вирусы...

lolita · February 24, 2004

Зарегистрирована первая глобальная эпидемия ICQ-червя (ICQ-вируса)

"Лаборатория Касперского" предупреждает об обнаружении нового сетевого червя "Bizex", который вызвал первую глобальную эпидемию среди пользователей интернет-пейджера ICQ.

На компьютер жертвы доставляется ICQ-сообщение, где, в частности, предлагается посетить хакерский веб-сайт. Для маскировки пользователю показываются мультфильмы из популярного сериала "Joecartoon". Тем временем в систему незаметно проникает Java-вирус, который, используя брешь в ICQ, незаметно рассылает от имени владельца компьютера ссылку на вышеуказанный веб-сайт.

"Лаборатория Касперского" рекомендует пользователям в случае получения ссылки на веб-сайт "jokeworld" немедленно удалить данное сообщение и ни в коем случае не посещать указанный сайт.

Новосибирск.Ru также предостерегает своих пользователей от открытия незнакомых ссылок, пересылаемых по ICQ.

Информационная служба Новосибирск.Ru

SUNUN · February 24, 2004

Worm.Win32.Bizex

Worm.Win32.Bizex

Вирус-червь, распространяющийся по интернету при помощи интернет-пейджера ICQ.

Червь рассылает пользователям ICQ сообщения с URL указывающими на файл, содержащий процедуры автоматической загрузки и исполнения на компьютере пользователя вредоносных компонент.

Размножение

При обращении к ссылке

http://www.jokeworld.xxx/xxx.html (где xxx - замененные нами символы)

происходит использование CHM-уязвимости, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя.

Данный архив содержит в себе файл "ie######er.html", представляющий собой скриптовый TrojanDropper, который извлекает из себя в различные системные каталоги файл "WinUpdate.exe".

Для платформы Windows 2000 и Windows XP:

"C:Documents and SettingsAll UsersStart MenuProgramsStartupWinUpdate.exe"

Для платформы Windows 98:

"c:windowsStart MenuProgramsStartupWinUpdate.exe"

Данный файл является троянской программой класса TrojanDownloader, которая загружает с удаленного сайта основной компонент червя и записывает его во временный каталог, с именем "aptgetupd.exe".

Этот файл получает доступ к списку контактов ICQ и рассылает по всем найденным адресам вышеприведенную ссылку.

Кроме того, данная компонента обладает функцией кражи разнообразной банковской информации. Более подробный анализ этого компонента будет доступен позже.

Прочее

При открытии ссылки, помимо использования CHM-эксплойта, происходит попытка загрузки и исполнения Java-архива, содержащего различные TrojanDownloader детектируются как Trojan.Java.Classloader и TrojanDownloader.Java.OpenConnection), которые также пытаются загрузить на компьютер компоненты червя.

SUNUN · February 24, 2004

Yaha

Другие названия:

W32.Yaha.C@mm [symantec], W32/Yaha.gen [McAfee], WORM_YAHA.C [Trend], I-Worm.Lentin.d [AVP], Win32.Yaha.C [CA], W32/Yaha-C [sophos]

W32.Yaha.C@mm - червь массовой почтовой рассылки по всем адресам из Windows Address Book, MSN Messenger, Yahoo Pager, ICQ и файлов в расширении которых имеются буквы HT. Рассылаемые червем инфицированные сообщения имеют все переменные характеристики, а расширение вложения - двойное.

Вирус использует известную уязвимость MIME, которая позволяет запустить вложение уже при предварительном просмотре сообщения. Копирует себя в директорий Windows, а найденные адреса для рассылки писем сохраняет в виде файла из дважды повторяющегося случайного набора шести цифр с расширением .dll, который он устанавливает либо в папку C:Recycler или C:Recycled, либо в директорий Windows.

Затем червь модифицирует ключ системного реестра HKCUexefileshellopencommand Таким образом червь стартует для всех запускаемых файлов. Если червь запускается из файла MSTASKMON.EXE, он модифицирует секцию автозапуска файла WIN.INI.

Все характеристки рассылаемых червем инфицированных сообщений переменные с подставленным (фальшивым) адресом отправителя.

Заголовок рассылаемых сообщений содержит одну из следующих строк или их комбинацию с текстом "Fw:" или без него:

searching for true Love

Who is ur Best Friend

True Love

Free Screen saver

Looking for Friendship

Find a good friend

I am For u

Nothink to worryy

Say 'I Like You' To ur friend

Wowwwwwwwwwww check it

Enjoy Romantic life

war Againest Loneliness

Let's Laugh

Learn How To Love

love speaks from the heart

Shake it baby

One Hackers Love

The world of lovers

Check ur friends Circle

how are you

U realy Want this

humour

exciteCool

Idiot

Bullsh*t

Funny Great

Shaking

Joke

Screensaver

Love

stuff

to ur lovers

to see

to watch

to share

! you care ur friend

make ur friend happy

Dont wait for long time

Friendship Screen saver

Need a friend?

Best Friends

Life for enjoyment

Ur My Best Friend

Easy Way to revel ur love

Send This to everybody u like

Let's Dance and forget pains

How sweet this Screen saver

One Way to Love

Are you looking for Love

Enjoy friendship

Shake ur friends

Origin of Friendship

The world of Friendship

Friendship

U r the person?

Romantic

NewWonderfool

charming

Nice

One

LoveGangs

powful

Interesting

Friendship

relations

to ur friends

for you

to check

to enjoy

)

!!

Текст сообщения может содержать такие строки:

Check the attachment

See the attachement

Enjoy the attachement

More details attached

Hi Check the Attachement .. See u

Hi Check the Attachement ..

Attached one Gift for u..

wOW CHECK THIS

Then there can follow a fake undeliverable message report or a fake screensaver subscription message. In case the worm sends a fake bounced message, it looks like that:

This message was created automatically by mail delivery software (Exim).

A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: %EmailAddress%

For further assistance, please contact %EmailAddress% If you do so, please include this problem report. You can delete your own text from the message returned below.

Copy of your message, including all the headers is attached

Then there goes an EML file attachment with random name that contains the worm's sample and usually IFrame exploit to make the attachment run automatically on unpatched e-mail clients.

In case the worm spreads itself with a fake screensaver subscription message, it looks like that:

This e-mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message.

***********************************************************

Enjoy this friendship Screen Saver and Check ur friends circle...

Send this screensaver from <сгенерированный URL> to everyone you consider a FRIEND, even if it means sending it back to the person who sent it to you. If it comes back to you, then you'll know you have a circle of friends.

* To remove yourself from this mailing list, point your browser to: <сгенерированный URL> * Enter your email address (%EmailAddress%) in the field provided and click "Unsubscribe".

* Reply to this message with the word "REMOVE" in the subject line.

This message was sent to address %EmailAddress% X-PMG-Recipient: %EmailAddress%

где %EmailAddress% - электронный адрес.

Имя прикрепленного файла выбирает из списка + ".scr":

screensaver

screensaverforu

lovers

loversgang

lovers

shareit

friendscircle

friendscr

friendship4u

friendsworld

bullshitscr

shakinglove

rishtha

friendsgreetings

truefriends

screensaver4u

freescreensaver

lovescr

loveshore

enjoylove

checkfriends

friendship

friends

friendshipbird

werfriends

shakeit

shakingfriendship

greetings

friendsearch

truelovers screensaver4u

love

loverscreensaver

love4u

sharelove

urfriend

friends

friends4u

friendshipforu

passion

shakescr

passionup

lovegreetings

lovefinder

f*cker

Имя также может быть сдвоенным основная часть имени:

loveletter

resume

biodata

dailyreport

mountan

goldfish

weeklyreport

report

love

Первое расширение имени:

doc mp3 xls wav txt jpg gif dat bmp htm mpg mdb zip

Второе расширение имени:

pif bat scr

Червь может рассылать себя по локальной сети. Один из потоков сканирует сеть и ищет для всех открытых ресурсов каталоги с именами:

WINXP

WINME

WIN

WINNT

WIN95

WIN98

WINDOWS

Червь ищет в этих каталогах файл WIN.INI. Если файл найден, то червь копирует себя в этот каталог под именем MSTASKMON.EXE и модифицирует файл WIN.INI таким образом, чтобы дроппер червя стартовал при следующей перезагрузке. Файл WIN.INI обрабатывается только системами Windows 9x и игнорируется системами на базе Windows NT.

Червь сканирует запущенные процессы в памяти и завершает их работу. Список процессов:

PCCIOMON

AVSYNMGR

NMAIN

NISSERV

NAVLU32

PCCWIN98

MCAFEE

CFINET

ZONEALARM PCCMAIN

VSHWIN32

LUALL

RESCUE32

NAVRUNR

IOMON98

ANTIVIR

CFINET32

WINK POP3TRAP

VSSTAT

LUCOMSERVER

SYMPROXYSVC

NAVWNT

FP-WIN

WEBSCANX

AVP.EXE

SIRC32 WEBTRAP

NAVAPW32

IAMAPP

NISUM

PVIEW95

NVC95

SAFEWEB

LOCKDOWN2000

SCAM32 AVCONSOL

NAVW32

ATRACK

NAVAPSVC

F-STOPW F-PROT95

NORTON

ICMON

AVP32

Червь содержит отдельные функции для сканирования памяти в разных операционных системах.

Процедура проверки памяти выполняется постоянно.

Это дает возможность червю не давать запускаться процессам из списка.

Червь также завершает и не дает запуститься Windows Task Manager.

Вирус создает в директории Windows текстовый файл [Имя переменное].txt

который содержит следующие строки:

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

W32.YAHA-III

Author :H^H,[email protected]

Origin :India,Kerala

I like Klez,Sircam,But i hate the bullsh*t payloads

Is i am a good coder?? still i have dout huhh!!!

Beware Indian Hackers..Tomarrow is ours!!!

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

Червь отправляет сообщения на следующие почтовые адреса:

98471[шесть случайных цифр]@escotelmobile.com

98460[шесть случайных цифр]@bplmobile.com

Эти сообщения имеют следующие характеристики:

Тема: Beware Indian Hackers!!!!

Текст: We r the Great Indians, Enjoy My w32/yaha!!! By H^H

Для рассылки сообщений используется собственный SMTP-клиент. Если червю не удается произвести рассылку через SMTP-сервер инфицированного пользователя, то он использует имеющиеся в его теле другие адреса серверов.

Yaha.K

Другие названия: Win32/Yaha.K@mm, W32/Yaha.k, I-Worm.Lentin.i, W32/Yaha-K, Win32.Yaha.K, W32/Yaha.M-mm

Тип: почтовый червь массовой рассылки

Уязвимые операционные системы: Windows 95/98/Me/NT/2000/XP

Признаки инфицирования:

наличие в системной директории Windows файлов nav32_loader.exe, tcpsvs32.exe и WinServices.exe

наличие следующих записей в системном реестре:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinServices

WinServices = "%System%WinServices.exe"

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

WinServices = "%System%WinServices.exe"

HKEY_CLASSES_ROOTexefileshellopencommand "(Default)"

"%System%nav32_loader.exe""%1"%*

самопроизвольная остановка процессов ряда антивирусных программ и межсетевых экранов

25 марта или 22 мая появление на экране следующего сообщения: Happy Birthday Dear

смена функций левой и правой кнопок мыши

замена по четвергам во всех файлах в папке Мои Документы атрибутов этих файлов на "скрытые" ("hidden")

появление на Рабочем столе пользователя текстового файла aYerHS.txt с атрибутом "скрытый"

Описание вируса:

Win32.HLLM.Yaha.1 - почтовый червь, написанный на Visual С++. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Упакован упаковщиком UPX. Размер червя в упакованном виде 34,304 байт.

Червь распространяется по электронной почте, используя свою собственную реализацию протокола SMTP. Значение сервера SMTP для зараженного компьютера червь находит в следующем ключе реестра:

HKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccounts (при этом червь перебирает несколько вариантов бюджетов пользователей, которые могут быть созданы на зараженном компьютере).

Адреса для рассылки червь получает из адресной книги Windows (WAB), списка контактов Yahoo Messenger, а также из файлов в расширениях которых содержатся символы "ht."

Почтовое сообщение, рассылаемое червем, обладает следующими характеристиками:

Отправитель: содержит ложный адрес, подставляемый червем для сокрытия реального источника рассылки зараженных писем, и может быть одним из следующих:

[email protected]

[email protected] admincodeproject.com

[email protected]

Тема сообщения выбирается червем из большого списка, хранящегося в теле червя:

Are you the BEST

Learn SQL 4 Free

Wanna be like a stone ?

Sexy Screensavers 4 U

Sample Playboy

XXX Screensavers 4 U

Wanna be a HE-MAN

One Virus Writer's Story

World Tour

Wanna be my sweetheart ??

Jenna 4 U

Feel the fragrance of Love

Sample KOF 2002

Wanna Rumble ??

Demo KOF 2002

Wanna be friends ??

Are you beautiful

Free Screenavers of Love

Free Screensavers

Freak Out

Things to note

Patch for Elkern.gen

Free Screensavers 4 U

Free Win32 API source

I Love You

Are you a Soccer Fan ?

Check it out

Hardcore Screensavers 4 U

We want peace

Visit us

One Hacker's Love

Whats up

Screensavers from Club Jenna

Free rAVs Screensavers

Wanna Hack ??

The King of KOF Wanna Brawl ??

Play KOF 2002 4 Free

Free Demo Game

Need money ??

Who is your Valentine

Free XXX

WWE Screensavers

Wanna be friends ?

Lovers Corner

Patch for Klez.H

Project Sample Screensavers

Текст сообщения: в теле червя содержится несколько вариантов текстов, составляющих при формировании инфицированного письма тело такого сообщения. Наименование вложения выбирается червем из следующего списка и всегда содержит расширение .exe. или src. (расширения исполняемых файлов ОС Windows):

The_Best.scr

I_Love_You.scr

Real.scr

Playboy.scr

Screensavers.scr

Services.scr

World_Tour.scr

Sexy_Jenna.scr

Ravs.scr

Hacker.scr

KOF_Demo.exe

King_of_Figthers.exe

MyProfile.scr

Valentines_Day.scr

THEROCK.scr

Notes.exe

FixKlez.com Codeproject.scr

Stone.scr

Plus6.scr

Hardcore4Free.scr

Peace.scr

VXer_The_LoveStory.scr

up_life.scr

Jenna_Jemson.scr

Free_Love_Screensavers.scr

KOF_Fighting.exe

KOF_The_Game.exe

KOF.exe

Ways_To_Earn_Money.exe

zXXX_BROWSER.exe

FreakOut.exe

Cupid.scr

Romantic.scr SQL_4_Free.scr

Sex.scrSoccer.scr

Plus2.scr

xxx4Free.scr

Body_Building.scr

Hacker_The_LoveStory.scr

Sweetheart.scr

zDenka.scr

Romeo_Juliet.scr

KOF_Sample.exe

KOF2002.exe

My_Sexy_Pic.scr

Beautifull.scr

Britney_Sample.scr

MyPic.scr

FixElkern.com

Project.exe Love.scr

Инфицирование системы:

Будучи активированным червь копирует себя в системную директорию Windows (в Windows 9x и Windows ME это C:WindowsSystem, в Windows NT/2000 это C:WINNTSystem32, в Windows XP это C:WindowsSystem32) в виде трех файлов:

nav32_loader.exe

tcpsvs32.exe

WinServices.exe

Для обеспечения своего автоматического запуска при каждом начале работы пользователя в Windows червь вносит изменения в следующие реестровые записи:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinServicesWinServices = "%System%WinServices.exe"

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWinServices = "%System%WinServices.exe"

Для обеспечения своей активации при запуске любого исполняемого файла в реестровую запись

HKEY_CLASSES_ROOTexefileshellopencommand "(Default)"

червь добавляет данные "%System%nav32_loader.exe""%1"%*

В операционных системах Windows NT/2000 червь копирует себя в виде одного из следующих файлов

hotmail_hack.exe

world_of_friendship.scr

Sweet.scr

Friend_Finder.exe

love.scr

GC_Messenger.exe

Friend_Happy.scr

colour_of_life.scr

funny.scr

friendship.scr

shake.scr

Be_Happy.scr

I_Like_You.scr

dance.scr

True_Love.scr

Best_Friend.scr life.scr

friendship_funny.scr

Поселившись в системе червь производит следующие действия:

Пытается прервать найденные им процессы ряда антивирусных программ, межсетевых экранов (брандмауэров) и другого софта, связанного с обеспечением компьютерной безопасности, а также редактора системных ресурсов:

REGEDIT

N32SCANW

NRESQ32 NPSSVC

NVC95

F-STOPW

NAVAPSVC

VSECOMR

PCFWALLICON

ATRACK

NAVW32

AVCONSOL

ESAFE.EXE

ZONEALARM

CFINET

ANTIVIR ACKWIN32

_AVPM

NOD32

FP-WIN

PVIEW95

NISUM

VETTRAY

NSCHED32

IAMAPP

NAVAPW32

WEBTRAP

AVPM.EXE

AVP32

ICMON

F-AGNT95

LOCKDOWNADVANCED

_AVPCC

IOMON98

NAVWNT

SYMPROXYSVC

TDS2-NT

IAMSERV.EXE

LUCOMSERVER

VSSTAT

POP3TRAP

AVPCC.EXE

LOCKDOWN2000

RMVTRJANSAFEWEB

SWEEP95

NSPLUGIN

_AVP32

PCCWIN98

NAVRUNR

RESCUE32

TDS2-98

FRW.EXE

LUALL

VSHWIN32

PCCMAIN

AMON.EXE

AVP.EXE

WEBSCANX

25 марта или 22 мая червь демонстрирует на экране дисплея следующее сообщение:

Заголовок You are my Best Friend

Текст: happy Birthday Dear

После нажатия кнопки "OK" меняет местами функции левой и правой кнопок мыши.

Предпринимает попытки осуществления DoS-атаки на один из серверов Исламской Республики Пакистан

Модифицирует реестровую запись

HKLMSoftwareMicrosoftInternet ExplorerMainStart Page

изменяя стартовую страницу Internet Explorer на одну из следующих:

http://www.unixhideout.com

http://www.hirosh.tk

http://www.neworder.box.sk

http://www.blacksun.box.sk

http://www.coderz.net

http://www.hackers.com/html/neohaven.html

http://www.ankitfadia.com

http://www.hrvg.tk

http://www.hackersclub.up.to

http://geocities.com/snak33y3s

По четвергам во всех файлах, хранящихся на компьютере пользователя в папке Мои Документы червь меняет атрибуты таких файлов на "скрытые".

В четверг помещает на Рабочий стол пользователя обычный текстовый файл под названием aYerHS.txt с атрибутом "скрытый".

Таким образом, новая модификация червя из семейства Yaha мало чем отличается от других представителей этого семейства. Данная модификация этого почтового червя обращает на себя внимание прежде всего своим широким распространением в сети Интернет. По данным Службы мониторинга вирусной активности ЗАО "ДиалогНаука", червь практически с самого момента своего появление и внесения в вирусную базу Dr.WebR стабильно занимает место в первой десятке самых распространенных вирусов.

По материалам ЗАО "ДиалогНаука"

Yaha.S

Вирус-червь W32.Yaha.S@mm(по классификации Symantec) - очередной вариант многочисленного семейства W32.Yaha@mm, является червем массовой почтовой рассылки, который прекращает все активные процессы антивирусных программ и программ межсетевой защиты.

Для рассылки инфицированных писем вирус использует адреса из Windows Address Book, из контактных листов MSN Messenger, .NET Messenger, Yahoo Pager и ICQ, а также из файлов, в расширениях которых имеется сочетание HT.

Тема, текст и имя вложенного файла - многовариантны:

Тема: одна из нижеперечисленных:

Are you the BEST

Free Win32 API source

Learn SQL 4 Free

I Love You..

Wanna be like a stone ?

Are you a Soccer Fan ?

Sexy Screensavers 4 U

Check it out

Sample Playboy

Hardcore Screensavers 4 U

XXX Screensavers 4 U

We want peace

Wanna be a HE-MAN

Visit us

One Virus Writer's Story

One Hacker's Love

World Tour

Whats up

Wanna be my sweetheart ??

Screensavers from Club Jenna

Jenna 4 U

Free rAVs Screensavers

Feel the fragrance of Love

Wanna Hack ??

Sample KOF 2002

The King of KOF

Wanna Brawl ??

Wanna Rumble ??

Play KOF 2002 4 Free

Demo KOF 2002

Free Demo Game

Wanna be friends ??

Need money ??

Are you beautiful

Who is your Valentine

Free Screenavers of Love

Free XXX

Free Screensavers

WWE Screensavers

Freak Out

Wanna be friends ?

Things to note

Lovers Corner

Patch for Elkern.gen

Patch for Klez.H

Free Screensavers 4 U

Project

Sample Screensavers

Are you in Love

I am in Love

I Love You

You are so sweet

The Hotmail Hack

U realy Want this

to ur lovers

to ur friends

Find a good friend

Learn How To Love

Are you looking for Love

Wowwwwwwwwwww check it

Check ur friends Circle

The world of Friendship

Shake it baby

How sweet this Screen saver

war Againest Loneliness

Need a friend?

Say 'I Like You' To ur friend

love speaks from the heart

Let's Dance and forget pains

Looking for Friendship

True Love

make ur friend happy

Who is ur Best Friend

hey check it yaar

Check this shit

Hello

Hi

Текст: один из нижеперечисленных:

hey,

did u always dreamnt of hacking ur friends hotmail account..

finally i got a hotmail hack from the internet that really works..

ur my best friend thats why sending to u..

check it..just run it..enter victim's address and u will get the pass.

hi,

check the attached love screensaver

and feel the fragrance of true love..

Hi,

check the attached screensaver..

its really wonderfool..

i got it from freescreensavers.com

Hi,

check ur friends circle using the attached friendship screensaver..

check the attached screensaver

and if u like it send it to all those you consider

to be true friends... if it comes back to you then

you will know that you have a circle of friends..

Hi,

check the attached screensaver

and enjoy the world of friendship..

Hi,

are u in a rocking mood...

check the attached scrennsaver and start shaking..

Hi,

Check the attached screensaver..

Hi,

Are you lonely ??..

check the attached screensaver and

forget the pain of loneliness

Hi,

Looking for online pals..

check the attached friend finder software..

Hi,

sending you a screensaver..

check it and let me know how it is...

Hi,

Check the attached screensaver

and feel the fragrance of true love...

Hey,

I just got this wonderfull screensaver from freescreensaver.com..

Just check it out and let me know how it is..

I just came across it.. check out..

====================================================

========

Are you one of those unfortunate human beings who are desperately looking for friends.. but still not getting true friends with whom you can share your everything..

anyway you wont feel down any more cause GC Chat Network has brought up a global chat and online match making system using its own GC Messenger. Attached is the fully functional free version of GC Instant Messenger and Match Making client..

Just install, register an account with us and find thousands of online pals all over the world..

You can also search for friends by specific country,city,region etc. Regards Admin, GC Global Chat Network System..

Hi,

So you think you are in love..

is it true love ? you may think right now that you are in

true love but it is certainly possible that it is nothing

but a mere infatuation to you..

anyway to know yourself better than you have ever known check

the attached screensaver and feel the fragrance of true love..

Hey pal,

you know friendship is like a business...

to get something you need to give something..

though its not that harsh as business but to

get love and care from your friends you need to give

love,care and respect to your friends.. right {BR>

check the attached screensaver and you will learn how to

make your friends happy..

Hi,

Its quite obvious that in our life we have numerous friends

but.. BUT Best Friend can only be ONE.. right {BR>so can you decide who is

your best friend {BR>i guess not.. cause mostly you will find that your best friend

wont care about u like somebody else..

anyway i found one way to find who is my best friend..

check it..

just check the attached screensaver.. answer some questions

in it and also ask your best friend to answer the questions..

..then you will know more about him..

Hey pal,

wanna have some fun in life... {BR>feel like life is too boring and monotonous..

check the attached screensaver and bring colours

to your black & white life..

Hi,

I just came across this funny screensaver..

sending it to u.. hope u like it..

check out and die laughing..

<<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>>

<<<<<>>>>>

This E-Mail is never sent unsolicited. If you receive this

E-Mail then it is because you have subscribed to the official

newsletter at the KOF ONLINE website.

King Of Fighters is one of the greatest action game ever made.

Now after the mind boggling sucess of KOF 2001 SNK proudly

presents to you KOF 2002 with 4 new charecters.

Even though we need no publicity for our product but this

time we have decided to give away a fully functional trial

version of KOF 2002. So check out the attached trial version

of KOF 2002 and register at our official website to get a free

copy of KOF2002 original version

Best Regards,

Admin,KOF ONLINE..

<<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>>

<<<<<>>>>>

Hello,

I just came across your email ID while searching in the Yahoo profiles.

Actually I want a true friend 4 life with whom I can share my everything.

So if you are interested in being my friend 4 life then mail me.

If you wanna know about me, attached is my profile along with some of my

pics. You can check and if you like it then do mail me.

I will be waiting for your mail.

Best Wishes,

Your Friend..

Hello,

Looking for some Hardcore mind boggling action ?

Install the attached browser software and browse

across millions of paid hardcore sex sites for free.

Using the software you can safely and easily browse

across most of the hardcore XXX paid sites across the

internet for free. Using it you can also clean all

traces of your web browsing from your computer.

Note:The attached browser software is made exclusivley

for demo only. You can use the software for a limited

time of 35 days after which you have to register it

at our official website for its furthur use.

Regards,

Admin.

Klez.H is the most common world-wide spreading worm.It's very dangerous by

corrupting your files. Because of its very smart stealth and anti-anti-virus technic,

most common AV software can't detect or clean it. We developed this free immunity tool

to defeat the malicious virus. You only need to run this tool once,and then Klez will

never come into your PC

Hello,

The attached product is send as a part of our official campaign

for the popularity of our product.

You have been chosen to try a free fully functional sample of our

product.If you are satified then you can send it to your friends.

All you have to do is to install the software and register an account

with us using the links provided in the software. Then send this software

to your friends using your account ID and for each person who registers

with us through your account, we will pay you $1.5.Once your account reaches

the limit of $50, your payment will be send to your registration address by

check or draft.

Please note that the registration process is completely free which means

by participating in this program you will only gain without loosing anything.

Best Regards,

Admin,

Вложение: одно из нижеперечисленных:

The_Best.scr

I_Love_You.scr

Real.scr

Playboy.scr

Screensavers.scr

Services.scr

World_Tour.scr

Sexy_Jenna.scr

Ravs.scr

Hacker.scr

KOF_Demo.exe

King_of_Figthers.exe

MyProfile.scr

Valentines_Day.scr

THEROCK.scr

Notes.exe

FixKlez.com

Love.scr

Life.scr

True_love.scr

I_like_you.scr

Sweet.scr

Friendship.scr Codeproject.scr

Stone.scr

Plus6.scr

Hardcore4Free.scr

Peace.scr

VXer_The_LoveStory.scr

up_life.scr

Jenna_Jemson.scr

Free_Love_Screensavers.scr

KOF_Fighting.exe

KOF_The_Game.exe

KOF.exe

Ways_To_Earn_Money.exe

zXXX_BROWSER.exe

FreakOut.exe

Cupid.scr

Romantic.scr

friendship_funny.scr

Best_friend.scr

Gc_messenger_exe

Friend_finder_exe

Shake.scr

Funny.scr SQL_4_Free.scr

Sex.scrSoccer.scr

Plus2.scr

xxx4Free.scr

Body_Building.scr

Hacker_The_LoveStory.scr

Sweetheart.scr

zDenka.scr

Romeo_Juliet.scr

KOF_Sample.exe

KOF2002.exe

My_Sexy_Pic.scr

Beautifull.scr

Britney_Sample.scr

MyPic.scr

FixElkern.com

Project.exe

Colour_of_life.scr

Friend_happy.scr

Dance.scr

Be_happy.scr

World_of_friendship.scr

Hotmail_hack_exe.scr

Вложение имеет расширения .exe или .scr. Рассылка инфицированных писем производится червем с помощью собственной реализации протокола SMTP.

Червь написан на Microsoft C++ и упакован UPX.

На инфицированный компьютер вирус устанавливается в системный директорий как

exeLoader.exe

mstask32.exe.

с атрибутами Hidden. Если атрибуты будут изменены пользователем, то червь автоматически немедленно их восстановит.

Также вирус устанавливает свою копию в системный директорий как один из нижеперечисленных файлов:

Hotmail_hack.exe

World_of_friendship.scr

Sweet.scr

Friend_finder.exe

Love.scr

Gc_messenger.exe

Friend_happy.scr

Life.scr

Friendship_funny.scr Friendship.scr

Shake.scr

Be_happy.scr

I_like_you.scr

Dance.scr

True_love.scr

Best_friend.scr

Colour_of_life.scr

Funny.scr

Если на инфицированном ПК установлена операционная система Win9x, то вирус регистрируется в ней как сервисный процесс.

Червь закрывает все процессы содержащие следующие строки:

Process Viewer

Registry Editor

System Configuration Utility

А затем прекращает выполнение всех активных процессов антивирусных программ и программ межсетевой защиты в соответствии с имеющися в нем списком:

WINMGM32.EXE

SYSHELP.EXE

WINGATE.EXE

NAV32_LOADER

MSNMSG32REGEDIT

TCPSVS32

WINSERVICES

TDS2-

REGEDIT

TBSCAN

SPHINX

ECENGINE

ESPWATCH

FINDVIRU

IBMASN

IBMAVSP

WINK

MOOLIVE

MPFTRAY

NAVNT

NUPGRADE

PADMIN

PAVSCHED

PERSFW

RAV7

WFINDV32

CLEANER

CFIAUDIT

CFIADMIN BLACKICE

BLACKD

AVGCTRL

AVNT

AVKSERV

AVSCHED32

AVWUPD32

AUTODOWN

APVXDWIN

ANTI-TROJAN

SCAM32

SIRC32

ACKWIN32

F-AGNT95

SWEEP95

VET95

N32SCANW

_AVPM

LOCKDOWNADVANCED

NSPLUGIN

NSCHEDNT

NRESQ32

NPSSVC

NOD32

_AVPCC

_AVP32

NORTON

NVC95

FP-WIN IOMON98

PCCWIN98

F-PROT95

F-STOPW

PVIEW95

NAVWNT

NAVRUNR

NAVLU32

NAVAPSVC

NISUM

SYMPROXYSVC

RESCUE32

NISSERV

VSECOMR

VETTRAY

TDS2-NT

TDS2-98

SCAN32

PCFWALLICON

NSCHED32

IAMSERV.EXE

FRW.EXE

MCAFEE

ATRACK

IAMAPP

LUCOMSERVER

LUALL

NMAIN

NAVW32 NAVAPW32

VSSTAT

VSHWIN32

AVSYNMGR

AVCONSOL

WEBTRAP

POP3TRAP

PCCMAIN

PCCIOMON

ESAFE.EXE

AVPM.EXE

AVPCC.EXE

AMON.EXE

ALERTSVC

ZONEALARM

AVP32

LOCKDOWN2000

AVP.EXE

CFINET32

CFINET

ICMON

RMVTRJANSAFEWEB

WEBSCANX

PVIEW

ANTIVIR

Если на инфицированном ПК установлена операционная система Windows NT/2000/XP, червь автоматически прекращает выполнение в памяти компьютера сервиса Windows Task Manager. После этого вирус начинает атаку на отказ в обслуживании Denial of Service (DoS) на следующие Web-сайты:

kse.com.pk

comsats.com

pcb.gov.pk

paki.com

pakistan.gov.pk

Каждую среду червь

изменяет стартовую страницу браузера на

http:/ /www.indiansnakes.cjb.net,

копирует себя на все локальные, сетевые и открытые для записи диски как reg32.exe,

копирует себя как

C:Documents and SettingsAll UsersStart MenuProgramsStartupMSRegScanner.exe, с атрибутами "только для чтения".

Yaha.T

_avp32

_avpm

Ackwin32.exe

Agentw.exe

Alogserv

Amon9x.exe

Ants.exe

Apvxdwin.exe

Atupdater.exe

Autodown

Autotrace

Avgcc32

Avgctrl.exe

Avgserv.exe

Avgw.exe

Avkserv.exe

Avkwctl9.exe

Avp32.exe

Avpm.exe

Avsynmgr

Avwinnt

Avxmonitornt

Avxquar.exe.exe

Blackd

Blackice.exe

Claw95

Claw95cf

Cleaner

Cmgrdian

Connectionmonitor.exe

Cpdclnt.exe

Defalert

Defwatch

Dvp95

Efpeadm

Etrustcipe.exe

Evpn.exe

F-agnt95.exe

Fch32.exe

Fnrb32.exe

F-prot95.exe

Frw.exe

Fsav32.exe

Fsm32.exe

Fsmb32.exe

F-stopw.exe

Gbpoll

Generics.exe

Guarddog.exe

Iamapp.exe

Iamserv.exe

Icload95.exe

Icmon.exe

Icsupp95.exe

Iface.exe

Isrv95.exe

Ldnetmon.exe

Ldscan.exe

Lockdown2000

Luall.exe

Luspt.exe

Mcmnhdlr.exe

Mcupdate

Mcvsshld

Mgavrte

Minilog

Monitor.exe

Mpfagent.exe

Mwatch

Nav32_loader

Navapsvc.exe

Navengnavex15

Navw32

Ndd32

Netutils

Nisum

Normist

Nprotect

Npssvc

Ntrtscan

Ntxconfig

Nupgrade.exe

Nwservice

Padmin

Pavproxy.exe

Pccntmon

Pccwin98

Persfw

Pop3trap

Portmonitor

Programauditor

Rapapp.exe

Rav7win.exe

Rescue

Rtvscn95.exe

Sbserv.exe

Scrscan.exe

Sphinx

Spyxx.exe

Sweep95.exe

Swnetsup.exe

Symtray.exe

Tc.exe

Tcm.exe

Tfak

Vbcons

Vet32.exe

Vet95.exe

Vettray.exe

Vpc32.exe

Vsched.exe

Vshwin32

Vsmon

Vsstat.exe

Webscanx.exe

Wgfe95.exe

Winmgm32.exe

Wradmin.exe

Wrctrl.exe

Zonealarm

_avp32.exe

_avpm.exe

Ackwin32.exe

Alertsvc

Alogserv.exe

Anti-trojan

Apvxdwin

Atcon

Atwatch

Autodown.exe

Autotrace.exe

Avgcc32.exe

Avgctrl.exe

Avgserv9

Avkpop

Avkservice

Avp

Avpcc

Avpm.exe

Avsynmgr

Avwinnt.exe

Avxmonitornt.exe

Avxw

Blackd.exe

Cdp.exe

Claw95

Claw95cf

Cleaner.exe

Cmgrdian

Cpd

Cpdclnt.exe

Defalert.exe

Defwatch.exe

Dvp95.exe

Efpeadm.exe

Etrustcipe.exe

Expert

Fameh32

Fih32

F-prot

Fp-win

Fsaa

Fsgk32

Fsma32

F-stopw

Gbmenu

Gbpoll.exe

Guard

Iamapp

Iamserv

Iamstats

Icloadnt

Icsupp95

Icsuppnt

Iomon98

Jedi

Ldpromenu

Lockdown

Lockdown2000.exe

Lucomserver

Mcagent

Mcshield.exe

Mcupdate.exe

Mcvsshld.exe

Mgavrte.exe

Minilog.exe

Monitor.exe

Mpfservice

Mwatch.exe

Navap

Navapw32

Navlu32

Navw32.exe

Ndd32.exe

Netutils.exe

Nisum.exe

Normist.exe

Nprotect.exe

Npssvc.exe

Ntrtscan.exe

Ntxconfig.exe

Nvc95

Nwservice.exe

Padmin.exe

Pavproxy.exe

Pccntmon.exe

Pccwin98.exe

Persfw.exe

Pop3trap.exe

Portmonitor.exe

Programauditor.exe

Rav7

Realmon

Rescue.exe

Rulaunch

Scan32

Smc

Sphinx.exe

Ss3edit

Sweepnet

Symproxysvc

Syshelp.exe

Tca

Tcpsvs32

Tfak.exe

Vbcons.exe

Vet95

Vettray

Vir-help

Vptray

Vsecomr

Vshwin32.exe

Vsmon.exe

Watchdog

Webtrap

Wimmun32

Winservices

Wradmin.exe

Wrctrl.exe

Zonealarm.exe _avpcc

Ackwin32

Advxdwin

Alertsvc.exe

Alogserv.exe

Anti-trojan.exe

Apvxdwin

Atcon.exe

Atwatch.exe

Autodown.exe

Avconsol

Avgctrl

Avgserv

Avgserv9.exe

Avkpop.exe

Avkservice.exe

Avp.exe

Avpm

Avsched32

Avsynmgr

Avxmonitor9x

Avxquar

Avxw.exe

Blackd.exe

Cfgwiz

Claw95.exe

Claw95cf.exe

Cleaner3

Cmgrdian.exe

Cpd.exe

Ctrl

Defscangui

Doors

Dvp95_0

Efpeadm.exe

Evpn

Expert.exe

Fameh32.exe

Fih32.exe

F-prot.exe

Fp-win.exe

Fsaa.exe

Fsgk32.exe

Fsma32.exe

F-stopw

Gbmenu.exe

Gbpoll.exe

Guard.exe

Iamapp

Iamserv

Iamstats.exe

Icloadnt.exe

Icsupp95

Icsuppnt.exe

Iomon98.exe

Jedi.exe

Ldpromenu.exe

Lockdown.exe

Lockdown2000.exe

Lucomserver.exe

Mcagent.exe

Mctool

Mcvsrte

Mgavrtcl

Mghtml

Monitor

Moolive

Mpfservice.exe

Mwatch.exe

Navapsvc

Navapw32

Navlu32.exe

Navwnt

Neowatchlog

Nisserv

Nmain

Notstart

Npscheck

Nsched32

Ntvdm

Nui.exe

Nvc95.exe

Nwtool16

Pavproxy

Pcciomon

Pccwin97

Pcscan

Perswf

Poproxy

Processmonitor

Pview95

Rav7.exe

Realmon.exe

Rescue.exe

Rulaunch.exe

Scan32.exe

Smc.exe

Sphinx.exe

Ss3edit.exe

Sweepsrv.sys

Symproxysvc.exe

Taumon

Tca.exe

Tds-3

Vbcmserv

Vet32

Vet95

Vettray

Vir-help.exe

Vptray.exe

Vsecomr.exe

Vsmain

Vsmon.exe

Watchdog.exe

Webtrap.exe

Wimmun32.exe

Wradmin

Wrctrl

Zapro

_avpcc.exe

Ackwin32

Advxdwin.exe

Alogserv

Amon9x

Ants

Apvxdwin.exe

Atupdater

Autodown

Autodown.exe

Avconsol.exe

Avgctrl

Avgserv

Avgw

Avkserv

Avkwctl9

Avp32

Avpm

Avsched32.exe

Avsynmgr.exe

Avxmonitor9x.exe

Avxquar.exe

Blackd

Blackice

Cfgwiz.exe

Claw95.exe

Claw95cf.exe

Cleaner3.exe

Connectionmonitor

Cpdclnt

Ctrl.exe

Defscangui.exe

Doors.exe

Dvp95_0.exe

Etrustcipe

Evpn.exe

F-agnt95

Fch32

Fnrb32

F-prot95

Frw

Fsav32

Fsm32

Fsmb32

F-stopw.exe

Gbpoll

Generics

Guarddog

Iamapp.exe

Iamserv.exe

Icload95

Icmon

Icsupp95.exe

Iface

Isrv95

Ldnetmon

Ldscan

Lockdown2000

Luall

Luspt

Mcmnhdlr

Mctool.exe

Mcvsrte.exe

Mgavrtcl.exe

Mghtml.exe

Monitor

Moolive.exe

Mpftray.exe

Nav auto-protect

Navapsvc.exe

Navapw32.exe

Navw32

Navwnt.exe

Neowatchlog.exe

Nisserv.exe

Nmain.exe

Notstart.exe

Npscheck.exe

Nsched32.exe

Ntvdm.exe

Nupgrade

Nvsvc32

Nwtool16.exe

Pavproxy

Pcciomon.exe

Pccwin97.exe

Pcscan.exe

Perswf.exe

Poproxy.exe

Processmonitor.exe

Pview95.exe

Rav7win

Rescue

Rtvscn95

Sbserv

Scrscan

Sphinx

Spyxx

Sweep95

Swnetsup

Symtray

Taumon.exe

Tcm

Tds-3.exe

Vbcmserv.exe

Vet32.exe

Vet95.exe

Vettray.exe

Vpc32

Vsched

Vshwin32

Vsmain.exe

Vsstat

Webscanx

Wgfe95

Wingate.exe

Wradmin

Wrctrl

Zapro.exe

Инфицированное сообщение может иметь следующие характеристики:

Тема: одна из следующих:

Are you in Love

I am in Love

I Love You

You are so sweet

The Hotmail Hack

U realy Want this

to ur lovers

to ur friends

Find a good friend

Learn How To Love

Are you looking for Love

Wowwwwwwwwwww check it

Check ur friends Circle

The world of Friendship

Shake it baby

How sweet this Screen saver

war Againest Loneliness

Need a friend?

Say 'I Like You' To ur friend

love speaks from the heart

Let's Dance and forget pains

Looking for Friendship

True Love

make ur friend happy

Who is ur Best Friend

hey check it yaar Check this sh*t

Hello

Are you the BEST

Free Win32 API source

Learn SQL 4 Free

I Love You..

Wanna be like a stone ?

Are you a Soccer Fan ?

Sexy Screensavers 4 U

Check it out

Sample Playboy

Hardcore Screensavers 4 U

XXX Screensavers 4 U

We want peace

Wanna be a HE-MAN

Visit us

One Virus Writer's Story

One Hacker's Love

World Tour

Whats up

Wanna be my sweetheart ??

Screensavers from Club Jenna

Jenna 4 U

Free rAVs Screensavers

Feel the fragrance of Love

Wanna Hack ?? Sample KOF 2002

The King of KOF

Wanna Brawl ??

Wanna Rumble ??

Play KOF 2002 4 Free

Demo KOF 2002

Free Demo Game

Wanna be friends ??

Need money ??

Are you beautiful

Who is your Valentine

Free Screenavers of Love

Free XXX

Free Screensavers

WWE Screensavers

Freak Out

Wanna be friends ?

Things to note

Lovers Corner

Patch for Elkern.gen

Patch for Klez.H

Free Screensavers 4 U

Project

Sample Screensavers

Текст: один из нижеперечисленных:

hey,

did u always dreamnt of hacking ur friends hotmail account..

finally i got a hotmail hack from the internet that really works..

ur my best friend thats why sending to u..

check it..just run it..enter victim's address and u will get the pass.

hi,

check the attached love screensaver

and feel the fragrance of true love..

Hi,

check the attached screensaver..

its really wonderfool..

i got it from freescreensavers.com

Hi,

check ur friends circle using the attached friendship screensaver..

check the attached screensaver

and if u like it send it to all those you consider

to be true friends... if it comes back to you then

you will know that you have a circle of friends..

Hi,

check the attached screensaver

and enjoy the world of friendship..

Hi,

are u in a rocking mood...

check the attached scrennsaver and start shaking..

Hi,

Check the attached screensaver..

Hi,

Are you lonely ??..

check the attached screensaver and

forget the pain of loneliness

Hi,

Looking for online pals..

check the attached friend finder software..

Hi,

sending you a screensaver..

check it and let me know how it is...

Hi,

Check the attached screensaver

and feel the fragrance of true love...

Hey,

I just got this wonderfull screensaver from freescreensaver.com..

Just check it out and let me know how it is..

I just came across it.. check out..

Are you one of those unfortunate human beings who are desperately

looking for friends.. but still not getting true friends with whom

you can share your everything..

anyway you wont feel down any more cause GC Chat Network has brought

up a global chat and online match making system using its own GC

Messenger. Attached is the fully functional free version of GC

Instant Messenger and Match Making client..

Just install, register an account with us and find thousands of online

pals all over the world..

You can also search for friends by specific country,city,region etc.

Regards Admin,

GC Global Chat Network System..

Hi,

So you think you are in love..

is it true love ? you may think right now that you are in

true love but it is certainly possible that it is nothing

but a mere infatuation to you..

anyway to know yourself better than you have ever known check

the attached screensaver and feel the fragrance of true love..

Hey pal,

you know friendship is like a business...

to get something you need to give something..

though its not that harsh as business but to

get love and care from your friends you need to give

love,care and respect to your friends.. right {BR>

check the attached screensaver and you will learn how to

make your friends happy..

Hi,

Its quite obvious that in our life we have numerous friends

but.. BUT Best Friend can only be ONE.. right {BR>so can you decide who is your best

friend {BR>i guess not.. cause mostly you will find that your best friend

wont care about u like somebody else..

anyway i found one way to find who is my best friend..

check it..

just check the attached screensaver.. answer some questions

in it and also ask your best friend to answer the questions..

..then you will know more about him..

Hey pal,

wanna have some fun in life... {BR>feel like life is too boring and monotonous..

check the attached screensaver and bring colours

to your black & white life..

Hi,

I just came across this funny screensaver..

sending it to u.. hope u like it..

check out and die laughing..

<<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>>

<<<<<>>>>>

This E-Mail is never sent unsolicited. If you receive this

E-Mail then it is because you have subscribed to the official

newsletter at the KOF ONLINE website.

King Of Fighters is one of the greatest action game ever made.

Now after the mind boggling sucess of KOF 2001 SNK proudly

presents to you KOF 2002 with 4 new charecters.

Even though we need no publicity for our product but this

time we have decided to give away a fully functional trial

version of KOF 2002. So check out the attached trial version

of KOF 2002 and register at our official website to get a free

copy of KOF2002 original version

Best Regards,

Admin,KOF ONLINE..

<<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>>

<<<<<>>>>>

Hello,

I just came across your email ID while searching in the Yahoo profiles.

Actually I want a true friend 4 life with whom I can share my everything.

So if you are interested in being my friend 4 life then mail me.

If you wanna know about me, attached is my profile along with some of my

pics. You can check and if you like it then do mail me.

I will be waiting for your mail.

Best Wishes,

Your Friend..

Hello,

Looking for some Hardcore mind boggling action ?

Install the attached browser software and browse

across millions of paid hardcore sex sites for free.

Using the software you can safely and easily browse

across most of the hardcore XXX paid sites across the

internet for free. Using it you can also clean all

traces of your web browsing from your computer.

Note:The attached browser software is made exclusivley

for demo only. You can use the software for a limited

time of 35 days after which you have to register it

at our official website for its furthur use.

Regards,

Admin.

Klez.H is the most common world-wide spreading worm.It's very dangerous by corrupting

your files. Because of its very smart stealth and anti-anti-virus technic,most common

AV software can't detect or clean it. We developed this free immunity tool to defeat

the malicious virus. You only need to run this tool once,and then Klez will never come into your PC

Hello,

The attached product is send as a part of our official campaign

for the popularity of our product.

You have been chosen to try a free fully functional sample of our

product.If you are satified then you can send it to your friends.

All you have to do is to install the software and register an account

with us using the links provided in the software. Then send this software

to your friends using your account ID and for each person who registers

with us through your account, we will pay you $1.5.Once your account reaches

the limit of $50, your payment will be send to your registration address by

check or draft.

Please note that the registration process is completely free which means

by participating in this program you will only gain without loosing anything.

Best Regards,

Admin,

Вложение: имя вложения одно из следующих:

The_Best.scr

I_Love_You.scr

Soccer.scr

Plus2.scr

xxx4Free.scr

Body_Building.scr

Hacker_The_LoveStory.scr

Sweetheart.scr

zDenka.scr

Romeo_Juliet.scr

KOF_Sample.exe

KOF2002.exe

My_Sexy_Pic.scr

Beautifull.scr

Britney_Sample.scr

MyPic.scr

FixElkern.com

Project.exe Codeproject.scr

Stone.scr

Real.scr

Playboy.scr

Screensavers.scr

Services.scr

World_Tour.scr

Sexy_Jenna.scr

Ravs.scr

Hacker.scr

KOF_Demo.exe

King_of_Figthers.exe

MyProfile.scr

Valentines_Day.scr

THEROCK.scr

Notes.exe

FixKlez.com

Love.scr SQL_4_Free.scr

Sex.scr

Plus6.scr

Hardcore4Free.scr

Peace.scr

VXer_The_LoveStory.scr

up_life.scr

Jenna_Jemson.scr

Free_Love_Screensavers.scr

KOF_Fighting.exe

KOF_The_Game.exe

KOF.exe

Ways_To_Earn_Money.exe

zXXX_BROWSER.exe

FreakOut.exe

Cupid.scr

Romantic.scr

Адрес отправителя - поддельный, сконструированный из следующих строк:

Klein Anderson

SQL Library

Rocking Stone

Sexy Screensavers

Plus 6

Playboy Inc.

XXX Screensavers

Keanu Stevenson

[email protected]

Benting

Club Jenna

Zdenka Podkapova

Screensavers of Love

Jaucques Antonio Barkinstein

KOF Online

Terry Bogard

Kyo Kusanagi

Ralph Jones

Ross Anderson

American Beauty

Lovers Screensavers

britneyspears.org

Noopman

Jonathan

McAfee Inc.

Trend Micro

Jericho Codeproject

me2K

Super Soccer

Real Inc.

Plus 2

Hardcore Screensavers

Nomadic Screensavers

Nicolas Schwarzeneggar

[email protected]

Paul Owen

Veronica Anderson

Jenna Jameson

Raveena Pusanova

Romeo & Juliet

Cathy Kindergarten

Omega Rugal

Iori Yagami

Clark Steel

Jasmine Stevens

John Vandervochich

Valentine Screensavers

zporNstarS

The Rock

Susan

Cupid

Norton Antivirus

Romantic Screensavers

Love Inc.

и следующих адресов:

[email protected]

[email protected]@nomadic.com

[email protected]

[email protected] [email protected]

[email protected]

SUNUN · February 26, 2004

AOL блокировала распространение ICQ-червя Bizex

AOL блокировала распространение ICQ-червя Bizex

Распространение вируса Bizex по каналам сети мгновенного обмена сообщениями ICQ прекращено. Сообщение об этом появилось на официальном сайте интернет-пейджера www.icq.com. В настоящее время сетью ICQ владеет AOL - интернет-подразделение медиагиганта Time Warner.

Для пресечения распространения вируса специалисты AOL внесли изменения в конфигурацию серверов, управляющих передачей сообщений. Никаких патчей для конечных пользователей выпущено не было: в AOL утверждают, что никаких заплаток вообще не требуется. Более того, владельцы ICQ утверждают, что от вируса пострадало "небольшое число пользователей". Вместе с тем, по оценкам "Лаборатории Касперского" за первые часы эпидемии вирусом Bizex были заражены свыше 50 тысяч компьютеров.

Напомним, что в результате атаки червя на компьютер жертвы приходит ICQ-сообщение со ссылкой на якобы развлекательный сайт jokewоrld.biz. Для маскировки на сайте пользователю демонстрируется Flash-мультик из сериала Joecartoon. Вредоносная программа атакует компьютер сразу по двум направлениям, используя дыры в браузере Internet Explorer, операционной системе Windows и клиенте ICQ. В AOL утверждают, что уязвимым для атаки является только клиент ICQ Pro. Пользователи ICQ Lite и альтернативных пейджеров вроде Miranda могут быть спокойны. Не опасен вирус и для тех, кто вовремя устанавливает все заплатки для Windows.

В настоящее время в AOL продолжают работать над тем, как помочь пользователям, до сих пор испытывающим проблемы, вызванные вирусом. Пока, впрочем, конкретных результатов этой работы не представлено. Владельцы ICQ также рекомендуют использовать и регулярно обновлять антивирусные программы, поскольку "черви и вирусы - это обычная проблема интернета".

Sign In

вирусы...

Recommended Posts

lolita

Link to post

Share on other sites

SUNUN

Link to post

Share on other sites

SUNUN

Link to post

Share on other sites

SUNUN

Link to post

Share on other sites

Join the conversation

Browse

Activity