Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Появился VBS-вирус типа ╚червь╩ ≈ VBS/PLAN.A WORM, рассылающий себя по всем адресам в адресной книге MS Outlook. Он похож на ╚ILOVEYOU╩ и может привести к перегрузке почтовых серверов (в результате отказа от обслуживания).
Вирус приходит по электронной почте со следующим содержимым в поле subject:
US PRESIDENT AND FBI SECRETS =PLEASE VISIT => (http://WWW.2600.COM) В поле сообщения содержится текст: VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES.
В полях subject и сообщения могут быть также случайно генерируемые текстовые строки. Вирус присоединяется к сообщению электронной почты в виде файла со случайно генерируемым именем с одним из следующих расширений: ╚.GIF.vbs╩; ╚.BMP.vbs╩ или ╚.JPG.vbs╩.
Файлы ряда расширений (.vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg и .jpeg) будут замещены копией вируса и расширением, дополненным ╚VBS.╩ MP3- и MP2- файлы будут помечены как ╚hidden╩, а на их месте будет размещена копия вируса с тем же именем и расширением VBS.
Кроме того, 17 сентября VBS/PLAN.A WORM создаст следующее сообщение: ╚Dedicated to my best brother=>Christiam Julian
(C.J.G.S.) Att. (M.H.M. TEAM)╩. При этом, все сетевые устройства будут отсоединены. Последнюю информацию о данном вирусе можно загрузить с Web-сайта http://www.ca.com/virusinfo .
Появился вирус Fireburn.A, распространяющийся через MS Outlook по всем адресам в адресной книге и mIRC. Fireburn.A распространяется в форме сообщения электронной почты с приведенными ниже характеристиками.
В поле Subject: Hi, how are you?
В теле сообщения: Hi, look at that nice Pic attached! Watching it is a must; cu later...
К сообщению электронной почты присоединен документ (несущий инфекцию) с именем, случайным образом выбранным из следующих имен: Ultra-Hardcore-Bondage.JPG.vbs; Christina__NUDE!!!.JPG.vbs; CuteJany__BigTits!.GIF.vbs; MyGirlfriend__NUDE!.JPG.vbs; Aguiliera__NUDE!!.JPG.vbs; !Jany__Gets-fucked!.GIF.vbs; cute__EmmaPeel!!!.JPG.vbs; Julie17__xxx.GIF.vbs.
При исполнении Fireburn копирует себя в папку Windows под именем ╚rundll32.vbs.╩ Он создает следующие входы с соответствующими значениями:
HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\Run\
MSrundll32 ≈> rundll32.vbs;
HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\
RegisteredOwner ≈> FireburN.
Fireburn проверяет, существует ли регистр C:\MIRC или наличие каталога MIRC в папке Program Files. Затем вирус ищет файл MIRC.INI в этой папке, и если он есть, то вирус создает файл SCRIPT.INI в каталоге MIRC.Когда этот файл присоединяется к каналу chat через mIRC, то вирус выполняет следующие действия:
1. Переименовывает файл RUNDLL32.VBS, находящийся в инсталляционном каталоге Windows и замещает его именем, предварительно выбранным случайным образом в папке Windows System.
2. Подсоединяется к каналу ╚VIRUS╩ и посылает каждому пользователю, связанному с этим каналом, сообщение, содержащее текст: ╚Burn, Burn, Burn╩.
3. Если происходит разъединение, вирус переименовывает файл в инсталляционном каталоге Windows, как RUNDLL32.VBS.
4. Файл в папке Systems посылается всем пользователям, подсоединенным к тому же каналу, что и инфицированный компьютер.
Как только файл SCRIPT.INI создан, вирус создает свою копию в инсталляционном каталоге под случайным именем. Затем он создает сообщение электронной почты, рассылаемое при помощи функции BCC (Blind Carbon Copy) по всем адресам в адресной книге пользователя зараженного ПК. После этого вирус проверяет системную дату. Если она соответствует 20 июня, то Fireburn.A выводит на экран монитора сообщение.
Новый Интернет-червь Timofo-nica распространяется в форме VBS-файла, присоединенного к сообщению электронной почты. При активизации рассылает себя с зараженных компьютеров и устанавливает в систему троянский файл. Для распространения червь использует функции Outlook, доступные только в Outlook98/2000, и рассылает себя по всем адресам из адресной книги. Дополнительно при отправке каждого сообщения червь посылает еще одно сообщение на SMS-шлюз испанской сети MoviStar, указывая при этом случайный номер телефона. Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в ОС с установленным Windows Scripting Host (WSH ≈ в Windows 98, в Windows 2000 он установлен по умолчанию). Сначала вирус проверяет, не заражен ли уже компьютер вирусом VBS/Timofуnica. Для этого он проверяет значение ключа в Windows registry: HKCU\Software\Microsoft\Windows\CurrentVersion\ Timofonica.
Если значение ключа не равно 1, то это значит, что ПК еще не заражен, и вирус VBS/Timofуnica начинает ее заражение.
Процесс заражения происходит следующим образом:
1. Приведенному выше ключу присваивается значение для обозначения факта состоявшегося заражения. Вследствие этого исключается повторное заражение ПК.
2. В следующих Windows registry записываются следующие значения ключей:
HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\
Timofonica->1;
HKEY_CURRENT_USER\Software\
Microsoft\Office\9.0\Outlook\
Preferences\SaveSent ->0;
HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\
Run\Cmos ->Cmos.com.
3. Вирус создает файл TIMO-FONICA.TXT.VBS (с кодом вируса) в корневом каталоге ЖД.
4. В корневой папке создается текстовый файл TIMOFONICA.
TXT, в котором содержится критика испанской телекоммуникационной компании Telefуnica.
5. Создается троянский вирус, отвечающий за удаление CMOS. Он записывает файл CMOS.COM в папке Windows System и изменяет Windows registry таким образом, что троянский вирус при каждой перезагрузке ПК. Ключ Windows registry модифицируется следующим образом: HKEY_LOCAL_MACHINE\Software\
CLASSES\VBSFile\Shell\Open\
Command\ ->C:\installation_
directory_Windows\Notepad.exe C:\TIMOFONICA.TXT.
6. В последующем вирус автоматически рассылает себя по всем адресам в адресной книге пользователя и создает сообщение, рассылаемое пользователям сотовых телефонов MoviStar (Telefуnica). Адреса, по которым рассылаются сообщения, имеют следующий формат: .
Специалист группы безопасности компании Sun Micro-systems Джермано Каронни (Germano Caronni) обнаружил брешь в системе защиты известной программы шифрования Pretty Good Privacy (PGP) 5.0. Причем эта ошибка характерна для Linux- и OpenBSD-версий этого ПО, в которых используется интерфейс командной строки. В версиях PGP 2.x и 6.5, а также в версиях PGP для других платформ этой ошибки нет.
Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей