Пресс-релизы

28 января 2004 г

ВНИМАНИЕ! Широкомасштабная вирусная эпидемия в Интернете

Антивирусная Лаборатория "ЦЕБИТ" предупреждает о широкомасштабной эпидемии червя массовой рассылки I-Worm.Novarg. Скорость распространения нового червя такова, что специалисты оценивают эту эпидемию гораздо серьезнее, чем даже эпидемию червя Reteras в августе 2003 года.

По классификации различных компаний данный червь носит названия

W32.Novarg.A@mm [Symantec],

W32/Mimail.Q.worm [Panda],

W32/Mimail-Q [Sophos],

W32/Mydoom@MM [NAI],

I-Worm.Novarg [Лаборатория Касперского],

Win32.HLLM.MyDoom.32768 [ДиалогНаука].

Всего за несколько часов существования в сети I-Worm.Novarg успел поразить сотни тысяч компьютеров по всему миру. И это не смотря на дедовские методы распространения. Червь не использует популярных уязвимостей, а рассчитан исключительно на любопытство получателя, т.к. червь активизируется, только если пользователь сам запустит файл вложения (при двойном щелчке на нем). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Краткий портрет: I-Worm.Novarg - распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB.

Червь содержит в себе функцию установки «чёрного хода», а также запрограммирован на проведение DoS-атаки на сайт www.sco.com 1 февраля 2004 года.

Важным отличием данного червя является использование алгоритмов криптографии для защиты от антивирусов (полиморфность). При каждой перезагрузке зараженного компьютера червь меняет ключ шифрования таким образом, что рассылаемые копии вредоносной программы каждый раз выглядят по-разному. Это, в свою очередь, требует от установленного антивируса функции дешифрации файлов.

Для осуществления массовой почтовой рассылки червь извлекает из файлов с расширениями *.htm, *.sht, *.php, *.asp, *.dbx, *.tbb, *.adb, *.pl, *.wab, *.txt почтовые адреса, игнорирую при этом адреса, оканчивающиеся на ".edu".

Также червь собирает информацию об установленных на компьютере счетах платежных систем PayPal и E-Gold и отсылает коды доступа к ним на те же почтовые ящики.

При размножении через файлообменные сети червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

winamp5

icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

rootkitXP

office_crack

nuke2004

с расширением из списка:

bat

exe

scr

pif

Признаки инфицированного почтового сообщения

Отправитель: [произвольный]

Тема - одна из следующих:

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":

document

readme

doc

text

file

data

test

message

body

Вложения могут иметь одно из расширений:

pif

scr

exe

cmd

bat

Принцип действия червя

После того, как пользователь осуществил запуск инфицированного файла, червь устанавливает в системный каталог файл shimgapi.dll, представляющий из себя прокси-сервер. На зараженной машине открываются TCP порты из диапазона от 3127 до 3198 для приема команд. Функции backdoor позволяют злоумышленнику получить полный доступ к системе. Кроме этого, червь позволяет загружать из Интернета и запускать на исполнение произвольные файлы. Файл Shimgapi.dll устанавливается к EXPLORER.EXE через создаваемый ключ системного реестра:

HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 "(Default)" = %SysDir%shimgapi.dll

Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe".

Затем червь устанавливает себя в системный каталог под именем taskmon.exe. Если такой файл уже существует, то вместо него перезаписывает свою копию.

Во временный каталог устанавливается файл Message, являющийся частью заражающего компонента.

Так же червь копирует себя в каталог Windows под именем SYS32.EXE и регистрирует в ключе автозапуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun "System" = "%Windir%sys32.exe"

После этого распаковывает основную часть червя (файл OUTLOOK.EXE) и запускает ее на выполнение. Создает в системном реестре Windows несколько ключей, для идентификации своего присутствия на машине.

Наши рекомендации по предотвращению заражения Интернет-червём Novarg.

1. Прежде чем открывать вложение, сохраните его на диск и проверьте антивирусным сканером. Ни в коем случае не открывайте вложения в письмах электронной почты, даже когда оно пришло от известного Вам адресата. Червь рассылает себя по адресам, найденным на уже инфицированной машине.

2. Не открывайте вложений, значок которых выглядит, как значок ярлыка MS-DOS, немедленно удалите такое письмо.

3. Если Вы не уверены, кем данное письмо отправлено - реальным адресатом или червём - запросите у адресата подтверждение того, что он действительно отсылал Вам такое письмо именно с этим файлом (особенно внимательно выясните имя и расширение вложенного файла). В случае отсутствия ответа или несовпадения полученной информации немедленно удалите письмо и очистите папку "Удаленные" Вашего почтового клиента.

4. Не открывайте вложений, значок которых выглядит, как значок текстового файла. Сначала удостоверьтесь, что это действительно, текстовый файл. Для этого сохраните его на диск и в первую очередь вызовите свойства этого файла, щёлкнув на нем правой клавишей мыши и выбрав "Свойства" ("Properties"). Если расширение файла (последние 4 символа) отличаются от ".txt" - немедленно удалите этот файл и письмо, в котором его прислали, а так же очистите корзину и папку "Удалённые" Вашего почтового клиента.

5. Если Вы подозреваете, что Ваша система заражена, то обновите Ваше антивирусное ПО и осуществите полную антивирусную проверку Вашей системы, предварительно выгрузив из памяти подозрительные процессы и включив режим "Проверять все файлы". Процедуры защиты от червя уже добавлены в антивирусные базы всех ведущих производителей.

ВНИМАНИЕ ! ! ! Выполнение п.5 НЕ ОТМЕНЯЕТ выполнения пп.1-4 ! ! !

www.virusam.net

версия для печати

SMS

Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.

Смотрите также

17 октября 2013 г

 • В Киеве завершился Международный научно-технологический форум «Наука. Инновации. Технологии – 2013»
 • Впервые в Киеве будет проведен глобальный курс для начинающих предпринимателей Earlydays

16 октября 2013 г

 • Украинские предприниматели выходят на международный рынок с помощью Windows Azure
 • Бионические разработки Festo – инвестиции в будущее

15 октября 2013 г

 • Компании тратят $1,5 млн в год на покупку поддельных наклеек на компьютеры

11 октября 2013 г

 • Відбувся 4-й Український форум з управління Інтернетом IGF-UA
 • В Киеве прошла Региональная конференция ENOG 6/RIPE NCC
 • Графические процессоры ускоряют пошив плаща-невидимки
 • Mail.Ru Group оштрафовали за отказ нарушить тайну переписки
 • Количество Android-смартфонов в сети «Киевстар» превысило 2 млн