Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Служба Рассылок Городского Кота


Служба Рассылок Городского Кота

Антивирусная Лаборатория Дизет                    http://dizet.com.ua
======================================================================
Еженедельное обозрение "Ежики"
======================================================================
* Новый вирус NewLove - новая разновидность старой "любви"

"Лаборатория Касперского", сообщила об обнаружении в живом виде вируса
"NewLove" -  новой  разновидности  печально  известного  компьютерного
вируса "LoveLetter".  Благодаря эвристическому механизму поиска  новых
вирусов, AVP  обнаруживает  "NewLove"  автоматически  без  специальных
дополнений антивирусной базы.

Крайне  опасный  вариант  вируса-червя  "LoveLetter".  Также,  как   и
"LoveLetter", является VBS-файлом и  написан  на  языке  Visual  Basic
Sctipt.  Распространяется в  электронных  письмах  и  при  активизации
рассылает себя с зараженных  компьютеров.  При  своем  распространении
червь использует почтовую систему Microsoft Outlook и  рассылает  себя
по  всем  адресам,  которые  хранятся  в  адресной  книге  Outlook.  В
результате пораженный компьютер рассылает  столько  зараженных  писем,
сколько адресов хранится в адресной книге. Червь попадает на компьютер
в виде "пустого" письма (в письме нет никакого текста) с прикрепленным
VBS-файлом,  который,  собственно,  и  является  телом   червя.    Имя
вложенного файла имеет длину до 30 символов и является случайным.  Имя
дополнено "ложным расширением", которое также выбирается  случайно  из
вариантов:

Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt

"Настоящее" расширение имени вложения - "Vbs", например:

  VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp.Vbs
  QKUPLSXOOIBPAGNENGIVPN.Mp3.Vbs
  TNXSOVARRLESDJQHQJLYSQNWV.Mdb.Vbs
  HBLHCJOFFZS.Mdb.Vbs
  MGQMHOTKKEXLWCJAJ.Doc.Vbs
  SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb.Vbs
  CWGCXE.Mp3.Vbs

В зависимости от  настроек  системы  настоящее  расширение  вложенного
файла (".Vbs") может быть не показано.

Тема письма состоит из символов "FW:" и  имени  вложенного  файла  без
расширения "Vbs", например:

  FW: VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp
  FW: QKUPLSXOOIBPAGNENGIVPN.Mp3
  FW: TNXSOVARRLESDJQHQJLYSQNWV.Mdb
  FW: HBLHCJOFFZS.Mdb
  FW: MGQMHOTKKEXLWCJAJ.Doc
  FW: SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb
  FW: CWGCXE.Mp3 FW: ZTE.Htm

При активизации (если пользователь открывает прикрепленный файл) червь
получает доступ к MS Outlook, открывает адресную книгу, достает оттуда
все адреса и рассылает по ним  письма  с  прикрепленной  к  ним  своей
копией.

Затем червь ищет все файлы на всех доступных  дисках  и  портит  их  -
переименовывает с расширением "Vbs" и  записывает  в  них  свою  копию
(например, "COMMAND.COM" -> "COMMAND.COM.VBS").

Таким образом, "жизненный  цикл"  червя  выглядит  примерно  следующим
образом:  червь  попадает  на  компьютер,  запускается   пользователем
(например, двойным щелчком мыши по вложенному файлу), затем  рассылает
свои копии по всем адресам адресной книги  Outlook  и  уничтожает  все
файлы на всех доступных дисках.

Червь использует полиморфик-алгоритм, меняющий тело червя  при  каждом
заражении  -    червь    дописывает    в    свой    текст    случайные
строки-комментарии.  При этом количество этих строк и, соответственно,
размер червя растет  от  "поколения  к  поколению",  например:  110Kb,
248Kb, 403Kb, 585Kb, 805Kb, 1040Kb и т.д.

При этом "чистый" код червя занимает около 5Kb.

"Лаборатория   Касперского"    выпустила    внеочередное    обновление
антивирусной базы AVP, содержащее процедуры удаления вируса "NewLove".
Обновление доступно на сайте компании по адресу
http://www.kasperskylab.ru/products/updates.asp.

Источник: www.viruslist.com
======================================================================
Служба Новостей    : http://dizet.com.ua/news/
Предложить новость : http://dizet.com.ua/news/younews.html
Архив рассылки     : http://subscribe.ru/archive/comp.soft.av.ezheki

Ведущий рассылки   : Андрей Каримов
e-mail: info@dizet.com.ua


Украинская баннерная сеть

http://subscribe.ru/
E-mail: ask@subscribe.ru

В избранное