КОМПЬЮТЕР-ИНФОРМ Главная страница || Статьи 11'2003 (16 - 29 июня) || Новости СПб || Новости России || Новости мира
Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Вирусы
1. червь Holar.H (W32/Holar.H) распространяется по электронной почте и использует
методы социального инжиниринга для обмана пользователей. Holar.H является
опасным червем, поскольку он способен уничтожить все файлы на зараженном им
компьютере. Это происходит после его 30-го запуска. Учитывая данный факт, необходимо
помнить, что червь запускается при каждом включении компьютера и при каждом
запуске зараженного файла.
Тема письма, его текст и имя вложенного файла в сообщении, содержащем Holar.H,
выбираются случайным образом из длинного списка возможных комбинаций, включая
следующее:
Тема:
Endless_life
Famous_PpL_N_Bad_Setuations
For your elegant Taste
Fw:Send it to all of the ppl u love
Helloooooooo
Сообщение:
coz i couldnt get the other part of it , any way , check it out having alil
thing is better than nothing :P
Hii
Try this great program allowing u to translate 100 languages.
just write a passage in english and chose a language to get the traslation one
of my friends used it with his arabian gf and it worked successfully ;) so ,
Now we can say Love Speaks it All :)
Вложенный файл:
Broke_ass.pif
Aint_it_Funny.pif
AniMaL_N_Burning_Ladies.pif
Beauty_VS_Your_FaCe.pif
Come_2_Cum.pif
Кроме одного из вышеуказанных файлов, сообщение содержит и еще одно вложение,
случайным образом выбираемое на зараженном компьютере. Адрес отправителя обычно
указывается следующий: Dispatch@McAfee.com.
2. новая разновидность сетевого червя Sobig распространяется по электронной
почте в виде вложенных файлов, и по ресурсам локальной сети, создавая свои копии
на открытых дисках. Для почтовой рассылки он сканирует файлы зараженного
компьютера, находит в них адреса и посылает на них свои копии. Чтобы заставить
пользователя запустить свой файл-носитель, червь использует разнообразные методы
социального инжиниринга, в частности, маскируясь под письма от технической поддержки
Microsoft. Среди побочных действий Sobig необходимо отметить возможность загрузки
и установки с удаленных web-серверов на зараженный компьютер обновленных версий
червя или внедрения в систему программ-шпионов.
Sobig.b (также известный как Palyh) по сути вдохнул вторую жизнь в червя.
Однако в его коде был заложен временной триггер: если системная дата зараженного
компьютера превосходит 31 мая, то червь автоматически отключает все свои функции
за исключением загрузки дополнительных файлов. Эта особенность практически обрекает
Palyh, поскольку web-серверы, откуда он скачивает свои обновления, уже закрыты.
Новая версия, Sobig.c, практически не отличается от своих предшественников и
имеет ту же самую особенность червь будет работоспособен только до 8 июня,
после чего окажется законсервированным.
Более подробная информация о сетевом семействе червей Sobig доступна в Вирусной
Энциклопедии Касперского (http://www.viruslist.com/viruslist.html?id=1639103).
3. По данным Лаборатории Касперского, червь Nocana, также известный как
Naco, распространяется двумя способами: через электронную почту в виде прикрепленных
файлов и по P2P-сетям. Опасный файл может быть назван различными именами:
The Matrix Reloaded.jpg.exe, The Matrix Evolution.mpg.exe, The Matrix Reloaded
Preview.jpg.exe.
Реальное exe-имя файла во вложении скрыто ложным jpg-именем при помощи дополнительных
возможностей MS Outlook. Таким образом, зараженное EXE-вложение в письме выглядит
как jpg-файл, однако при открытии этого вложения оно обрабатывается как exe-файл.
Вложения подобного рода автоматически блокируются по умолчанию версиями MS Outlook97
SP2 и выше. Nocana останавливает и выгружает активные процессы некоторых антивирусов
и межсетевых экранов. Червь записывает свои копии в каталоги обмена файлами
сетей KMD, Kazaa, Morpheus, Grokster, BearShare, Edonkey2000 и Limewire.
Nocana родственник червя I-Worm.Melare. Известно несколько версий Nocana,
которые незначительно отличаются друг от друга: Nocana.a (около 29Kб, упакован
UPX, размер распакованного файла около 80Kб), Nocana.b (около 86Kб), Nocana.c
(около 32Kб, упакован UPX, размер распакованного файла около 100Kб).
По некоторым числам месяца 1, 4, 8, 12, 16, 20, 24 и 28 червь случайным
образом выполняет одно из следующих действий: запускает все файлы из текущего
каталога (как правило, в системном каталоге Windows); выводит сообщение: Anacon
W0rm. The only I have to say is, I need you babe!; форматирует диск D; уничтожает
все файлы в текущем каталоге (как правило, в системном каталоге Windows).
4. червь Petik.N (VBS/Petik.N) перезаписывает все файлы на зараженном им
компьютере. Это означает, что вся информация может быть утеряна, и восстановить
ее не удастся. Перед уничтожением файлов Petik.N создает сотни пустых TXT-файлов
на рабочем столе Windows. Их имена начинаются со слова stress, к которому
случайным образом прибавляются четыре буквы.
Особенно опасен Petik.N для корпоративной среды, так как в основном он распространяется
через общие сетевые диски.
1. I-Worm.Sobig - 21,87%
2. I-Worm.Lentin - 15,95%
3. I-Worm.Klez - 15,39%
4. I-Worm.Fizzer - 0,67%
5. I-Worm.Roron - 0,51%
6. Worm.Win32.Randon - 0,38%
7. I-Worm.Ganda - 0,28%
8. Macro.Word97.Thus - 0,28%
9. Backdoor.Assasin - 0,24%
10. I-Worm.Tanatos - 0,21%
11. Backdoor.Optix - 0,20%
12. Backdoor.IRC.Zcrew - 0,19%
13. Win32.Parite - 0,17%
14. Win32.FunLove - 0,17%
15. Backdoor.IRC.Flood - 0,16%
16. TrojanDropper.JS.Mimail - 0,16%
17. VBS.Redlof - 0,15%
18. Backdoor.IRC.mIRC-based - 0,14%
19. Backdoor.SdBot.gen - 0,12%
20. TrojanDownloader.Win32.Swizzor - 0,12%
Другие вредоносные программы - 42,66%
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru