SUNUN Posted February 13, 2004 Report Share Posted February 13, 2004 Вирусная лаборатория PandaLabs зарегистрировала появление новых червей, связанных с компьютерным вирусом Mydoom: Nachi.B (W32/Nachi.B.worm), DoomHunter.A (W32/DoomHunter.A.worm), Deadhat.B (W32/Deadhat.B.worm) и Mitglieder.A (W32/Mitglieder.A.worm). Nachi.B — это новая версия вредоносного кода, появившегося в августе 2003 года. Nachi.B удаляет Mydoom.A и Mydoom.B с зараженных компьютеров и сам начинает распространяться через бреши Windows. Nachi.B распространяется непосредственно через интернет, находя компьютеры с незащищенными портами TCP/IP 80, 135 и 445. DoomHunter.A удаляет не только Mydoom.A и Mydoom.B, но также Blaster и Doomjuice, после чего получает доступ на компьютер. Deadhat.B — это усовершенствованная версия вируса, впервые появившегося несколько дней назад. При распространении он попадает на компьютеры непосредственно через интернет, используя лазейки, созданные Mydoom.A и Mydoom.B. Также он способен распространяться, используя программу обмена файлами SoulSeek. В определенных обстоятельствах Deadhat.B способен удалять некоторые важные системные файлы, а также соединяется с каналом IRC, ожидая команд от своего автора. Mitglieder.A также попадает в системы через лазейки, оставленные червями Mydoom, копируя себя в систему под именем system.exe. Он завершает процессы определенных приложений и создает запись в реестре Windows для обеспечения своего сохранения на компьютере. В связи с обнаружением новых вирусов пользователям рекомендуется обновить антивирусные программы. Quote Link to post Share on other sites
SUNUN Posted February 27, 2004 Author Report Share Posted February 27, 2004 Самая опасная модификация вируса MyDoom Украинский Антивирусный Центр сообщает об обнаружении новой модификации печально известного вируса MyDoom - на этот раз эксперты обнаружили версию F. Данная модификация червя MyDoom является на сегодняшний день наиболее опасной для пользователей, так как содержит деструктивные функции удаления файлов. Почтовый червь MyDoom.F размножается в виде писем с присоединенными файлами, содержащими тело червя. Размер файла - 34797 байт. Bыполняемый файл червя имеет иконку текстового документа, чем сбивает с толку пользователей и подталкивает их к запуску червя. После запуска червь отображает на экране сообщение об ошибке, содержащее одну из строк: - Unable to open specified file - File cannot be opened - File is corrupted More in comments Далее MyDoom.F копирует себя в системную папку Windows со случайным именем и расширением .exe. В реестре создаётся соответствующая запись, приводящая к автоматическому запуску червя при загрузке операционной системы. Также червем создаётся в системной папке Windows DLL-файл (динамическая библиотека) со случайным именем. Данная библиотека содержит Backdoor-модуль червя. Для рассылки по электронной почте вирус собирает адреса из файлов с расширениями: WAB, MBX, NCH, MMF, ODS, RTF, UIN, OFT, MHT, VBS, MSG, PL, EML, ADB, TBB, DBX, ASP, PHP, SHT, HTM, TXT. Далее червь MyDoom.F ищет на всех дисках (от C: до Z:) файлы с расширениями MDB, DOC, XLS, SAV, JPG, AVI, BMP и случайным образом (с разной вероятностью) удаляет найденные файлы. Кроме деструктивных функций червь производит DoS атаку на WEB-сайты RIAA или Microsoft. Атака производится только в том случае, если системная дата между 17 и 22 числом любого месяца. Во время проведения атаки червь создаёт случайное количество нитей, каждая из которых производит обращение к атакуемому сайту. Кроме того, вирус имеет backdoor-модуль, который открывает порт 1080 TCP/IP. Подключившись на данный порт поражённого компьютера, злоумышленник может использовать его как Proxy-сервер, либо давать команды на закачку и запуск других файлов. Quote Link to post Share on other sites
SUNUN Posted February 28, 2004 Author Report Share Posted February 28, 2004 Появилась новая версия червя NetSky Компания Panda Software сообщила об обнаружении новой модификации вредоносной программы NetSky (другое название Moodown). Появление оригинальной версии вируса, напомним, было зафиксировано в начале прошлой недели, а спустя два дня злоумышленники выпустили во Всемирную сеть незначительно доработанный вариант червя NetSky.В. Вирус распространяется по электронной почте, а также через пиринговые сети под видом наиболее популярных программных продуктов или "крэков" к ним, например, winxp_crack.exe, Adobe Photoshop 9 full.exe, Microsoft Office 2003 Crack.exe и пр. Обнаруженная в среду 25 февраля модификация NetSky.С, как и ее предшественницы, может попасть на компьютер либо через файлообменную службу, либо посредством электронного сообщения. При этом тема письма, текст и название вложения могут быть самыми разными. После активации червь регистрируется в ключе автозапуска системного реестра Windows и создает многочисленные копии файлов с собственным кодом в директориях, название которых содержит последовательность букв shar (от sharе, "доля", англ.). Далее вирус пытается найти и удалить с ПК другую вредоносную программу - Mydoom, для чего вносит соответствующие изменения в системный реестр. Кроме того, NetSky.С генерирует произвольные звуки через внутренний динамик компьютера в том случае, если дата установлена на 26 февраля 2004 года, а время лежит в промежутке между шестью и девятью часами утра. По классификации Panda Software червь получил рейтинг высокой опасности. Вирус представляет угрозу для пользователей операционных систем Windows 2000, 95, 98, Me и XP. Quote Link to post Share on other sites
SUNUN Posted February 29, 2004 Author Report Share Posted February 29, 2004 Обнаружен новый вариант червя MyDoom В конце прошлой недели сразу несколько антивирусных компаний сообщили об обнаружении нового варианта червя MyDoom. Вредоносная программа MyDoom.F пока не получила широкого распространения, однако эксперты не исключают возможности начала новой эпидемии, cообщает "Компьюлента". Троян MyDoom.F, также как и его предшественники, распространяется по электронной почте в виде файлов-вложений. Тема письма, текст и название вложения выбираются произвольным образом из заложенного в код вируса списка. После неосторожного запуска присланного файла червь копирует себя в системную директорию Windows и регистрируется в ключе автозапуска реестра операционной системы. Кроме того, MyDoom.F пытается закрыть ряд запущенных процессов (в том числе и антивирусы), уничтожить файлы с расширениями .bmp, .avi, .jpg, .sav, .xls, .doc и .mdb и разослать свои копии по найденным на ПК адресам электронной почты. Наконец, если системная дата лежит в пределах между 17 и 22 числом месяца, червь организует DoS-атаку на сайты корпорации Microsoft и Американской ассоциации звукозаписывающих компаний (RIAA). Quote Link to post Share on other sites
SUNUN Posted March 1, 2004 Author Report Share Posted March 1, 2004 I-Worm.Netsky.d I-Worm.Netsky.d Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 17424 байт (упакован Petite, размер распакованного файла - около 27K), написан на Microsoft Visual C++. Содержимое зараженных писем Заголовок (выбирается произвольным образом): Re: Re: Document Re: Re: Thanks! Re: Thanks! Re: Your document Re: Here is the document Re: Your picture Re: Re: Message Re: Hi Re: Hello Re: Re: Re: Your document Re: Here Re: Your music Re: Your software Re: Approved Re: Details Re: Excel file Re: Word file Re: My details Re: Your details Re: Your bill Re: Your text Re: Your archive Re: Your letter Re: Your product Re: Your website Текст (выбирается произвольным образом): Your document is attached. Here is the file. See the attached file for details. Please have a look at the attached file Please read the attached file. Your file is attached. Имя вложения (выбирается произвольным образом): your_document.pif document.pif message_part2.pif document_full.pif message_details.pif your_file.pif document_4351.pif yours.pif mp3music.pif application.pif all_document.pif my_details.pif document_excel.pif document_word.pif your_details.pif your_bill.pif your_text.pif your_archive.pif your_letter.pif your_product.pif your_website.pif Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Инсталляция При инсталляции червь копирует себя с именем "winlogon.exe" в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] Рассылка писем Червь сканирует файлы с расширениями adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, wab, ищет в них адреса электронной почты и рассылает свои копии по найденным адресам. Для отправки писем червь использует собственную SMTP-библиотеку. Пытается рассылать себя через следующие SMTP-серверы: 62.155.255.16 212.185.252.73 212.185.253.70 212.185.252.136 194.25.2.129 194.25.2.130 195.20.224.234 217.5.97.137 194.25.2.129 193.193.144.12 212.7.128.162 212.7.128.165 193.193.158.10 194.25.2.131 194.25.2.132 194.25.2.133 194.25.2.134 193.141.40.42 145.253.2.171 193.189.244.205 213.191.74.19 151.189.13.35 195.185.185.195 212.44.160.8 Удаление червя Mydoom Аналогично некоторым другим червям, данный червь содержит в себе функцию "удаления" с зараженной машины червя Mydoom. Для этого он ищет в системном реестре Windows ключи "Explorer" и "Taskmon" в следующих ветках: [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun] [HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun] а также удаляет ключ: [HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32] Quote Link to post Share on other sites
SUNUN Posted March 2, 2004 Author Report Share Posted March 2, 2004 Тор-20 самых распространенных вредоносных программ в феврале 2004 г. 1. I-Worm.Mydoom.a — 69,21% 2. I-Worm.Moodown.b — 18,68% 3. I-Worm.Swen — 3,20% 4. I-Worm.Mydoom.e — 2,15% 5. I-Worm.Sober.c — 1,92% 6. I-Worm.Sobig.f — 0,82% 7. I-Worm.Mimail.a — 0,47% 8. I-Worm.Klez.h — 0,44% 9. I-Worm.Mimail.j — 0,30% 10. I-Worm.Mimail.q — 0,27% 11. I-Worm.Dumaru.j — 0,24% 12. I-Worm.Mimail.c — 0,22% 13. I-Worm.Dumaru.a — 0,19% 14. I-Worm.Lentin.m — 0,17% 15. I-Worm.NetSky (Moodown).c — 0,11% 16. I-Worm.Bagle.b — 0,10% 17. I-Worm.Mydoom.b — 0,10% 18. Win32.FunLove.4070 — 0,10% 19. Macro.Word97.Swatch.b — 0,08% 20. I-Worm.Tanatos.b — 0,07% Другие вредоносные программы — 1,16% Quote Link to post Share on other sites
SUNUN Posted March 4, 2004 Author Report Share Posted March 4, 2004 Война вирусописателей В Сети разгорается война между тремя группировками вирусописателей: создатели червей Mydoom и Bagle выступили против авторов Netsky. Всего за три часа в интернете появилось сразу пять модификаций этих вирусов, каждая из которых несет в себе очередное злобное послание к противостоящей группировке. Ситуация усугубляется тем, что на данный момент зафиксированы массовые случаи заражения этими вредоносными программами. Сегодня «Лаборатория Касперского» зафиксировала две новых модификации печально известных вредоносных программ Bagle (версии I, J) и Mydoom (версии F, G), а также одну модификацию Netsky (версия F). В теле опасных писем содержатся грубые высказывание в адрес «конкурентов» и угроза начать войну с ними. «Трудно представить более комичную ситуацию, когда горстка вирусописателей безнаказанно играет с глобальной компьютерной сетью и ни один из участников интернет-сообщества не может предпринять решительных действий по предотвращению этого беспредела, - комментирует Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского». - Причем проблема заключается не в отсутствии желания изменить ситуацию, но в несовместимости современной архитектуры интернета с требованиями к информационной безопасности». Quote Link to post Share on other sites
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.