логи в техподдержку.
Расшифровка логов:
>05.01.99 21:02:48: NOBO start listening on port
31337
Тут NoBo начал отслеживать порт 31337
>05.01.99 21:37:37: BO packet (PING) from 194.67.105.164
Тут тебя пытались пинговать
>05.01.99 21:37:37: Fake PING reply sent to 194.67.105.164
А NoBo им ответил :)
>05.01.99 21:38:08: BO packet (PING) from 194.67.105.164
Снова пингуют
>05.01.99 21:38:08: Fake PING reply sent to 194.67.105.164
См. выше
>05.01.99 21:38:18: BO packet (list passwords) from 194.67.105.164
Тут хакер(если это он конечно) пытается
посмотреть пароли на твоем компе
>05.01.99 21:38:22: BO packet (list passwords) from 194.67.105.164
Снова пароли...
>05.01.99 21:39:04: BO packet (list passwords) from
194.67.105.164....
>05.01.99 21:43:10: BO packet (system reboot) from 194.67.105.164
Тут тебе пытались перезагрузить комп.
Вопрос: Что таке NETBUS?
Ответ: Это то же троян похожий на ВО.Программа
которая умеет делатьпрактически все,
даже shut down.
Вопрос: Я знаю что есть
программа, позволяющая наказать
обидчика,использующего NETBUS. Где ее
можно взять?
Ответ: Не скажу!!!
Вопрос: Какие еще есть трояны?
Ответ: Неплохая подборка по троянам
находится на http://security.lgg.ru/procionsoft
Win95.CIH
Появился вирус, разрушающий
аппаратную часть компьютеров. 26 числа
каждого месяца, после срабатывания
деструктивного кода вируса
материнские платы компьютеров
становятся практически
неработоспособными. Но только в том
случае, если в этих компьютерах,
инфицированных вирусом Win95.CIH,
переключатель записи в
перезаписываемое программируеммое ПЗУ
(Flash BIOS) находился в положении,
разрешающем запись в это ПЗУ.
Вирус Win95.CIH был написан в
Тайване, распространялся автором этого
детища в Интернет, и в настоящее время
поразил большинство стран Юго-Восточной
Азии, а также некоторые европейские
страны (в частности, очень серьезно
пострадала Швеция).Очень опасный
резидентный вирус.
26 числа каждого месяца вирус
уничтожает содержимое Flash BIOS,
записывая в него случайные данные ("мусор").
В результате после первой же
перезагрузки компьютер перестает
загружаться.. РЕКОМЕНДУЕТСЯ всем
пользователям современных компьютеров
установить ПЕРЕКЛЮЧАТЕЛЬ на
материнской плате компьютера в
положение, запрещающее ЗАПИСЬ во Flash
BIOS! Иначе ВЫ можете НАВСЕГДА ПОТЕРЯТЬ
свой компьютер!
В настоящее время существует
3 модификации вируса Win95.CIH длиной 1003, 1010
и 1019 байт. Данные вирусы содержат в
своем теле тексты:
Win95.CIH.1003 - CIH v1.2 TTIT
Win95.CIH.1010 - CIH v1.3 TTIT
Win95.CIH.1019 - CIH v1.4 TATUNG
информация взята со
страниц http://www.dials.ru/inf/win95cih.htm
технические
подробности
При заражении файлов
вирус ищет в них "дыры" (блоки
неспользуемых данных) и записывает в
них свой код. Присутствие таких "дыр"
обусловлено структурой PE-файлов:
позиция каждой секции в файле
выравнена на определенное значение,
указанное в PE-заголовке, и в
большинстве случаев между концом
предыдущей секции и началом
последующей есть некоторое количество
байт, которые не используются
программой. Вирус ищет в файле такие
неиспользуемые блоки, записывает в них
свой код и увеличивает на необходимое
значение размер модифицированной
секции. Размер заражаемых файлов при
этом не увеличивается.
Если в конце какой-либо секции
присутствует "дыра" достаточного
размера, вирус записывает в нее свой
код одним блоком. Если же такой "дыры"
нет, вирус дробит свой код на блоки и
записывает их в конец различных секций
файла. Таким образом, код вируса в
зараженных файлах может быть обнаружен
и как единый блок кода, и как несколько
несвязанных между собой блоков.
Вирус также ищет неиспользуемый блок
данных в PE-заголовке. Если в конце
заголовка есть "дыра" размером не
менее 184 байт, вирус записывает в нее
свою startup-процедуру. Затем вирус
изменяет стартовый адрес файла:
записывает в нее адрес своей startup-процедуры.
В результате такого приема структура
файла становится достаточно
нестандартной: адрес стартовой
процедуры программы указывает не в
какую-либо секцию файла, а за пределы
загружаемого модуля - в заголовок файла.
Однако Windows95 не обращает внимания на
такие "странные" файлы, грузит в
память заголовок файла, затем все
секции и передает управление на
указанный в заголовке адрес - на startup-прецедуру
вируса в PE-заголовке.
Получив управление, startup-процедура
вируса выделяет блок памяти VMM-вызовом
PageAllocate, копирует туда свой код, затем
определяет адреса остальных блоков
кода вируса (расположенных в конце
секций) и дописывает их к коду своей
startup-процедуры. Затем вирус
перехватывает IFS API и возвращает
управление программе-носителю.
С точки зрения операционной системы
эта процедура наиболее интересна в
вирусе: после того, как вирус
скопировал свой код в новый блок памяти
и передал туда управление, код вируса
исполняется как приложение Ring0, и вирус
в состоянии перехватить AFS API (это
невозможно для программ, выполняемых в
Ring3).
Перехватчик IFS API обрабатывает только
одну функцию - открытие файлов. Если
открывается файл с расширением EXE,
вирус проверяет его внутренний формат
и записывает в файл свой код. После
заражения вирус проверяет системную
дату и вызывает процедуру стирания Flash
BIOS и секторов диска (см. выше).
При стирании Flash BIOS вирус использует
соответствующие порты чтения/записи,
при стирании секторов дисков вирус
вызывает VxD-функцию прямого обращения к
дискам IOS_SendCommand.
От себя добавлю, что в
сети появились исходники "чиха",
следовательно, стоит не расслабляться,
и не тащить на машину чего ни попадя.
Словарь
терминов
Выдержка
из текстового файла описания ВО
Back Orifice is a client/server
application which allows the client software
to monitor, administer, and perform other network and multimedia actions
on
the machine running the server. To communicate with the server, either
the
text based or gui client can be run on any Microsoft Windows machine.
The
server currently only runs in Windows 95/98.
Механизм
действия nuke
Hаpяду с обычными
данными пеpесылаемыми по TCP соединению cтандаpт
пpедустатpивает также пеpедачу сpочных (Out
Of Band) данных. Hа уpовне фоpматов пакетовTCP
это выpажается в ненулевом urgent pointer. У
большинства PC с установленным Windows пpисутствует
сетевой пpотокол NetBIOS,котоpый
использует для своих нужд 3 IP поpта: 137,
138, 139. Как выяснилось, если соединиться
с Windows машиной в 139 поpт и послать туда
несколько байт OutOfBand данных, то pеализация
NetBIOS-а не зная что делать с этими
данными попpосту подвешиваетили пеpезагpужает
машину. Для Windows 95 это обычно выглядит
как синий текстовый экpан, сообщающий
об ошибке в дpайвеpе TCP/IP и невозможность
pаботы с сетью до пеpезагpузки ОC. NT 4.0 без
сеpвис паков пеpезагpужается.
Процедура
защиты(вариант1)(для локальных
компьютеров )(Windows 95OSR /98)
-откройте Панель управления-Сеть-Конфигурация
-оставьте только "Контроллер
удаленного доступа" и протокол TCP/IP
-перезагрузите компьютер
-Откройте "сеанс MS-DOS" (Пуск-Программы-Сеанс
MS-DOS)
-выполните команду netstat -a
-убедитесь, что у вас нет
нижеперечисленных соединений(выделены
розовым цветом)(name- имя вашего
компьютера), которые и свидетельствуют
об открытом 139 порте.
Аctive Connections
Proto Local Address Foreign Address State
UDP name:nbname *:*
UDP name:nbdatagram *:*
Проделав эти нехитрые
операции вы убьете сразу нескольких
зайцев:
- закроете 139 порт от атак типа nuke
-не позволите злоумышленнику
подключиться к вашему компьютеру,
используя недостатки операционной
системы
-исчезнет возможность "запомнить
пароль" в соединениях, следовательно
если злоумышленник и "утянет" ваш
файл *.PWL то в нем он найдет мало
интересного.А неудобство с паролем
можно скомпенсировать использованием
скриптов или программы дозвона(следует
иметь в виду, что как только появляется
способ как то по новому спрятать пароль
- через некоторое время появляется
троян, способный "умыкнуть" его, и
программы дозвона здесь не исключение.
Но вероятность кражи пароля все равно
снижается, поскольку злоумышленник
должен наверняка знать какая программа
дозвона вами используется! А если вы не
использовали для инсталляции папку по
умолчанию, то задача его усложняется !)
Процедура
защиты(вариант2 Windows 95)
Процедура защиты
для winsock 1.1:
1: Установите MS
Winsock Update (wsockupd.exe) и перезагрузите
компьютер.
2: Установите MS
DUN 1.2 Upgrade (msdun12.exe) и снова
перезагрузите компьютер.
3: Установите Winsock Patch (vipup11.exe) и опять
произведите перезагрузку. (Это избавит
вас от IP-атак: SSPING, Teardrop, Bonk и Boink)
4: Установите Land
Patch (vtcpup11.exe) и в последний раз
перезагрузитесь.
Процедура защиты
для winsock 2.2:
1: Установите MS
Winsock Update (wsockupd.exe) и перезагрузите
компьютер.
2: Установите MS
DUN 1.2 Upgrade (msdun12.exe) и снова
перезагрузите компьютер
3: Установите Winsock
2.2 Upgrade (ws2setup.exe) и в последний раз
перезагрузитесь. (Устраняет опасность
Winnuke,Bonk,Boink,Teardrop2 and Land)
Внимание:
Это последняя версия Winsock 2.2 и, если
программа-детектор показала, что у вас
уже установлен Winsock 2.2, вам стоит
прочесть Winsock
2.2 Release Notes
Пользователям
WindowsNT необходимо выполнить следующую
последовательность действий:
1: Установить SP3
(nt4sp3_i.exe)
2: Установить Bonk,
Boink и Teardrop2 patch (tearfixi.exe) (Содержит ICMP-fix,
OOB-fix, Simptcp-fix и Land hotfixes)
3: Установить Server
Message Block Attack fix (srvfix-i.exe)
Cвежие программы для защиты
Windows NT находится по адресу ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postSP3
Троян
- разновидность вируса.
Все знакомы с
греческим мифом о том, как была взята
неприступная Троя. Греки оставили
ночью у ворот Трои деревянного коня,
внутри которого притаились солдаты.
Когда горожане, движимые любопытством,
втащили коня за стены города, солдаты
вырвались наружу и открыли ворота
города!
Троянские программы
действуют подобным образом!
Далее привожу реальные
примеры троянов, пришедших по почте,
классифицировав их по изощренности:
1)Троян для самых наивных,
любознательных и доверчивых!
Получал я такой! Вот пример:
-Тема письма примитивная :"prisent"
-в теле : "Подробную информацию
читайте в прилогаемом файле
-В пристегнутом, простите, прилОгаемом
файле прилОгался троян!
Грубо и не интересно!
(Автор гнусности - наш, мтушный)
2) Троян от малознакомого, но все таки не
первого встречного человека !
Расчитан на людей приемлющих принцип
" с кем ты выпил, тот и друг"!
Получила такой троян дочь (Света),
любительница погонять под ручку с "тетей
Асей".
Некий Дима Булкин из гласнета(dbulkin@glasnet.ru
(ICQ: 20321959) http://www.glasnet.ru/~dbulkin/
http://www.museum.lgg.ru/ ),
представляющий себя как вебмастер
группы "Аленушки", присылает ей
файл(exe): дескать запусти а там 3D
открытка к будущему дню рождения (странно,
а день тот еще через месяц - и
что так не терпится)!
Красавица моя не долго думая и не
спрося папу шварк его на выполнение - а
в ответ тишина!
Вот после этого вспомнила про папу: "Папа,
папа, а как эту открыточку запустить?!
Прихожу , смотрю, а он уже в реестр
прописался на автозапуск и ждет
соединения(посмотрел таскменеджером- а
это сетевое приложение)!
Ну ждешь, пожалуйста получи! После
соединения файервол спрашивает:"Программочка
тут к почтовому серверу просится,,,
Разрешать?"
Ну комментарии дальнейшие излишни!
3)Троян тщательно продуманный!
Вот тут работают люди изобретательные!
Словил я такого трояна, будучи
подписаным на почтовую рассылку
сервера IXBT, когда мне пришли два
послания :
- одно стандартное, содержащее
изменения на сервере;
-В другом был екзешничек, который после
запуска выводил на экран эти изменения
в виде красивого окна с возможностью
прокрутки и т.п.!( ну, и как выяснилось, с
трояном!)
Кто и как заполучил список рассылки и
воспользовался им таким способом -
тайна покрытая мраком!
Но скандальчик по этому поводу был и
хозяева сайта были вынуждены
оправдываться, поскольку пострадало
немало людей!
Выдал себя троян усиленным трафиком в
локальной сети!
Внимание!
НИ ОДИН ИЗ ЭТИХ ТРОЯНОВ НА МОМЕНТ
ОБНАРУЖЕНИЯ ИХ МНОЮ НЕ ОПРЕДЕЛЯЛСЯ НИ
ОДНИМ ИЗ АНТИВИРУСОВ!!!!
Вот вриант отчета,
который пересылал троян Д.Булкина(если
быть точнее, то троян которым
воспользовался Д.Булкин):
OS=Windows 95 4.10 Bld 1998
ComputerName='IGOR'
UserName='Igor'
RegisteredOwner='Igor'
RegisteredOrganization=''
ProductName='Microsoft Windows 98'
Password(
>>> *Rna\mtutest\guest)=mtu *комментарии
излишни
Password(igor/winproxy)=itbigors:Eq6A-ghp * пароль
утянутый из моего проки сервера!
Password(www.auto.ru/authentication)=itbigors@mtu-net.ru:L065077 *
мой пароль на сервере auto.ru
[ICQ User]
UIN=17858201
Email=itbigor@cityline.ru
NickName=КЛЭР
FirstName=Svetik
LastName=*_* * тут прошлись по "тете Асе"
[EType_Dialer]
[RAS_Entry_mtu]
Phone_0=995555,4,
Phone_1=995555,5,,
Phone_2=995555,6
swordSaved=s.....
LoginSaved=avt.....
[RAS_Entry_mtutest]
Phone_0=9955555,,
Phone_1=9955556,,
swordSaved=muw
LoginSaved=guest
[RAS_Entry_terminal]
Phone_0=100
swordSaved=PaSsWoRd
LoginSaved=pplogin
mtu=(7 095)9955556 (dns=195.34.32.11 dns1=195.34.32.10 )
mtutest=(7 095)9955555
terminal=(7 095)100
* с некоторыми ошибками, но распотрошил
популярную программу дозвона Edialer
Файл паролей шел
отдельным прикреплением!
Фаервол
(брандмауэр)
- регулятор доступа для компьтерной
сети, или отдельно взятого компьютера в
частности.Основная функция- фильтрация
сетевого трафика.
© 1997-2002 "МТУ-Интел". Все
права защищены.
Замечания и предложения: support@mtu.ru |
Скорая
Техпомощь Пользователю Компьютера
