Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
4 мая неизвестные злоумышленники разослали зараженное ╚признание в любви╩ (Интернет червь VBS/Loveletter) по всему миру.
По предварительной оценке независимой исследовательской фирмы Computer Economics вирус ╚ILOVEYOU╩ (и его варианты) заразил более 3 млн компьютеров в мире, а финансовые убытки от его воздействия составили $8.7 млрд (из них прямые потери ≈ более $2 млрд). Больше всего пострадал корпоративный сектор. Кроме удаления файлов на зараженных ПК, вирус оказал сильное воздействие и на почтовые серверы, сокрушив целые системы. Многие организации были просто вынуждены отключить серверы, чтобы предотвратить распространение вируса по сетям. http://www.computerecono-mics.com
Пользователи получали письма одного из следующих видов:
с темой ILOVEYOU и текстами типа kindly check the attached LOVELETTER coming from me; Susitikim shi vakara kavos puodukui....; fwd: Joke; Mothers Day Order Confirmation (Сообщение в теле письма: We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place. Thanks Again and Have a Happy Mothers Day! Эта модификация на сегодня наиболее деструктивная ≈ вместо уничтожения картинок в формате JPG червь уничтожает INI и BAT файлы, что приводит к невозможности загрузить компьютер); ; Dangerous Virus Warning; Virus ALERT!!!; Important! Read carefully!!
В письме присутствует вложение в виде одного из следующих файлов LOVE-LETTER-FOR-YOU.
TXT.vbs; VERY FUNNY.VBS;
MOTHERSDAY.vbs; VIRUS_
WARNING.JPG.VBS;PROTECT.VBS; IMPORTANT.TXT.vbs.
После открытия этого вложения вирус сканирует локальные и подключенные сетевые диски и пытается переписать собой все файлы с расширениями VBS, VBE, JS, JSE, CSS, VSH, HST, HTA, JPG, JPEG. При этом оригинальные файлы утрачиваются безвозвратно. Вирус уничтожает следующие файлы: MSKernel32.vbs в системной директории Windows; Win32DLL.vbs в директории Windows; LOVE-LETTER-FOR-YOU.TXT.vbs в системной директории Windows; WinFAT32.EXE в директории Internet download; WIN-BUGSFIX.EXE в директории Internet download; Script.ini в директории mIRC.
В каталоге Windows вирус I-Worm.LoveLetter создает две своих копии с именами Win32.dll.vbs и MSKernel32.vbs . После этого червь регистрирует себя в системном реестре для автоматического запуска при старте системы. Во время работы червь просматривает адресную книгу и рассылает себя по всем найденным адресам.
Методы защиты
Для недопущения проникновения данного Интернет-червя настоятельно рекомендуется не открывать письмо и ни в коем случае не запускать вложенный файл LOVE-LETTER-FOR-YOU.TXT.vbs.
Процедуры обнаружения и удаления вируса I Worm.LoveLetter можно найти по адресу: http://www.avp.ru, .
Компания Panda Software зарегистрировала случаи вредоносного действия нескольких компьютерных вирусов:
1. Макровирус W97M/Talon.M принадлежит к семейству вирусов W97M, заражающих документы MS Word 97 и шаблон NORMAL.DOT, используемый этим приложением. Каждую субботу W97M/Talon.M отображает сообщение, подобное по стилю сообщениям, используемым Office Assistant. Кроме того, в августе этот вирус удаляет 2 системных загрузочных файла: COMMAND.COM и IOSYS.SYS. Вследствие этого загрузка зараженного ПК становится невозможной.
2. Макровирус X97M/laroux.CA инфицирует файлы MS Excel 97. Он создает файл PERSON2.XLS в стартовой папке MS Excel 97, через которую осуществляется заражение во время работы Excel (при этом автоматически открывается файл PERSON2.XLS).
3. Макровирус W97M/Marker.P заражает документы MS Word 97 и их глобальный шаблон. При закрытии документа вирус проверяет, заражен ли уже шаблон. W97M/Marker.P отключает систему защиты от макровирусов (поставляемую с Word) и подтверждение сохранения изменений в шаблоне. 22 февраля вирус удаляет все файлы в папке, где находится зараженный файл, и отображает сообщение на экране.
4.Троянский вирус Trojan/Hackatack.2k проникает в компьютер жертвы, используя программы под разными именами (преимущественно, ⌠SERVER.EXE■) и типовую иконку программы установки (setup). Для инсталляции он помещает свою копию CFGWIN32.EXE в папку C:\WINDOWS и изменяет системный регистр Windows таким образом, чтобы размещенный файл исполнялся при каждой загрузке компьютера.
Компания Panda Software выпустила бесплатную антивирусную программу Antilove.exe, предназначенную для противодействия вирусу VBS/Loveletter и его вариантам. Ее уже можно загрузить с Web-сайта http://www.pandasoftware.com
╚Лаборатория Касперского╩ представила AVP Script Checker, технологию защиты от скрипт-вирусов и червей.
Схема работы большинства известных скрипт-вирусов и червей достаточно проста: при их запуске они создают на диске свои временные копии. В этот момент их и ╚ловят╩ резидентные антивирусные мониторы. Однако возможны ситуации, когда эти вирусы не создают на диске никаких файлов, а используют исключительно память компьютера. Таким образом, мониторы просто не в состоянии обнаружить факт проникновения вируса на компьютер. ╚Лаборатория Касперского╩ предлагает своим пользователям технологию защиты как от всех известных вариантов нового Интернет-червя ╚Love-Letter╩, так и от всех его последующих мутаций. Она основана на новой технологии проверки всех скрипт-программ, которые запускаются приложениями Windows (такими, как MS Explorer, MS Internet Explorer, MS Outlook и т. д.). Защита встраивается как фильтр между приложением, для которого предназначен скрипт (например, Outlook и/или Internet Explorer), и скрипт-машиной, которая непосредственно выполняет скрипт-программу (например, MS Windows Script Host ≈ обработчик VisualBasic-скриптов). Таким образом, в момент передачи скрипта на обработку и выполнение его код перехватывается и проверяется на наличие как известных, так и неизвестных скрипт-вирусов и червей. На известные вирусы скрипт проверяется при помощи резидентного перехватчика AVP Monitor, а новые неизвестные вирусы блокируются специально разработанным эвристическим анализатором. AVP Script Checker распространяется бесплатно и доступен для загрузки по адресу:
http://www.avp.ru
http://www.kasperskylab.ru,
http://www.viruslist.com
У пользователей почтовой службы Hotmail появилась проблема с безопасностью их паролей, а, следовательно, и сообщений электронной почты. Одним из методов, используемым нападающими, является включение в сообщение JavaScript предложения, имитирующего панель ввода пароля. Жертва такого нападения повторно вводит пароль, пребывая в уверенности, что произошел сбой при соединении. В действительности же введенный пароль пересылается нападающему. Для исключения подобных случаев нарушения безопасности наиболее эффективным способом является отключение JavaScript (Active Scripting) как на Hotmail, так и на других подобных Web-серверах перед просмотром любого сообщения электронной почты.
КОМПЬЮТЕР-ИНФОРМ Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей