Нова версія вірусу I Love You
ЩЕПЛЕННЯ
Грицько БУБЛИК
Новація у світі вірусів?
“Лабораторія Касперського” повідомляє про виявлення у “дикому вигляді” нової модифікації Інтернет-хробака Lee, більш відомого як “Курникова”. Окрім того було зареєстровано кілька атак (особливо у переддень 8 березня) небезпечного хроба Naked. Обидвоє вони вже встигли вразити низку комп’ютерних систем у США та Східній Азії. Методи поширення і роботи першого хробака практично ідентичні сумно відомому ILOVEYOU, що викликав глобальну епідемію в травні минулого року. “Курникова” створений за допомогою генератора вірусів [K]Alamar’s Vbs Worms Creator, що дозволяє навіть початківцям створювати власні віруси. Хробак написаний на Visual Basic Script (VBS), зашифрований і поширюється в Інтернеті через електронні листи, що містять вкладений файл AnnaKournikova.jpg.vbs. Після запуску файла вірус реєструє себе в системному реєстрі Windows, отримує доступ до адресної книги поштової програми MS Outlook і розсилає свої копії за всіма знайденими адресами електронної пошти.
Щоб уникнути повторної розсилки, хробак створює додатковий ключ у системному реєстрі: HKEY_CURRENT_USER\Software\ OnTheFly\mailed. Хробак не робить якихось небезпечних побічних дій: окрім масової розсилки заражених файлів, 26 січня “Курникова” запускає Інтернет-бровзер і відкриває голландський Web-сайт. Як і ILOVEYOU, цей хроб використовує прийом із “подвійним” розширенням файла-носія вірусу: JPG.VBS. Присутність помилкового розширення JPG в імені файла дезорієнтує користувача, впевненого в тому, що програми такого типу не можуть містити віруси. Однак при запуску файла він передається на обробку процесорові скрипт-програм Windows Scripting Host, який і виконує код хробака. “Курникова” аж ніяк не є технологічним досягненням у сфері створення шкідливих програм.
Другий же вірус більше претендує на оригінальність. Для поширення Naked використовує поштову систему Microsoft Outlook і розсилає себе за всіма адресами із адресної книги. Ці листи виглядають так: Ім’я прикріпленого файлу: NakedWife.exe. Тема листа: Fw: Naked Wife. Текст листа: My wife never look like that! ;-) Best Regards, [CurrentUser], де [CurrentUser] – ім’я користувача інфікованої машини. При запускові хроба (якщо користувач запустить приєднаний файл) хробак розсилається та виконує такі деструктивні дії: вбиває файли .INI, .LOG, .DLL, .EXE, .COM, .BMP в системному каталозі Windows. Хробак не інсталюється в систему (на відміну від інших) і не створює ключів у системному реєстрі, тобто є хробом одноразового використання. Під час роботи Naked ховає свою активність під виглядом Macromedia Flash Player і в безмежному чиклі виводить повідомлення: Loading, Loading., Loading..
Заходи безпеки
Щоб уникнути ураження вашої машини цим вірусом, досить просто не запускати файл AnnaKournikova.jpg.vbs. Системним адміністраторам варто настроїти фільтри вхідної і вихідної поштової кореспонденції так, щоби вони блокували пересилання пошти, що містить такі файли.
Методи видалення
Для видалення з системи цього Інтернет-черв’яка треба виконати такі кроки: 1) видалити файл AnnaKournikova.jpg.vbs зі системного каталогу Windows; 2) стерти такі ключі системного реєстру Windows: HKEY_CURRENT_USER\Software\OnTheFly HKEY_CURRENT_USER\Software\OnTheFly\ mailed.
|
|
