4 мая неизвестные злоумышленники разослали зараженное признание в любви (Интернет
червь VBS/Loveletter) по всему миру.
По предварительной оценке независимой исследовательской фирмы Computer Economics
вирус ILOVEYOU (и его варианты) заразил более 3 млн компьютеров в мире, а
финансовые убытки от его воздействия составили $8.7 млрд (из них прямые потери
более $2 млрд). Больше всего пострадал корпоративный сектор. Кроме удаления
файлов на зараженных ПК, вирус оказал сильное воздействие и на почтовые серверы,
сокрушив целые системы. Многие организации были просто вынуждены отключить серверы,
чтобы предотвратить распространение вируса по сетям. http://www.computerecono-mics.com
Пользователи получали письма одного из следующих видов:
с темой ILOVEYOU и текстами типа kindly check the attached LOVELETTER coming
from me; Susitikim shi vakara kavos puodukui....; fwd: Joke; Mothers Day Order
Confirmation (Сообщение в теле письма: We have proceeded to charge your credit
card for the amount of $326.92 for the mothers day diamond special. We have
attached a detailed invoice to this email. Please print out the attachment and
keep it in a safe place. Thanks Again and Have a Happy Mothers Day! Эта модификация
на сегодня наиболее деструктивная вместо уничтожения картинок в формате JPG
червь уничтожает INI и BAT файлы, что приводит к невозможности загрузить компьютер);
mothersday@subdimension.com;
Dangerous Virus Warning; Virus ALERT!!!; Important! Read carefully!!
В письме присутствует вложение в виде одного из следующих файлов LOVE-LETTER-FOR-YOU.
TXT.vbs; VERY FUNNY.VBS;
MOTHERSDAY.vbs; VIRUS_
WARNING.JPG.VBS;PROTECT.VBS; IMPORTANT.TXT.vbs.
После открытия этого вложения вирус сканирует локальные и подключенные сетевые
диски и пытается переписать собой все файлы с расширениями VBS, VBE, JS, JSE,
CSS, VSH, HST, HTA, JPG, JPEG. При этом оригинальные файлы утрачиваются безвозвратно.
Вирус уничтожает следующие файлы: MSKernel32.vbs в системной директории Windows;
Win32DLL.vbs в директории Windows; LOVE-LETTER-FOR-YOU.TXT.vbs в системной директории
Windows; WinFAT32.EXE в директории Internet download; WIN-BUGSFIX.EXE в директории
Internet download; Script.ini в директории mIRC.
В каталоге Windows вирус I-Worm.LoveLetter создает две своих копии с именами
Win32.dll.vbs и MSKernel32.vbs . После этого червь регистрирует себя в системном
реестре для автоматического запуска при старте системы. Во время работы червь
просматривает адресную книгу и рассылает себя по всем найденным адресам.
Методы защиты
Для недопущения проникновения данного Интернет-червя настоятельно рекомендуется
не открывать письмо и ни в коем случае не запускать вложенный файл LOVE-LETTER-FOR-YOU.TXT.vbs.
Процедуры обнаружения и удаления вируса I Worm.LoveLetter можно найти по адресу:
http://www.avp.ru, oxygen3@pandasoft-ware.com.
Компания Panda Software зарегистрировала
случаи вредоносного действия нескольких компьютерных вирусов:
1. Макровирус W97M/Talon.M принадлежит к семейству вирусов W97M, заражающих
документы MS Word 97 и шаблон NORMAL.DOT, используемый этим приложением. Каждую
субботу W97M/Talon.M отображает сообщение, подобное по стилю сообщениям, используемым
Office Assistant. Кроме того, в августе этот вирус удаляет 2 системных загрузочных
файла: COMMAND.COM и IOSYS.SYS. Вследствие этого загрузка зараженного ПК становится
невозможной.
2. Макровирус X97M/laroux.CA инфицирует файлы MS Excel 97. Он создает файл PERSON2.XLS
в стартовой папке MS Excel 97, через которую осуществляется заражение во время
работы Excel (при этом автоматически открывается файл PERSON2.XLS).
3. Макровирус W97M/Marker.P заражает документы MS Word 97 и их глобальный шаблон.
При закрытии документа вирус проверяет, заражен ли уже шаблон. W97M/Marker.P
отключает систему защиты от макровирусов (поставляемую с Word) и подтверждение
сохранения изменений в шаблоне. 22 февраля вирус удаляет все файлы в папке,
где находится зараженный файл, и отображает сообщение на экране.
4.Троянский вирус Trojan/Hackatack.2k проникает в компьютер жертвы, используя
программы под разными именами (преимущественно, SERVER.EXE) и типовую иконку
программы установки (setup). Для инсталляции он помещает свою копию CFGWIN32.EXE
в папку C:\WINDOWS и изменяет системный регистр Windows таким образом, чтобы
размещенный файл исполнялся при каждой загрузке компьютера. oxygen3_staff@pandasoftware.com
Лекарства
Компания Panda Software выпустила
бесплатную антивирусную программу Antilove.exe, предназначенную для противодействия
вирусу VBS/Loveletter и его вариантам. Ее уже можно загрузить с Web-сайта http://www.pandasoftware.com
Лаборатория Касперского представила AVP Script Checker, технологию
защиты от скрипт-вирусов и червей.
Схема работы большинства известных скрипт-вирусов и червей достаточно
проста: при их запуске они создают на диске свои временные копии. В этот
момент их и ловят резидентные антивирусные мониторы. Однако возможны
ситуации, когда эти вирусы не создают на диске никаких файлов, а используют
исключительно память компьютера. Таким образом, мониторы просто не в состоянии
обнаружить факт проникновения вируса на компьютер. Лаборатория Касперского
предлагает своим пользователям технологию защиты как от всех известных
вариантов нового Интернет-червя Love-Letter, так и от всех его последующих
мутаций. Она основана на новой технологии проверки всех скрипт-программ,
которые запускаются приложениями Windows (такими, как MS Explorer, MS Internet
Explorer, MS Outlook и т. д.). Защита встраивается как фильтр между приложением,
для которого предназначен скрипт (например, Outlook и/или Internet Explorer),
и скрипт-машиной, которая непосредственно выполняет скрипт-программу (например,
MS Windows Script Host обработчик VisualBasic-скриптов). Таким образом,
в момент передачи скрипта на обработку и выполнение его код перехватывается
и проверяется на наличие как известных, так и неизвестных скрипт-вирусов
и червей. На известные вирусы скрипт проверяется при помощи резидентного
перехватчика AVP Monitor, а новые неизвестные вирусы блокируются специально
разработанным эвристическим анализатором. AVP Script Checker распространяется
бесплатно и доступен для загрузки по адресу:
http://www.avp.ru http://www.kasperskylab.ru,
http://www.viruslist.com
У пользователей почтовой службы
Hotmail появилась проблема с безопасностью их паролей, а, следовательно, и сообщений
электронной почты. Одним из методов, используемым нападающими, является включение
в сообщение JavaScript предложения, имитирующего панель ввода пароля. Жертва
такого нападения повторно вводит пароль, пребывая в уверенности, что произошел
сбой при соединении. В действительности же введенный пароль пересылается нападающему.
Для исключения подобных случаев нарушения безопасности наиболее эффективным
способом является отключение JavaScript (Active Scripting) как на Hotmail, так
и на других подобных Web-серверах перед просмотром любого сообщения электронной
почты. oxygen3_staff@pandasoftware.com
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ. Свидетельство Эл 77-4461 от 2 апреля 2001 г. Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru
Компания Panda Software зарегистрировала
случаи вредоносного действия нескольких компьютерных вирусов: