Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Исключительно опасный ╚троянец╩ Eurosol крадет информацию о личных счетах в международной финансовой системе WebMoney. Лаборатория Касперского уже предприняла необходимые меры, чтобы предотвратить эту финансовую аферу и закрыла все используемые Eurosol серверы.
Eurosol замаскирован под программу CC-Bank, позволяющую якобы получить деньги за просмотр рекламных модулей. Для этого пользователь просматривает 15 баннеров, после чего CC-Bank как будто выдает номер реальной кредитной карточки с определенной суммой на счету, при помощи которой можно свободно совершать покупки.
Это всего лишь ширма. После запуска CC-Bank Eurosol внедряется на компьютер и сканирует содержимое установленных жестких дисков в поиске ключевых файлов от клиентской программы системы WebMoney Transfer (www.webmoney.ru).
WebMoney ≈ универсальная внебанковская система, позволяющая проводить мгновенные расчеты в Интернет. С ее помощью можно совершать покупки в электронных магазинах, создавать собственные магазины, реализующие online-продажи в Интернет, а также производить расчеты с другими участниками системы. Кроме того, виртуальные деньги можно свободно конвертировать в наличную валюту и обратно.
Для получения сведений о личном счете жертвы в системе WebMoney Eurosol находит файлы Keys.kwm (секретный ключ) и Purses.kwm (виртуальный ╚кошелек╩). В случае успешного поиска файлы шифруются и отсылаются на удаленный FTP-сервер. Для обеспечения успешной передачи информации ╚троянец╩ нейтрализует установленный на компьютере персональный межсетевой экран ATGuard. Для этого Eurosol модифицирует его настройки так, чтобы ATGuard не реагировал на установление TCP/IP-соединения с внешними серверами.
В дальнейшем, злоумышленник может получить украденные ╚кошельки╩ и ключи к ним с этого FTP-сервера и подключить их к своей копии программы WebMoney. После этого он может перевести имеющиеся в ╚кошельках╩ деньги на свой банковский счет или получить наличные почтовым переводом на свое имя.
Для обнаружения ╚троянской╩ программы рекомендуется полностью просканировать содержимое жестких дисков. Описание Eurosol .
Интернет-червь Homepage уже вызвал массовую эпидемию по всему миру. Он использует для внедрения примитивный метод социального инжиниринга, и не представляет опасности для тех, кто следует правилам ╚компьютерной гигиены╩. Homepage написан на скрипт-языке Visual Basic Script (VBS) и работоспособен только в ОС с установленным обработчиком скрипт-программ Windows Scripting Host (в Windows 98, Windows 2000 он установлен по умолчанию). Иначе файл-носитель червя просто не сможет быть выполнен. Главной отличительной чертой червя является то, что его код зашифрован, для того чтобы избежать обнаружения эвристическими анализаторами.
Червь распространяется в электронных письмах. Для распространения использует MS Outlook и рассылает себя по всем адресам из адресной книги. Рассылаемые червем письма имеют вид:
Тема: Homepage
Текст: Hi!
You▓ve got to see this page! It▓s really cool ;O)
Вложение: homepage.html.vbs
После массовой рассылки писем Homepage, чтобы не вызвать подозрений пользователя, действительно, как и обещано в тексте сообщения, открывает один из 4-х порнографических Web-сайтов, адреса которых содержатся в коде червя. Чтобы избежать двойной рассылки зараженных писем с одного и того же компьютера, червь создает в системном реестре ключ ╚HKCU\software\An\mailed╩ и записывает в него значение ╚1╩.
Описание
Интернет-червь I-Worm.DragonBall представляет собой скрипт, написанный на VBS, и рассылается в письмах электронной почты и по каналам IRC. Для этого он использует MS Outlook и IRC. Червь содержит несколько фатальных ошибок, из-за чего он не может распространяться.
При запуске скрипта он создает свои копии в системных каталогах, а также создает три скрипта в каталоге, где установлен IRC.
Скрипты для IRC предназначены для того, чтобы червь мог рассылать себя по каналам IRC. Поскольку имена каталогов C:\Windows и C:\mIRC прописаны в теле червя, он не сможет выполнить эти процедуры, если ОС и IRC установлены в другие каталоги.
Для активизации процедуры собственного распространения по электронной почте червь открывает адресную книгу MS Outlook и для каждого встреченного адреса создает письмо следующего содержания:
Тема: Hello;
Текст: Hi, check out this game that j sent you (funny game from the net:]).
Вложение: dragonball.vbs
К каждому письму червь пытается приклеить файл со своим телом. Ввиду того, что в теле червя содержатся ошибки, процедура рассылки неработоспособна, и поэтому червь не может распространяться по электронной почте.
http://www.viruslist.com/viruslist.asp?id=4292&key= 00001000140000100062.
Win32.HLLW.Showgame. Опасный резидентный Win32-вирус. Не заражает файлы, а передается ╚как есть╩ ≈ в виде 70 КБ EXE-файла Windows. По 26-м числам ежемесячно вирус уничтожает содержимое файлов в корне диска C:. Сами файлы остаются на месте, но имеют нулевую длину. На русской версии Windows по субботам вирус выводит на экран белый эллипс.
http://www.viruslist.com/viruslist.asp?id=4320&key= 00001000050000400092.
Интернет-червь I-Worm.Xanax был обнаружен в середине марта 2001. При своем распространении червь использует почтовую систему MS Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. Червь также рассылает себя в IRC-каналы и заражает EXE-файлы в каталоге Windows.
Червь написан на языке C++ и откомпилирован MS Visual C++. Размер около 60 KБ, однако он был обнаружен в упакованном виде (сжат утилитой ASPack) с размером зараженного файла около 34 KБ. Для рассылки зараженных писем создает дополнительный VBS-файл и записывает в него скрипт-программу, которая получает доступ к MS Outlook, открывает адресную книгу, достает оттуда по 1000 адресов из каждого списка адресов и рассылает по ним письма с прикрепленной к ним копией червя. Тема, содержимое письма и имя прикрепленного файла выглядят следующим образом:
Тема сообщения: Stressed? Try Xanax!
Тело сообщения:
Hi there! Are you so stressed that it makes you ill? You▓re not alone! Many people suffer from stress, these days. Maybe you find Prozac too strong? Then you NEED to try Xanax, it▓s milder. Still not convinced? Check out the medical details in the attached file. Xanax might change your life!
Вложение: xanax.exe
Червь заражает все EXE-файлы в каталоге Windows, кроме файлов, имена которых начинаются с букв: E, P, R, S, T или W. При заражении червь ╚сдвигает╩ тело файла-жертвы вниз, а сам записывается в начало файла.
http://www.viruslist.com/viruslist.asp?id=4302&key= 00001000140000100067.
Интернет-червь VBS.Hard распространяется в электронных письмах, использует MS Outlook Express и рассылает себя по всем адресам из адресной книги Windows.
Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в ОС с установленным Windows Scripting Host (WSH √ в Windows 98, в Windows 2000 он установлен по умолчанию).
Червь распространяется с прикрепленным VBS-файлом www.symantec.com.vbs, который, собственно, и является телом червя. Письмо имеет следующие характеристики:
Тема = ╚FW: Symantec Anti-Virus Warning╩
Текст =
From: [[email protected]]
To: [[email protected]]; [[email protected]];
[[email protected]]; [[email protected]];
[[email protected]]; [[email protected]];
[[email protected]]
Subject: FW: Symantec Anti-Virus Warning
Hello,
There is a new worm on the Net.
This worm is very fast-spreading and very dangerous!
Symantec has first noticed it on April 04, 2001.
The attached file is a description of the worm and how it replicates itself.
With regards,
F. Jones
Symantec senior developer
Будучи запущенным из письма, червь создает поддельную страницу с якобы информацией о вирусе VBS.AmericanHistoryX_II@mm. На самом деле, такого вируса не существует. Затем червь создает несколько файлов:
Some shocking news
Don▓t look surprised!
It is only a warning about your stupidity
Take care!
Оба файла червь регистрирует в системном реестре в секции автозапуска. Таким образом, они запускаются при каждом старте Windows. Кроме того, он прописывает в реестр и поддельную страницу о вирусе как стартовую страницу для Internet Explorer. Чтобы избежать двойной рассылки зараженных писем с одного и того же компьютера, червь создает в системном реестре ключ ╚HKLM\SOFTWARE\Microsoft\WAB\OE Done╩ и записывает в него значение ╚Hardhead_SatanikChild╩.
Червь I-Worm.Challenge для распространения использует MS Outlook Express 5. В отличие от большинства червей этого класса, он не прикрепляет к заражаемому письму дополнительный файл-вложение, а встраивает свое тело в письмо как скрипт.
Червь полностью работоспособен только в системах с установленным MS Outlook Express. В MS Outlook червь также активизируется и заражает систему, но распространяться дальше не может. Под другими почтовыми системами работоспособность червя зависит от возможностей данной почтовой системы.
Принцип работы червя в общем аналогичен известному червю KakWorm, за исключением того, что он не зависит от версии Windows и ее языка (KakWorm работает на английской и французской версиях Windows 95/98).
Периодическое сканирование дисков антивирусными сканерами не обеспечивает защиту от этой разновидности червей: каждый раз, когда открывается зараженное сообщение, вирус снова заражает систему. Кроме того, если включен предварительный просмотр сообщения, то достаточно просто выбрать зараженное сообщение в списке сообщений ≈ и вирус опять активизируется.
http://www.viruslist.com/viruslist.asp?id=4294&key= 00001000140000100063.
Сетевой червь VBS.Mcon.b распространяется, создавая свои копии на локальных и сетевых дисках, а также сканируя сети на предмет доступных IP-адресов. Будучи запущенным (пользователем, либо автоматически ≈ из каталога автозагрузки) червь копирует себя в каталог шрифтов Windows (каталог Fonts). Затем он прописывает скопированный файл в системном реестре таким образом, чтобы этот файл автоматически запускался при каждом старте Windows. Если червь был запущен из каталога, отличного от Fonts и Startup, он завершает работу имитируя системную ошибку сообщением:
ERROR
FILE I/O ERROR
Если же червь был запущен из каталога Fonts (при старте Windows), он запускает процедуру распространения.
Эта процедура сканирует локальные и сетевые диски компьютера и в каждом каталоге создает копию файла червя. Имя файла выбирается следующим образом: из списка последних используемых пользователем файлов (Recent files) случайным образом выбирается файл, затем к его имени добавляется больше сотни пробелов и лишь затем расширение ╚.vbs╩.
Таким образом, настоящее расширение файла ╚.vbs╩ спрятано пробелами и не отображается в проводнике.
http://www.viruslist.com/viruslist.asp?id= 4293&key=00001000120000 200005.
Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (с 27.08.2021) - (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
Пейджер 238-6931(аб.3365)
e-mail:
Для пресс-релизов и новостей