Sidebar

Эксперты: 3 февраля наступит "черная пятница" для компьютеров

  • Автор теми mouSe.UA
  • Дата створення

mouSe.UA

Guest
M
Эксперты: 3 февраля наступит "черная пятница" для компьютеров

Лаборатория Касперского" оповещает о серьезной угрозе со стороны почтового червя Email-Worm.Win32.Nyxem.e, который, по их данным, нанесет удар 3 февраля.

Главной опасностью червя является его деструктивная направленность: третьего числа каждого месяца, через полчаса после загрузки компьютера он уничтожает информацию на жестком диске, перезаписывая файлы с расширениями doc, mdb, pdf, ppt, rar, xls, zip и другие. Содержимое этих файлов заменяется совершенно бесполезной текстовой строкой: DATA Error [47 0F 94 93 F4 F5].

Сам червь представляет собой файл размером 95 кб и распространяется по электронной почте с различными заголовками и текстом.

Активировать вирус может только сам пользователь, запустив зараженный файл.

После запуска Nyxem.e создает в системном каталоге Windows архив с тем же именем, что и запущенный файл. В дальнейшем запуск вируса происходит из этого архива. Червь копирует себя под несколькими именами в корневой и системный каталоги Windows, а также в каталог автозагрузки, вдобавок, регистрируясь в ключе автозапуска системного реестра. Затем вирус рассылает свои копии по всем найденным адресам электронной почты и копирует себя в доступные сетевые ресурсы под именем Winzip_TMP.exe.

Вредоносная программа также прекращает работу антивирусов и предотвращает их повторный запуск.

И, наконец, Nyxem.e способен самостоятельно обновляться через Интернет.

По данным "Лаборатории Касперского", на данный момент вирусом заражены несколько сотен тысяч компьютеров, причем их число продолжает расти.

Пока эпидемия сильно уступает масштабам эпидемий червей MyDoom и Sobig.f, но деструктивное действие Nyxem.e делает этот червь особенно опасным.

Ближайшая дата активации деструктивных функций - пятница, 3 февраля 2006 года. По этой причине в "Лаборатории Касперского" рекомендуют всем пользователям проверить свои компьютеры.

По материалам Компьюлента
 

Flash

VIP
VIP
21.09.04
16 980
41
  • Золотая медаль 111
  • Серебряная медаль 216
  • Золотая медаль 221
  • Серебряная медаль 311
  • Серебряная медаль 115
  • Золотая медаль 125
  • Золотая медаль 211
Самой слабой стороной защиты являеться юзверь.
Гы, а где можна скачать этот вирь? %)
 

nobody

Active member
21.05.05
2 801
0
36
Тут надо спрашивать где скачать защиту против него.
 

mouSe.UA

Guest
M
Технические детали Email-Worm.Win32.Nyxem.e

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ.

Инсталляция
После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например:

%System%\Sample.zip
При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами:

%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry"="scanregw.exe /scan"
При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие ключи реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"WebView"="0"
"ShowSuperHidden"="0"
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

dbx
eml
htm
imh
mbx
msf
msg
nws
oft
txt
vc
Червь также сканирует файлы, имеющие в своем имени следующие подстроки:

content
temporary
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем
Тема письма:
*Hot Movie*
A Great Video
Arab sex DSC-00465.jpg
eBook.pdf
Fuckin Kama Sutra pics
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
Re: Sex Video
School girl fantasies gone bad
The Best Videoclip Ever
You Must View This Videoclipe!
Текст письма:
----- forwarded message -----
>> forwarded message
forwarded message attached.
Fuckin Kama Sutra pics
hello, i send the file. Bye
Hot XXX Yahoo Groups
how are you? i send the details.
i attached the details. Thank you.
i just any one see my photos. It's Free :)
Note: forwarded message attached. You Must View This Videoclip!
Please see the file.
Re: Sex Video
ready to be FUCKED ;)
The Best Videoclip Ever
VIDEOS! FREE! (US$ 0,00)
What?
Имя файла-вложения:
007.pif
04.pif
3.92315089702606E02.UUE
677.pif
Attachments[001].B64
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.PIF
eBook.Uu
image04.pif
New_Document_file.pif
Original Message.B64
photo.pif
School.pif
SeX.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu
Распространение через открытые сетевые ресурсы
Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe:

ADMIN$
C$
Прочее
В случае обнаружения на зараженном компьютере червь удаляет следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"APVXDWIN"
"avast!"
"AVG_CC"
"AVG7_CC"
"AVG7_EMC"
"AVG7_Run"
"Avgserv9.exe"
"AVGW"
"BearShare"
"ccApp"
"CleanUp"
"defwatch"
"DownloadAccelerator"
"kaspersky"
"KAVPersonal50"
"McAfeeVirusScanService"
"MCAgentExe"
"McRegWiz"
"MCUpdateExe"
"McVsRte"
"MPFExe"
"MSKAGENTEXE"
"MSKDetectorExe"
"NAV Agent"
"NPROTECT"
"OfficeScanNT Monitor"
"PCCClient.exe"
"pccguide.exe"
"PCCIOMON.exe"
"PccPfw"
"Pop3trap.exe"
"rtvscn95"
"ScanInicio"
"ScriptBlocking"
"SSDPSRV"
"TM Outbreak Agent"
"tmproxy"
"Vet Alert"
"VetTray"
"VirusScan Online"
"vptray"
"VSOCheckTask"

Также червь выгружает из системы запущенные приложения, в именах которых присутствуют следующие строки:

fix
kaspersky
mcafee
norton
removal
scan
symantec
trend micro
virus
Червь удаляет все найденные файлы из следующих папок:

%ProgramFiles%\Alwil Software\Avast4\*.exe %ProgramFiles%\BearShare\*.dll
%ProgramFiles%\DAP\*.dll
%ProgramFiles%\Grisoft\AVG7\*.dll
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
%ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar
%ProgramFiles%\McAfee.com\Agent\*.*
%ProgramFiles%\McAfee.com\shared\*.*
%ProgramFiles%\McAfee.com\VSO\*.exe
%ProgramFiles%\Morpheus\*.dll
%ProgramFiles%\NavNT\*.exe
%ProgramFiles%\Norton AntiVirus\*.exe
%ProgramFiles%\Symantec\Common Files\Symantec Shared\*.*
%ProgramFiles%\Symantec\LiveUpdate\*.*
%ProgramFiles%\Trend Micro\Internet Security\*.exe
%ProgramFiles%\Trend Micro\OfficeScan Client\*.exe
%ProgramFiles%\TREND MICRO\OfficeScan\*.dll
%ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe
%ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe

Все перечисленные действия червя делают систему более уязвимой для последующих атак.

Также червь может загружать из интернета свои обновления без ведома пользователя.

Также на зараженном компьютере червь может блокировать работу мыши и клавиатуры.

Третьего числа каждого месяца через 30 минут после загрузки зараженного компьютера червь перезаписывает файлы, имеющие следующие расширения:

dmp
doc
mdb
mde
pdf
pps
ppt
psd
rar
xls
zip
Испорченные файлы содержат следующий текст:

DATA Error [47 0F 94 93 F4 F5]
Рекомендации по удалению

Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
В диспетчере задач найдите процесс с одним из следующих имен:
New WinZip File.exe
rundll16.exe
scanregw.exe
Update.exe
Winzip.exe
WINZIP_TMP.EXE
WinZip Quick Pick.exe
Если обнаружите такой процесс — завершите его.
Вручную удалите следующие файлы из корневого и системного каталогов Windows и каталога автозагрузки:
%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe
Удалите из системного реестра следующую запись:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry"="scanregw.exe /scan"
Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.
В случае если были повреждены ваши персональные программы (в большинстве случаев это антивирусные программы и межсетевые экраны), заново установите требуемое программное обеспечение.
Произведите полную проверку компьютера Антивирусом Касперского (скачать пробную версию).

http://www.kaspersky.ru
 

wsw

Well-known member
27.10.05
1 447
58
136
63
  • Серебряная медаль 224
За статью, наверное, заплатил DrWeb!?, т.к. его червь не удаляет...
 

Game Server

Доноры Красавчики

Користувачі онлайн

Немає користувачів онлайн.