Появился
VBS-вирус типа червь VBS/PLAN.A WORM, рассылающий
себя по всем адресам в адресной книге MS Outlook. Он
похож на ILOVEYOU и может привести к перегрузке
почтовых серверов (в результате отказа от
обслуживания). Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Появился
VBS-вирус типа червь VBS/PLAN.A WORM, рассылающий
себя по всем адресам в адресной книге MS Outlook. Он
похож на ILOVEYOU и может привести к перегрузке
почтовых серверов (в результате отказа от
обслуживания).
Вирус приходит по электронной почте со следующим содержимым в поле subject:
US PRESIDENT AND FBI SECRETS =PLEASE VISIT => (http://WWW.2600.COM)<=.
В поле сообщения содержится текст: VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES.
В полях subject и сообщения могут быть также случайно генерируемые текстовые строки. Вирус присоединяется к сообщению электронной почты в виде файла со случайно генерируемым именем с одним из следующих расширений: .GIF.vbs; .BMP.vbs или .JPG.vbs.
Файлы ряда расширений (.vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg и .jpeg) будут замещены копией вируса и расширением, дополненным VBS. MP3- и MP2- файлы будут помечены как hidden, а на их месте будет размещена копия вируса с тем же именем и расширением VBS.
Кроме того, 17 сентября VBS/PLAN.A WORM создаст следующее сообщение: Dedicated to my best brother=>Christiam Julian
(C.J.G.S.) Att. (M.H.M. TEAM). При этом, все сетевые устройства будут отсоединены. Последнюю информацию о данном вирусе можно загрузить с Web-сайта http://www.ca.com/virusinfo .
Появился
вирус Fireburn.A, распространяющийся через MS Outlook по
всем адресам в адресной книге и mIRC. Fireburn.A
распространяется в форме сообщения электронной
почты с приведенными ниже характеристиками.
В поле Subject: Hi, how are you?
В теле сообщения: Hi, look at that nice Pic attached! Watching it is a must; cu later...
К сообщению электронной почты присоединен документ (несущий инфекцию) с именем, случайным образом выбранным из следующих имен: Ultra-Hardcore-Bondage.JPG.vbs; Christina__NUDE!!!.JPG.vbs; CuteJany__BigTits!.GIF.vbs; MyGirlfriend__NUDE!.JPG.vbs; Aguiliera__NUDE!!.JPG.vbs; !Jany__Gets-fucked!.GIF.vbs; cute__EmmaPeel!!!.JPG.vbs; Julie17__xxx.GIF.vbs.
При исполнении Fireburn копирует себя в папку Windows под именем rundll32.vbs. Он создает следующие входы с соответствующими значениями:
HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\Run\
MSrundll32 > rundll32.vbs;
HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\
RegisteredOwner > FireburN.
Fireburn проверяет, существует ли регистр C:\MIRC или наличие каталога MIRC в папке Program Files. Затем вирус ищет файл MIRC.INI в этой папке, и если он есть, то вирус создает файл SCRIPT.INI в каталоге MIRC.Когда этот файл присоединяется к каналу chat через mIRC, то вирус выполняет следующие действия:
1. Переименовывает файл RUNDLL32.VBS, находящийся в инсталляционном каталоге Windows и замещает его именем, предварительно выбранным случайным образом в папке Windows System.
2. Подсоединяется к каналу VIRUS и посылает каждому пользователю, связанному с этим каналом, сообщение, содержащее текст: Burn, Burn, Burn.
3. Если происходит разъединение, вирус переименовывает файл в инсталляционном каталоге Windows, как RUNDLL32.VBS.
4. Файл в папке Systems посылается всем пользователям, подсоединенным к тому же каналу, что и инфицированный компьютер.
Как только файл SCRIPT.INI создан, вирус создает свою копию в инсталляционном каталоге под случайным именем. Затем он создает сообщение электронной почты, рассылаемое при помощи функции BCC (Blind Carbon Copy) по всем адресам в адресной книге пользователя зараженного ПК. После этого вирус проверяет системную дату. Если она соответствует 20 июня, то Fireburn.A выводит на экран монитора сообщение. oxygen3_staff@pandasoftware.com
Новый
Интернет-червь Timofo-nica распространяется в форме
VBS-файла, присоединенного к сообщению
электронной почты. При активизации рассылает
себя с зараженных компьютеров и устанавливает в
систему троянский файл. Для распространения
червь использует функции Outlook, доступные только в
Outlook98/2000, и рассылает себя по всем адресам из
адресной книги. Дополнительно при отправке
каждого сообщения червь посылает еще одно
сообщение на SMS-шлюз испанской сети MoviStar,
указывая при этом случайный номер телефона.
Червь написан на скрипт-языке Visual Basic Script (VBS).
Запускается только в ОС с установленным Windows
Scripting Host (WSH в Windows 98, в Windows 2000 он установлен по
умолчанию). Сначала вирус проверяет, не заражен
ли уже компьютер вирусом VBS/Timofуnica. Для этого он
проверяет значение ключа в Windows registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\ Timofonica.
Если значение ключа не равно 1, то это значит, что
ПК еще не заражен, и вирус VBS/Timofуnica начинает ее
заражение.
Процесс заражения происходит следующим образом:
1. Приведенному выше ключу присваивается значение для обозначения факта состоявшегося заражения. Вследствие этого исключается повторное заражение ПК.
2. В следующих Windows registry записываются следующие значения ключей:
HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\
Timofonica->1;
HKEY_CURRENT_USER\Software\
Microsoft\Office\9.0\Outlook\
Preferences\SaveSent ->0;
HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\
Run\Cmos ->Cmos.com.
3. Вирус создает файл TIMO-FONICA.TXT.VBS (с кодом вируса) в корневом каталоге ЖД.
4. В корневой папке создается текстовый файл TIMOFONICA.
TXT, в котором содержится критика испанской телекоммуникационной компании Telefуnica.
5. Создается троянский вирус, отвечающий за удаление CMOS. Он записывает файл CMOS.COM в папке Windows System и изменяет Windows registry таким образом, что троянский вирус при каждой перезагрузке ПК. Ключ Windows registry модифицируется следующим образом: HKEY_LOCAL_MACHINE\Software\
CLASSES\VBSFile\Shell\Open\
Command\ ->C:\installation_
directory_Windows\Notepad.exe C:\TIMOFONICA.TXT.
6. В последующем вирус автоматически рассылает себя по всем адресам в адресной книге пользователя и создает сообщение, рассылаемое пользователям сотовых телефонов MoviStar (Telefуnica). Адреса, по которым рассылаются сообщения, имеют следующий формат: telephone_number@correo.movistar.net .
Специалист группы безопасности компании Sun Micro-systems Джермано Каронни (Germano Caronni) обнаружил брешь в системе защиты известной программы шифрования Pretty Good Privacy (PGP) 5.0. Причем эта ошибка характерна для Linux- и OpenBSD-версий этого ПО, в которых используется интерфейс командной строки. В версиях PGP 2.x и 6.5, а также в версиях PGP для других платформ этой ошибки нет.
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru