Jump to content

Recommended Posts

Вирусная лаборатория PandaLabs зарегистрировала появление новых червей, связанных с компьютерным вирусом Mydoom: Nachi.B (W32/Nachi.B.worm), DoomHunter.A (W32/DoomHunter.A.worm), Deadhat.B (W32/Deadhat.B.worm) и Mitglieder.A (W32/Mitglieder.A.worm).

Nachi.B — это новая версия вредоносного кода, появившегося в августе 2003 года. Nachi.B удаляет Mydoom.A и Mydoom.B с зараженных компьютеров и сам начинает распространяться через бреши Windows. Nachi.B распространяется непосредственно через интернет, находя компьютеры с незащищенными портами TCP/IP 80, 135 и 445. DoomHunter.A удаляет не только Mydoom.A и Mydoom.B, но также Blaster и Doomjuice, после чего получает доступ на компьютер.

Deadhat.B — это усовершенствованная версия вируса, впервые появившегося несколько дней назад. При распространении он попадает на компьютеры непосредственно через интернет, используя лазейки, созданные Mydoom.A и Mydoom.B. Также он способен распространяться, используя программу обмена файлами SoulSeek.

В определенных обстоятельствах Deadhat.B способен удалять некоторые важные системные файлы, а также соединяется с каналом IRC, ожидая команд от своего автора. Mitglieder.A также попадает в системы через лазейки, оставленные червями Mydoom, копируя себя в систему под именем system.exe. Он завершает процессы определенных приложений и создает запись в реестре Windows для обеспечения своего сохранения на компьютере.

В связи с обнаружением новых вирусов пользователям рекомендуется обновить антивирусные программы.

Link to post
Share on other sites
  • 2 weeks later...

Самая опасная модификация вируса MyDoom

Украинский Антивирусный Центр сообщает об обнаружении новой модификации печально известного вируса MyDoom - на этот раз эксперты обнаружили версию F.

Данная модификация червя MyDoom является на сегодняшний день наиболее опасной для пользователей, так как содержит деструктивные функции удаления файлов.

Почтовый червь MyDoom.F размножается в виде писем с присоединенными файлами, содержащими тело червя. Размер файла - 34797 байт. Bыполняемый файл червя имеет иконку текстового документа, чем сбивает с толку пользователей и подталкивает их к запуску червя.

После запуска червь отображает на экране сообщение об ошибке, содержащее одну из строк: - Unable to open specified file - File cannot be opened - File is corrupted

More in comments Далее MyDoom.F копирует себя в системную папку Windows со случайным именем и расширением .exe. В реестре создаётся соответствующая запись, приводящая к автоматическому запуску червя при загрузке операционной системы.

Также червем создаётся в системной папке Windows DLL-файл (динамическая библиотека) со случайным именем. Данная библиотека содержит Backdoor-модуль червя.

Для рассылки по электронной почте вирус собирает адреса из файлов с расширениями: WAB, MBX, NCH, MMF, ODS, RTF, UIN, OFT, MHT, VBS, MSG, PL, EML, ADB, TBB, DBX, ASP, PHP, SHT, HTM, TXT.

Далее червь MyDoom.F ищет на всех дисках (от C: до Z:) файлы с расширениями MDB, DOC, XLS, SAV, JPG, AVI, BMP и случайным образом (с разной вероятностью) удаляет найденные файлы.

Кроме деструктивных функций червь производит DoS атаку на WEB-сайты RIAA или Microsoft. Атака производится только в том случае, если системная дата между 17 и 22 числом любого месяца. Во время проведения атаки червь создаёт случайное количество нитей, каждая из которых производит обращение к атакуемому сайту.

Кроме того, вирус имеет backdoor-модуль, который открывает порт 1080 TCP/IP. Подключившись на данный порт поражённого компьютера, злоумышленник может использовать его как Proxy-сервер, либо давать команды на закачку и запуск других файлов.

Link to post
Share on other sites

Появилась новая версия червя NetSky

Компания Panda Software сообщила об обнаружении новой модификации вредоносной программы NetSky (другое название Moodown). Появление оригинальной версии вируса, напомним, было зафиксировано в начале прошлой недели, а спустя два дня злоумышленники выпустили во Всемирную сеть незначительно доработанный вариант червя NetSky.В. Вирус распространяется по электронной почте, а также через пиринговые сети под видом наиболее популярных программных продуктов или "крэков" к ним, например, winxp_crack.exe, Adobe Photoshop 9 full.exe, Microsoft Office 2003 Crack.exe и пр.

Обнаруженная в среду 25 февраля модификация NetSky.С, как и ее предшественницы, может попасть на компьютер либо через файлообменную службу, либо посредством электронного сообщения. При этом тема письма, текст и название вложения могут быть самыми разными. После активации червь регистрируется в ключе автозапуска системного реестра Windows и создает многочисленные копии файлов с собственным кодом в директориях, название которых содержит последовательность букв shar (от sharе, "доля", англ.). Далее вирус пытается найти и удалить с ПК другую вредоносную программу - Mydoom, для чего вносит соответствующие изменения в системный реестр. Кроме того, NetSky.С генерирует произвольные звуки через внутренний динамик компьютера в том случае, если дата установлена на 26 февраля 2004 года, а время лежит в промежутке между шестью и девятью часами утра.

По классификации Panda Software червь получил рейтинг высокой опасности. Вирус представляет угрозу для пользователей операционных систем Windows 2000, 95, 98, Me и XP.

Link to post
Share on other sites

Обнаружен новый вариант червя MyDoom

В конце прошлой недели сразу несколько антивирусных компаний сообщили об обнаружении нового варианта червя MyDoom. Вредоносная программа MyDoom.F пока не получила широкого распространения, однако эксперты не исключают возможности начала новой эпидемии, cообщает "Компьюлента". Троян MyDoom.F, также как и его предшественники, распространяется по электронной почте в виде файлов-вложений. Тема письма, текст и название вложения выбираются произвольным образом из заложенного в код вируса списка. После неосторожного запуска присланного файла червь копирует себя в системную директорию Windows и регистрируется в ключе автозапуска реестра операционной системы. Кроме того, MyDoom.F пытается закрыть ряд запущенных процессов (в том числе и антивирусы), уничтожить файлы с расширениями .bmp, .avi, .jpg, .sav, .xls, .doc и .mdb и разослать свои копии по найденным на ПК адресам электронной почты. Наконец, если системная дата лежит в пределах между 17 и 22 числом месяца, червь организует DoS-атаку на сайты корпорации Microsoft и Американской ассоциации звукозаписывающих компаний (RIAA).

Link to post
Share on other sites

I-Worm.Netsky.d

I-Worm.Netsky.d

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам.

Червь является приложением Windows (PE EXE-файл), имеет размер около 17424 байт (упакован Petite, размер распакованного файла - около 27K), написан на Microsoft Visual C++.

Содержимое зараженных писем

Заголовок (выбирается произвольным образом):

Re: Re: Document

Re: Re: Thanks!

Re: Thanks!

Re: Your document

Re: Here is the document

Re: Your picture

Re: Re: Message

Re: Hi

Re: Hello

Re: Re: Re: Your document

Re: Here

Re: Your music

Re: Your software

Re: Approved

Re: Details

Re: Excel file

Re: Word file

Re: My details

Re: Your details

Re: Your bill

Re: Your text

Re: Your archive

Re: Your letter

Re: Your product

Re: Your website

Текст (выбирается произвольным образом):

Your document is attached.

Here is the file.

See the attached file for details.

Please have a look at the attached file

Please read the attached file.

Your file is attached.

Имя вложения (выбирается произвольным образом):

your_document.pif

document.pif

message_part2.pif

document_full.pif

message_details.pif

your_file.pif

document_4351.pif

yours.pif

mp3music.pif

application.pif

all_document.pif

my_details.pif

document_excel.pif

document_word.pif

your_details.pif

your_bill.pif

your_text.pif

your_archive.pif

your_letter.pif

your_product.pif

your_website.pif

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция

При инсталляции червь копирует себя с именем "winlogon.exe" в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

Рассылка писем

Червь сканирует файлы с расширениями adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, wab, ищет в них адреса электронной почты и рассылает свои копии по найденным адресам. Для отправки писем червь использует собственную SMTP-библиотеку.

Пытается рассылать себя через следующие SMTP-серверы:

62.155.255.16

212.185.252.73

212.185.253.70

212.185.252.136

194.25.2.129

194.25.2.130

195.20.224.234

217.5.97.137

194.25.2.129

193.193.144.12

212.7.128.162

212.7.128.165

193.193.158.10

194.25.2.131

194.25.2.132

194.25.2.133

194.25.2.134

193.141.40.42

145.253.2.171

193.189.244.205

213.191.74.19

151.189.13.35

195.185.185.195

212.44.160.8

Удаление червя Mydoom

Аналогично некоторым другим червям, данный червь содержит в себе функцию "удаления" с зараженной машины червя Mydoom. Для этого он ищет в системном реестре Windows ключи "Explorer" и "Taskmon" в следующих ветках:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]

[HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun]

а также удаляет ключ:

[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32]

Link to post
Share on other sites

Тор-20 самых распространенных вредоносных программ в феврале 2004 г.

1. I-Worm.Mydoom.a — 69,21%

2. I-Worm.Moodown.b — 18,68%

3. I-Worm.Swen — 3,20%

4. I-Worm.Mydoom.e — 2,15%

5. I-Worm.Sober.c — 1,92%

6. I-Worm.Sobig.f — 0,82%

7. I-Worm.Mimail.a — 0,47%

8. I-Worm.Klez.h — 0,44%

9. I-Worm.Mimail.j — 0,30%

10. I-Worm.Mimail.q — 0,27%

11. I-Worm.Dumaru.j — 0,24%

12. I-Worm.Mimail.c — 0,22%

13. I-Worm.Dumaru.a — 0,19%

14. I-Worm.Lentin.m — 0,17%

15. I-Worm.NetSky (Moodown).c — 0,11%

16. I-Worm.Bagle.b — 0,10%

17. I-Worm.Mydoom.b — 0,10%

18. Win32.FunLove.4070 — 0,10%

19. Macro.Word97.Swatch.b — 0,08%

20. I-Worm.Tanatos.b — 0,07%

Другие вредоносные программы — 1,16%

Link to post
Share on other sites

Война вирусописателей

В Сети разгорается война между тремя группировками вирусописателей: создатели червей Mydoom и Bagle выступили против авторов Netsky. Всего за три часа в интернете появилось сразу пять модификаций этих вирусов, каждая из которых несет в себе очередное злобное послание к противостоящей группировке. Ситуация усугубляется тем, что на данный момент зафиксированы массовые случаи заражения этими вредоносными программами. Сегодня «Лаборатория Касперского» зафиксировала две новых модификации печально известных вредоносных программ Bagle (версии I, J) и Mydoom (версии F, G), а также одну модификацию Netsky (версия F). В теле опасных писем содержатся грубые высказывание в адрес «конкурентов» и угроза начать войну с ними. «Трудно представить более комичную ситуацию, когда горстка вирусописателей безнаказанно играет с глобальной компьютерной сетью и ни один из участников интернет-сообщества не может предпринять решительных действий по предотвращению этого беспредела, - комментирует Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского». - Причем проблема заключается не в отсутствии желания изменить ситуацию, но в несовместимости современной архитектуры интернета с требованиями к информационной безопасности».

:hm:

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...