В живом виде обнаружена новая разновидность
вируса LoveLetter NewLove. Она существенно превзошла
оригинал по разрушительному воздействию. После
рассылки своих копий по всем адресам из адресной
книги MS Outlook вирус уничтожает все файлы на
локальном и сетевых дисках.
Так же как и LoveLetter, он написан на языке Visual Basic Script.
Распространяется в электронных письмах и при
активизации рассылает себя с зараженных
компьютеров. Для распространения использует
почтовую систему MS Outlook и рассылает себя по всем
адресам, которые хранятся в адресной книге Outlook.
Червь попадает на компьютер в виде пустого
письма с прикрепленным VBS-файлом, который,
собственно, и является телом червя. Имя
вложенного файла имеет длину до 30 символов и
является случайным. Имя дополнено ложным
расширением, которое также выбирается случайно
из следующих вариантов: Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov,
Url, Htm.
Настоящее расширение имени вложения Vbs,
например: VPAVQXCUUNGUFLTJSL
NAUTQZXJUG.Bmp.Vbs;QKUPLSXO-OIBPAGNENGIVPN.Mp3.Vbs;TNXSOVAR
RLESDJQHQJLYSQNWV.Mdb.Vbs; HBLHCJOFFZS.Mdb.Vbs; MGQMHOTKKEXLWCJAJ.Doc.Vbs;
SMXSNUZRRKDRCJQGPIKXRQN
WU.Mdb.Vbs; CWGCXE.Mp3.Vbs.
В зависимости от настроек системы настоящее
расширение вложенного файла (.Vbs) может быть не
показано.
Тема письма состоит из символов FW: и имени
вложенного файла без расширения Vbs, например: FW:
VPAVQXCUUNGUFL
TJSLNAUTQZXJUG.Bmp; FW: QKUPLSXOOIBPAGNENGIVPN.Mp3; FW: TNXSOVARRLESDJQHQJLYS
QNWV.Mdb; FW: HBLHCJOFFZS.
Mdb; FW:MGQMHOTKKEXLWCJ
AJ.Doc; FW: SMXSNUZRRKDRCJQ
GPIKXRQNWU.Mdb; FW:CWGCXE.
Mp3; FW: ZTE.Htm.
Червь портит все файлы на всех доступных дисках
переименовывает с расширением Vbs и записывает
в них свою копию (например, COMMAND.COM -> COMMAND.COM.VBS).
Червь использует полиморфик-алгоритм, меняющий
тело червя при каждом заражении он дописывает
в свой текст случайные строки-комментарии. При
этом количество этих строк и, соответственно,
размер червя растет от поколения к поколению,
например: 110 КБ, 248 КБ, 403 КБ, 585 КБ, 805 КБ, 1040 KБ и т. д.
При этом, чистый код червя занимает около 5 КБ.
Лаборатория Касперского выпустила внеочередное
обновление антивирусной базы AVP, содержащее
процедуры удаления вируса <NewLove>. Обновление
доступно по адресу: http://www.avp.ru
. Защитой от червей такого типа является и
антивирусное ПО AVP Script Checker, которое можно
загрузить с Web-сайта: http://www.avp.ru
.
Появился
вирус VBS/Spammer.A Worm. Он нацелен на пользователей MS
Outlook, прибывает с > > FW:> > в строке subject и
содержит расширение VBS в теле сообщения
электронной почты. Имя присоединенного файла
изменяется каждый раз при отправке сообщения
электронной почты. Вирус Spammer Worm рассылает себя
по всем адресам адресной книги Outlook, а затем
переименовывает все файлы на винчестере и
сетевых устройствах расширением VBS и обнуляет
значение их размера. Все это полностью выводит из
строя компьютерную систему и сеть, в целом.
VBS/Spammer.A увеличивается по мере распространения,
засоряя сеть почтовым трафиком большого объема и
выводя из строя почтовые серверы.
Все присоединенные к сообщениям электронной
почты файлы с расширением VBS должны немедленно
удаляться, а сетевые администраторы должны
блокировать в шлюзах все VBS расширения.
По мнению специалистов Computer Associates Int., вирус
VBS/Spammer.A очень похож на вирус ILOVEYOU, но все же
является совершенно новым, хотя и одинаково
разрушительным типом вируса. Загрузить защиту
против этого вируса можно с Web-сайта http://antivirus.ca.com
Еще
одна новая мутация вируса I Love You называется
Cybernet. Он заражает документы Word и Excel, а также
использует MS Outlook для рассылки себя по всем
адресам в адресных книгах пользователей
инфицированных компьютеров. O97M/Cybernet.A прибывает
на ПК пользователя со следующими
характеристиками:
Поле Subject: Youve GOT Mail!!!
Тело сообщения: Please, saved the document after you read and dont show to
anyone else. The document is also VIRUS FREE...so DISREGARD the virus protection
warning!!!
После открытия зараженного документа вирус
создает файл CyberNET.xls в стартовом файле Excel.
Таким образом, заражаются электронные таблицы.
Вирус активируется 17 августа и 25 декабря. Его
вредоносное действие заключается во вставке
ряда случайных форм в открытые документы Word или
Excel. Как только это сделано, O97M/Cybernet.A вставляет
команду в файл AUTOEXEC.BAT. Эта команда обеспечивает
вывод на экран монитора (во время очередной
загрузки) следующего текста:
Vine...Vide...Vice...Moslem Power Never End...
Im Really Sorry, This System Have Been Recycled By -= CyberNET =-Virus!!!
Brought To You From INDONESIA...
Пока пользователь читает этот текст, вирус
форматирует жесткий диск, и все данные на нем
будут потеряны. Кроме того, вирус модифицирует
файл CONFIG.SYS следующим образом:
SWITCHES=/N
BREAK=OFF
Эти команды исключают применение пользователем
функциональных клавиш F5 и F8 во время загрузки
системы, а также комбинации клавиш CTRL+C. После
модификации файлов AUTOEXEC и CONFIG вирус выводит
сообщение на экран. После того, как пользователь
нажмет на клавишу OK, компьютер выключается и при
очередной загрузке ЖД будет отформатирован.
Похоже, что этот вирус создан в Индонезии, т. к.
внутри его кода содержится следующий текст:
W97M/CyberNET (C)2000 Indonesia By AnomOke! Im NOT Responsible For Any Damage
That Posible Cause By My Virus...!! http://www.pandasoftware.com
Появился
вирус-червя W97M_ RESUME.A (известный также, как Melissa.BG
или RESUME). Он распространяется по электронной
почте с помощью MS Outlook. В поле subject зараженного
сообщения содержится: Resume Janet Simons. В свою
очередь, в теле почтового послания находится
следующее сообщение: To: Director of Sales/Marketing, Attached is my
resume with a list of references contained within. Please feel free to call or email me if
you have any further questions regarding my experience. I am looking forward to hearing
from you. Sincerely, Janet Simons. Вирус копирует себя в:
C:\WINDOWS\StartMenu\Programs\
Startup\Explorer.doc и C:\Data\
Normal.DOT. Данный вирус при активации удаляет все
файлы в корневых каталогах всех доступных ЖД все
файлы, хранящиеся в папке. Кроме того, удаляются
файлы, отвечающие за функционирование ПК, что
приводит к его неработоспособности.
В начале вирусного кода находится следующий
неотображаемый текст:
Better You Than Me Buddy...
... Hope You Like My vIrUs.
Антивирусные программы можно бесплатно
загрузить с Web-сайта: http://antivirus.ca.com
Отказ в обслуживании
Компания Computer Associa-tes Int. предупреждает о
появлении mstream, нового средства генерации
распределенных атак типа отказ в обслуживании
(DDoS, Distributed Denial of Service). Средство mstream, согласно
проведенному анализу, в настоящий момент пока
еще находится в стадии разработки. При его
использовании любой компьютер может быть
превращен в невольного соучастника организации
распределенной атаки типа отказ в
обслуживании (DDoS) против любого Web-сайта в
Интернет.
Mstream было обнаружено на одной из университетских
Linux-систем. Оно позволяет хакерам организовывать
атаки одновременно с нескольких взломанных
серверов, которые могут находиться в одной или
нескольких компьютерных системах, имеющих выход
в Интернет, загружая систему жертвы сетевым
трафиком такого объема, который приводит к
выходу ее из строя. Ущерб от таких атак
обуславливается тем, что системы электронного
бизнеса становятся недоступными для своих
пользователей. Убытки от распределенных атак
типа отказ в обслуживании, предпринятых в
отношении нескольких крупных Web-сайтов в феврале
этого года, оцениваются в несколько миллиардов
долларов.
CAI предлагает комплексное превентивное средство
защиты против этой новой угрозы программный
пакет eTrust. http://www.cai.com
Лекарства
22 мая
вышел патч к программе MS Outlook. Патч позволит
уменьшить вероятность заражения вирусами,
подобными I Love You и Melissa, он дополнит программу
следующими возможностями: запрет доступа к
некоторым типам файлов, рассылаемых как
вложение, включая исполняемые и batch-файлы, выдача
предупреждения, если внешняя программа пытается
получить доступ к адресной книге, появится
возможность отключения автоматически
исполняемых ActiveX. Патч можно найти по адресу: http://officeupdate.microsoft.com
.
24 мая
компания Panda Software выпустила антивирусное ПО Panda
Antivirus Platinum for Windows 2000 Professional. Основные свойства:
Обнаружение и уничтожение OLE объектов,
встроенных в документы MS Office (Word, Excel и Access).
Дезинфекция файлов внутри архивов ZIP и gZIP.
Новый модуль резидентной защиты оптимизирован
для уменьшения воздействия на загрузку
процессора.
Реализовано усовершенствованное эвристическое
сканирование макровирусов и вирусов Win 32 при
помощи AHS (Advanced Heuristic Scanning) технологии.
EFS (Encrypted File System) интеграция.
NTFS5 и UDFS совместимость.
Защищает от вирусов все типы почтовых программ,
как MAPI (Outlook), так и POP3 (Outlook Express, Netscape Messenger, Eudora,
Pegasus Mail и т. д.) приложения.
По
адресу: http://www.lotus.com/itcentral
опубликован документ по организации защиты
Lotus Notes/Domino от атак вирусов троянских коней,
Интернет червей и вирусов других типов.
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ. Свидетельство Эл 77-4461 от 2 апреля 2001 г. Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru
Появился
вирус VBS/Spammer.A Worm. Он нацелен на пользователей MS
Outlook, прибывает с > > FW:> > в строке subject и
содержит расширение VBS в теле сообщения
электронной почты. Имя присоединенного файла
изменяется каждый раз при отправке сообщения
электронной почты. Вирус Spammer Worm рассылает себя
по всем адресам адресной книги Outlook, а затем
переименовывает все файлы на винчестере и
сетевых устройствах расширением VBS и обнуляет
значение их размера. Все это полностью выводит из
строя компьютерную систему и сеть, в целом.
VBS/Spammer.A увеличивается по мере распространения,
засоряя сеть почтовым трафиком большого объема и
выводя из строя почтовые серверы.