|
Пресс-релизы
|
|
28 января 2004 г
ВНИМАНИЕ! Широкомасштабная вирусная эпидемия в Интернете
Антивирусная Лаборатория "ЦЕБИТ" предупреждает о широкомасштабной эпидемии червя массовой рассылки I-Worm.Novarg. Скорость распространения нового червя такова, что специалисты оценивают эту эпидемию гораздо серьезнее, чем даже эпидемию червя Reteras в августе 2003 года.
По классификации различных компаний данный червь носит названия
W32.Novarg.A@mm [Symantec],
W32/Mimail.Q.worm [Panda],
W32/Mimail-Q [Sophos],
W32/Mydoom@MM [NAI],
I-Worm.Novarg [Лаборатория Касперского],
Win32.HLLM.MyDoom.32768 [ДиалогНаука].
Всего за несколько часов существования в сети I-Worm.Novarg успел поразить сотни тысяч компьютеров по всему миру. И это не смотря на дедовские методы распространения. Червь не использует популярных уязвимостей, а рассчитан исключительно на любопытство получателя, т.к. червь активизируется, только если пользователь сам запустит файл вложения (при двойном щелчке на нем). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Краткий портрет: I-Worm.Novarg - распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB.
Червь содержит в себе функцию установки «чёрного хода», а также запрограммирован на проведение DoS-атаки на сайт www.sco.com 1 февраля 2004 года.
Важным отличием данного червя является использование алгоритмов криптографии для защиты от антивирусов (полиморфность). При каждой перезагрузке зараженного компьютера червь меняет ключ шифрования таким образом, что рассылаемые копии вредоносной программы каждый раз выглядят по-разному. Это, в свою очередь, требует от установленного антивируса функции дешифрации файлов.
Для осуществления массовой почтовой рассылки червь извлекает из файлов с расширениями *.htm, *.sht, *.php, *.asp, *.dbx, *.tbb, *.adb, *.pl, *.wab, *.txt почтовые адреса, игнорирую при этом адреса, оканчивающиеся на ".edu".
Также червь собирает информацию об установленных на компьютере счетах платежных систем PayPal и E-Gold и отсылает коды доступа к ним на те же почтовые ящики.
При размножении через файлообменные сети червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
с расширением из списка:
bat
exe
scr
pif
Признаки инфицированного почтового сообщения
Отправитель: [произвольный]
Тема - одна из следующих:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":
document
readme
doc
text
file
data
test
message
body
Вложения могут иметь одно из расширений:
pif
scr
exe
cmd
bat
Принцип действия червя
После того, как пользователь осуществил запуск инфицированного файла, червь устанавливает в системный каталог файл shimgapi.dll, представляющий из себя прокси-сервер. На зараженной машине открываются TCP порты из диапазона от 3127 до 3198 для приема команд. Функции backdoor позволяют злоумышленнику получить полный доступ к системе. Кроме этого, червь позволяет загружать из Интернета и запускать на исполнение произвольные файлы. Файл Shimgapi.dll устанавливается к EXPLORER.EXE через создаваемый ключ системного реестра:
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 "(Default)" = %SysDir%shimgapi.dll
Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe".
Затем червь устанавливает себя в системный каталог под именем taskmon.exe. Если такой файл уже существует, то вместо него перезаписывает свою копию.
Во временный каталог устанавливается файл Message, являющийся частью заражающего компонента.
Так же червь копирует себя в каталог Windows под именем SYS32.EXE и регистрирует в ключе автозапуска системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun "System" = "%Windir%sys32.exe"
После этого распаковывает основную часть червя (файл OUTLOOK.EXE) и запускает ее на выполнение. Создает в системном реестре Windows несколько ключей, для идентификации своего присутствия на машине.
Наши рекомендации по предотвращению заражения Интернет-червём Novarg.
1. Прежде чем открывать вложение, сохраните его на диск и проверьте антивирусным сканером. Ни в коем случае не открывайте вложения в письмах электронной почты, даже когда оно пришло от известного Вам адресата. Червь рассылает себя по адресам, найденным на уже инфицированной машине.
2. Не открывайте вложений, значок которых выглядит, как значок ярлыка MS-DOS, немедленно удалите такое письмо.
3. Если Вы не уверены, кем данное письмо отправлено - реальным адресатом или червём - запросите у адресата подтверждение того, что он действительно отсылал Вам такое письмо именно с этим файлом (особенно внимательно выясните имя и расширение вложенного файла). В случае отсутствия ответа или несовпадения полученной информации немедленно удалите письмо и очистите папку "Удаленные" Вашего почтового клиента.
4. Не открывайте вложений, значок которых выглядит, как значок текстового файла. Сначала удостоверьтесь, что это действительно, текстовый файл. Для этого сохраните его на диск и в первую очередь вызовите свойства этого файла, щёлкнув на нем правой клавишей мыши и выбрав "Свойства" ("Properties"). Если расширение файла (последние 4 символа) отличаются от ".txt" - немедленно удалите этот файл и письмо, в котором его прислали, а так же очистите корзину и папку "Удалённые" Вашего почтового клиента.
5. Если Вы подозреваете, что Ваша система заражена, то обновите Ваше антивирусное ПО и осуществите полную антивирусную проверку Вашей системы, предварительно выгрузив из памяти подозрительные процессы и включив режим "Проверять все файлы". Процедуры защиты от червя уже добавлены в антивирусные базы всех ведущих производителей.
ВНИМАНИЕ ! ! ! Выполнение п.5 НЕ ОТМЕНЯЕТ выполнения пп.1-4 ! ! !
www.virusam.net
версия для печати
|
SMS
|
|
Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.
|
Смотрите также
|
|
17 октября 2013 г
• В Киеве завершился Международный научно-технологический форум «Наука. Инновации. Технологии – 2013»
• Впервые в Киеве будет проведен глобальный курс для начинающих предпринимателей Earlydays
16 октября 2013 г
• Украинские предприниматели выходят на международный рынок с помощью Windows Azure
• Бионические разработки Festo – инвестиции в будущее
15 октября 2013 г
• Компании тратят $1,5 млн в год на покупку поддельных наклеек на компьютеры
11 октября 2013 г
• Відбувся 4-й Український форум з управління Інтернетом IGF-UA
• В Киеве прошла Региональная конференция ENOG 6/RIPE NCC
• Графические процессоры ускоряют пошив плаща-невидимки
• Mail.Ru Group оштрафовали за отказ нарушить тайну переписки
• Количество Android-смартфонов в сети «Киевстар» превысило 2 млн
|