Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
В живом виде обнаружена новая разновидность вируса LoveLetter ≈ NewLove. Она существенно превзошла оригинал по разрушительному воздействию. После рассылки своих копий по всем адресам из адресной книги MS Outlook вирус уничтожает все файлы на локальном и сетевых дисках.
Так же как и LoveLetter, он написан на языке Visual Basic Script. Распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. Для распространения использует почтовую систему MS Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook.
Червь попадает на компьютер в виде ╚пустого╩ письма с прикрепленным VBS-файлом, который, собственно, и является телом червя. Имя вложенного файла имеет длину до 30 символов и является случайным. Имя дополнено ╚ложным расширением╩, которое также выбирается случайно из следующих вариантов: Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm.
╚Настоящее╩ расширение имени вложения ≈ ╚Vbs╩, например: VPAVQXCUUNGUFLTJSL
NAUTQZXJUG.Bmp.Vbs;QKUPLSXO-OIBPAGNENGIVPN.Mp3.Vbs;TNXSOVAR
RLESDJQHQJLYSQNWV.Mdb.Vbs; HBLHCJOFFZS.Mdb.Vbs; MGQMHOTKKEXLWCJAJ.Doc.Vbs; SMXSNUZRRKDRCJQGPIKXRQN
WU.Mdb.Vbs; CWGCXE.Mp3.Vbs.
В зависимости от настроек системы настоящее расширение вложенного файла (.Vbs) может быть не показано.
Тема письма состоит из символов FW: и имени вложенного файла без расширения Vbs, например: FW: VPAVQXCUUNGUFL
TJSLNAUTQZXJUG.Bmp; FW: QKUPLSXOOIBPAGNENGIVPN.Mp3; FW: TNXSOVARRLESDJQHQJLYS
QNWV.Mdb; FW: HBLHCJOFFZS.
Mdb; FW:MGQMHOTKKEXLWCJ
AJ.Doc; FW: SMXSNUZRRKDRCJQ
GPIKXRQNWU.Mdb; FW:CWGCXE.
Mp3; FW: ZTE.Htm.
Червь портит все файлы на всех доступных дисках ≈ переименовывает с расширением Vbs и записывает в них свою копию (например, COMMAND.COM -> COMMAND.COM.VBS).
Червь использует полиморфик-алгоритм, меняющий тело червя при каждом заражении ≈ он дописывает в свой текст случайные строки-комментарии. При этом количество этих строк и, соответственно, размер червя растет от ╚поколения к поколению╩, например: 110 КБ, 248 КБ, 403 КБ, 585 КБ, 805 КБ, 1040 KБ и т. д. При этом, ╚чистый╩ код червя занимает около 5 КБ.
Лаборатория Касперского выпустила внеочередное обновление антивирусной базы AVP, содержащее процедуры удаления вируса
Появился вирус VBS/Spammer.A Worm. Он нацелен на пользователей MS Outlook, прибывает с > ╚> FW:>╩ > в строке subject и содержит расширение VBS в теле сообщения электронной почты. Имя присоединенного файла изменяется каждый раз при отправке сообщения электронной почты. Вирус Spammer Worm рассылает себя по всем адресам адресной книги Outlook, а затем переименовывает все файлы на винчестере и сетевых устройствах расширением VBS и обнуляет значение их размера. Все это полностью выводит из строя компьютерную систему и сеть, в целом. VBS/Spammer.A увеличивается по мере распространения, засоряя сеть почтовым трафиком большого объема и выводя из строя почтовые серверы.
Все присоединенные к сообщениям электронной почты файлы с расширением VBS должны немедленно удаляться, а сетевые администраторы должны блокировать в шлюзах все VBS расширения.
По мнению специалистов Computer Associates Int., вирус VBS/Spammer.A очень похож на вирус ILOVEYOU, но все же является совершенно новым, хотя и одинаково разрушительным типом вируса. Загрузить защиту против этого вируса можно с Web-сайта http://antivirus.ca.com
Еще одна новая мутация вируса ╚I Love You╩ называется Cybernet. Он заражает документы Word и Excel, а также использует MS Outlook для рассылки себя по всем адресам в адресных книгах пользователей инфицированных компьютеров. O97M/Cybernet.A прибывает на ПК пользователя со следующими характеристиками:
Поле Subject: You▓ve GOT Mail!!!
Тело сообщения: Please, saved the document after you read and don▓t show to anyone else. The document is also VIRUS FREE...so DISREGARD the virus protection warning!!!
После открытия зараженного документа вирус создает файл ╚CyberNET.xls╩ в стартовом файле Excel. Таким образом, заражаются электронные таблицы.
Вирус активируется 17 августа и 25 декабря. Его вредоносное действие заключается во вставке ряда случайных форм в открытые документы Word или Excel. Как только это сделано, O97M/Cybernet.A вставляет команду в файл AUTOEXEC.BAT. Эта команда обеспечивает вывод на экран монитора (во время очередной загрузки) следующего текста:
Vine...Vide...Vice...Moslem Power Never End...
I▓m Really Sorry, This System Have Been Recycled By -= CyberNET =-Virus!!!
Brought To You From INDONESIA...
Пока пользователь читает этот текст, вирус форматирует жесткий диск, и все данные на нем будут потеряны. Кроме того, вирус модифицирует файл CONFIG.SYS следующим образом:
SWITCHES=/N
BREAK=OFF
Эти команды исключают применение пользователем функциональных клавиш F5 и F8 во время загрузки системы, а также комбинации клавиш CTRL+C. После модификации файлов AUTOEXEC и CONFIG вирус выводит сообщение на экран. После того, как пользователь нажмет на клавишу OK, компьютер выключается и при очередной загрузке ЖД будет отформатирован.
Похоже, что этот вирус создан в Индонезии, т. к. внутри его кода содержится следующий текст:
W97M/CyberNET (C)2000 ≈ Indonesia By AnomOke! ╚I▓m NOT Responsible For Any Damage That Posible Cause By My Virus...!!
http://www.pandasoftware.com
Появился вирус-червя W97M_ RESUME.A (известный также, как Melissa.BG или RESUME). Он распространяется по электронной почте с помощью MS Outlook. В поле subject зараженного сообщения содержится: Resume ≈ Janet Simons. В свою очередь, в теле почтового послания находится следующее сообщение: ╚To: Director of Sales/Marketing, Attached is my resume with a list of references contained within. Please feel free to call or email me if you have any further questions regarding my experience. I am looking forward to hearing from you. Sincerely, Janet Simons.╩ Вирус копирует себя в: C:\WINDOWS\StartMenu\Programs\
Startup\Explorer.doc и C:\Data\
Normal.DOT. Данный вирус при активации удаляет все файлы в корневых каталогах всех доступных ЖД все файлы, хранящиеся в папке. Кроме того, удаляются файлы, отвечающие за функционирование ПК, что приводит к его неработоспособности.
В начале вирусного кода находится следующий неотображаемый текст:
Better You Than Me Buddy...
... Hope You Like My vIrUs.
Антивирусные программы можно бесплатно загрузить с Web-сайта:
http://antivirus.ca.com
Компания Computer Associa-tes Int. предупреждает о появлении ╚mstream╩, нового средства генерации распределенных атак типа ╚отказ в обслуживании╩ (DDoS, Distributed Denial of Service). Средство mstream, согласно проведенному анализу, в настоящий момент пока еще находится в стадии разработки. При его использовании любой компьютер может быть превращен в невольного соучастника организации распределенной атаки типа ╚отказ в обслуживании╩ (DDoS) против любого Web-сайта в Интернет.
Mstream было обнаружено на одной из университетских Linux-систем. Оно позволяет хакерам организовывать атаки одновременно с нескольких взломанных серверов, которые могут находиться в одной или нескольких компьютерных системах, имеющих выход в Интернет, загружая систему жертвы сетевым трафиком такого объема, который приводит к выходу ее из строя. Ущерб от таких атак обуславливается тем, что системы электронного бизнеса становятся недоступными для своих пользователей. Убытки от распределенных атак типа ╚отказ в обслуживании╩, предпринятых в отношении нескольких крупных Web-сайтов в феврале этого года, оцениваются в несколько миллиардов долларов.
CAI предлагает комплексное превентивное средство защиты против этой новой угрозы ≈ программный пакет eTrust.
http://www.cai.com
22 мая вышел патч к программе MS Outlook. Патч позволит уменьшить вероятность заражения вирусами, подобными I Love You и Melissa, он дополнит программу следующими возможностями: запрет доступа к некоторым типам файлов, рассылаемых как вложение, включая исполняемые и batch-файлы, выдача предупреждения, если внешняя программа пытается получить доступ к адресной книге, появится возможность отключения автоматически исполняемых ActiveX. Патч можно найти по адресу: http://officeupdate.microsoft.com .
24 мая компания Panda Software выпустила антивирусное ПО Panda Antivirus Platinum for Windows 2000 Professional. Основные свойства:
http://www.pandasoftware.com
По адресу: http://www.lotus.com/itcentral опубликован документ по организации защиты Lotus Notes/Domino от атак вирусов троянских коней, Интернет червей и вирусов других типов.
Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей