Врач, исцелися сам
Антивирусная компания Лаборатория Касперского сообщила о том, что хакеры разослали
от ее имени электронные письма с предупреждением о вирусе I-Worm.Bridex, зараженные
этим самым червем. Рассылка стала следствием похищения с сайта Лаборатории
списка подписчиков рассылки антивирусных новостей.
Червь Bridex распространяется по электронной почте и может заразить компьютер
двумя путями: при ручном запуске вложенного файла с именем readme.exe или автоматически,
при прочтении письма. Впоследнем случае используется уязвимость IFRAME в браузере
MS Internet Explorer. Лаборатория Касперского принесла официальные извинения
всем подписчикам электронных новостей и гарантировала им неотложную помощь в
случае заражения вирусом Bridex.
Обнаружен почтовый червь WORM_FRIENDGRT.B
или Friend Greetings, выдающий себя за электронную открытку. Приходит червь
в электронном письме, где говорится, что отправитель отправил получателю открытку,
которую можно посмотреть, щелкнув на гиперссылке. Если пользователь откроет
ссылку, на экране появляется предупреждение об установке программы. Вокне предупреждения
сообщается, что разработчик программы, компания Permissioned Media, гарантирует
безопасность программы, а ее аутентичность подтверждается электронным сертификатом
Thawte Server CA.
Если пользователь соглашается на установку программы, запускается соответствующий
мастер, и на компьютер копируются два файла: FRIENDCARD.EXE и TAFW.EXE, причем
оба они содержат код червя. По завершении установки программа запускается и
рассылает письма со своими копиями по всем адресам из книги Outlook или Outlook
Express. После этого на сайте, с которого загружается червь, наконец, отображается
открытка с пожеланиями приятного дня.
Червь не несет какой-либо деструктивной нагрузки. Единственным эффектом его
работы является скрытие панели задач во время процесса установки. Однако таким
же образом ведут себя большинство мастеров установки ПО. Так что единственным
действием самого червя можно считать рассылку своих копий. Для удаления червя
необходимо завершить его выполнение в диспетчере задач Windows и удалить записи
из раздела автозагрузки системного реестра.
Появился вирус Roron/W32.Oron
шести разновидностей. Он распространяется по электронной почте, пиринговой сети
KaZaA и чатам IRC. Может передаваться и по локальной компьютерной сети.
Активация вируса происходит только, если пользователь сам запустит его исполняемый
файл. Впроцессе установки Roron размещает свои копии в каталогах Windows и
Program Files и регистрирует один из этих файлов в ключе автозапуска системного
реестра, с тем, чтобы обеспечить свою загрузку при каждом запуске ОС. Для распространения
своих копий вирус рассылает электронные письма с различными заголовками, текстом
и собственными копиями под различными именами. Для распространения по локальным
сетям червь ищет сетевые диски и папки, к которым открыт полный доступ, и записывает
туда свои копии со случайно выбранными именами. Аналогично происходит заражение
через сеть KaZaA: вирус размещает свою копию в папке My Shared Folder, в которой
располагаются файлы для обмена.
Если на зараженном компьютере установлен клиент для работы с чатами IRC, то
червь внедряет в него специальные процедуры, обеспечивающие злоумышленника черным
ходом в систему для управления компьютером. Данный компонент червя также может
проводить распределенные DoS-атаки на указанныйзлоумышленниками компьютер.
Деструктивные функции, заложенные в Roron, могут привести к уничтожению файлов
на всех жестких дисках компьютера. Это происходит в одном из следующих случаев:
•текущая системная дата 9 или 19 число любого месяца;
•удален один из системных файлов червя с именем winfile.dll;
•удалены ключи автозапуска червя из системного реестра Windows;
•случайно, в соответствии с внутренним счетчиком вируса.
Кроме этого, вирус ведет поиск активных процессов многих антивирусных программ,
пытается принудительно завершить их работу и удалить эти антивирусные программы
с диска.
Антивирусники
Компания Panda Software представила
корпоративные решения Panda PerimeterScan ISA Server Edition и Panda PerimeterScan
Postfix Edition. Panda PerimeterScan ISA Server Edition проверяет и лечит весь
трафик, проходящий через ISA-сервер: файлы, отправляемые по HTTP (включая апплеты,
элементы управления ActiveX и скрипты), электронную почту SMTP, FTP идр. Программа
может найти и обезвредить любой вредоносный код в сжатых файлах, зашифрованных
файлах и вложенных OLE-объектах.
Новая версия Panda PerimeterScan Postfix Edition обеспечивает защиту всей
SMTP-почты, проходящей через платформу Postfix, которая выступает в качестве
шлюза или почтового сервера. Она также включает Web-интерфейс, который позволяет
администраторам удаленно управлять приложением, изменять параметры его настройки
и смотреть отчеты о произошедших событиях.
Panda PerimeterScan Postfix Edition полностью совместима со всеми продуктами
Linux, включая Linux RedHat6.2, 7.0 и 7.2, Linux SuSe7.3, Best Linux2000
и Mandrake8.0 и 8.1.
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ. Свидетельство Эл 77-4461 от 2 апреля 2001 г. Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru
Обнаружен почтовый червь WORM_FRIENDGRT.B
или Friend Greetings, выдающий себя за электронную открытку. Приходит червь
в электронном письме, где говорится, что отправитель отправил получателю открытку,
которую можно посмотреть, щелкнув на гиперссылке. Если пользователь откроет
ссылку, на экране появляется предупреждение об установке программы. Вокне предупреждения
сообщается, что разработчик программы, компания Permissioned Media, гарантирует
безопасность программы, а ее аутентичность подтверждается электронным сертификатом
Thawte Server CA.
КОМПЬЮТЕР-ИНФОРМ