[TIFLO] Пересылка. информация. обьявление. срочно, новый вирус
Виртуальный клуб общения "Калейдоскоп".
приветствую всех. вот информация добытая мной не далее как пару часов назад
с
сайта лаборатории касперского
www.avp.ru
помоему она заслуживает внимания.
Nyxem.e: 3 февраля может стать Судным днем для сотен тысяч компьютеров
<Лаборатория Касперского>, ведущий российский разработчик систем защиты от
вирусов,
хакерских атак и спама, сообщает о серьезной опасности, которую представляет
недавно обнаруженный почтовый червь Email-Worm.Win32.Nyxem.e. Вредоносная
программа
распространяется через интернет в виде вложений в зараженные электронные
письма, а также файлов, расположенных на открытых сетевых ресурсах. По
данным
специалистов, на данный момент количество зараженных компьютеров равно
нескольким
сотням тысяч. Их число продолжает расти, что заставляет говорить о
серьезности
масштаба распространения данной вредоносной программы.
Это делает особенно опасной характерную особенность Nyxem.e, состоящую в
частичном
уничтожении хранимой на зараженном компьютере информации каждого третьего
числа месяца. Таким образом, 3 февраля 2006 года может стать последним днем
для
сотен тысяч ПК, пораженных Nyxem.e.
Червь представляет собой исполняемый в среде Windows файл размером 95 Кб,
приложенный
к письму с заголовком из заранее созданного автором списка, насчитывающего
около 25 позиций. При этом текст письма и наименование приложенного файла
также
имеют около 20 разнообразных вариантов исполнения, что затрудняет
оперативное
обнаружение зараженного письма пользователем.
Активизация червя производится пользователем при самостоятельном запуске
зараженного
файла. После запуска Nyxem.e принимает дополнительные меры для дезориентации
пользователя: червь скрывает свою основную функциональность, создавая в
системном
каталоге Windows ZIP-архив с тем же именем, что и изначально запущенный
файл, а затем открывая этот архив. При инсталляции червь копирует себя под
несколькими
именами в корневой и системный каталоги Windows, а также каталог
автозагрузки, после чего регистрирует себя в ключе автозапуска системного
реестра.
Таким образом, при каждой следующей загрузке Windows автоматически запускает
вредоносный процесс.
Затем Nyxem.e сканирует файловую систему пораженного компьютера и рассылает
себя
по всем найденным адресам электронной почты. Для отправления зараженных
писем червь пытается установить прямое соединение с SMTP-сервером.
Параллельно
червь копирует себя в доступные с пораженного компьютера сетевые ресурсы
под именем Winzip_TMP.exe, таким образом увеличивая масштаб своего
распространения
за счет пользователей, загрузивших данный файл.
При этом вредоносная программа прерывает процессы, осуществляющие
персональную
защиту компьютера, и предотвращает их повторный запуск, оставляя атакованный
ПК незащищенным. Располагая полным контролем над зараженной машиной, Nyxem.e
также способен самостоятельно загружать свои собственные обновления из
интернета,
изменяясь в зависимости от воли автора.
В дополнение к указанным выше, особую опасность представляет также
содержащаяся
в Nyxem.e деструктивная функция. В соответствие с ней, червь регулярно
сверяется
с системной датой компьютера и в случае, если она соответствует третьему
числу,
через 30 минут после загрузки ПК уничтожает информацию в файлах наиболее
распространенных форматов, замещая ее бессмысленным набором символов.
<Судя по присутствию червя в мировом интернет-трафике и все возрастающему
потоку
жалоб от пользователей, заражению Nyxem.e подверглось значительное число
компьютеров по всему миру, количество которых может оцениваться в сотни
тысяч.
Это означает только одно - 3 февраля может стать Судным днем для многих
беспечных пользователей, которые могут потерять ценные данные в случае, если
их компьютеры подверглись заражению Nyxem.e. Поэтому я обращаюсь ко всем
пользователям
компьютеров с просьбой принять простые меры для предотвращения заражения
данным
червем: не запускать объекты, вложенные в любые письма, получение которых
не ожидалось, обновить антивирусные базы установленной на ПК антивирусной
защиты
и затем провести полную проверку компьютера>, - сказал Евгений Касперский,
руководитель антивирусных исследований <Лаборатории Касперского>.
Процедуры защиты от Email-Worm.Win32.Nyxem.e уже добавлены в базу данных
Антивируса
КасперскогоR. Более подробная информация о данной вредоносной программе
доступна
в Вирусной энциклопедии Касперского.
а вот собственно и подробности о данном червяке из вирусной энциклопедии.
Email-Worm.Win32.Nyxem.e
Другие версии:
..a
Table with 2 columns and 3 rows
Детектирование добавлено
17 янв 2006
Описание опубликовано
20 янв 2006
Поведение
Email-Worm, почтовый червь
table end
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные
электронные
письма, а также по открытым сетевым ресурсам.
Рассылается по всем найденным на зараженном компьютере адресам электронной
почты.
Червь представляет собой PE EXE-файл. Написан на языке Visual Basic.
Упакован
UPX. Размер в упакованном виде - около 95 КБ, размер в распакованном виде
- около 176 КБ.
Инсталляция
После запуска, скрывая свою основную функциональность, червь создает в
системном
каталоге Windows и затем открывает ZIP-архив с тем же именем, что и
запускаемый
файл. Например:
%System%\Sample.zip
При инсталляции червь копирует себя в корневой и системный каталоги Windows
и
каталог автозагруски со следующими именами:
%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry"="scanregw.exe /scan"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие ключи реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"WebView"="0"
"ShowSuperHidden"="0"
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие
расширения:
dbx
eml
htm
imh
mbx
msf
msg
nws
oft
txt
vc
Червь также сканирует файлы, имеющие в своем имени следующие подстроки:
content
temporary
При рассылке зараженных писем червь пытается осуществить прямое подключение
к
SMTP-серверам.
Характеристики зараженных писем
Тема письма:
List of 25 items
*Hot Movie*
A Great Video
Arab sex DSC-00465.jpg
eBook.pdf
Fuckin Kama Sutra pics
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
Re: Sex Video
School girl fantasies gone bad
The Best Videoclip Ever
You Must View This Videoclipe!
list end
Текст письма:
List of 16 items
forwarded message >> forwarded message
forwarded message attached.
Fuckin Kama Sutra pics
hello, i send the file. Bye
Hot XXX Yahoo Groups
how are you? i send the details.
i attached the details. Thank you.
i just any one see my photos. It's Free :)
Note: forwarded message attached. You Must View This Videoclip!
Please see the file.
Re: Sex Video
ready to be FUCKED ;)
The Best Videoclip Ever
VIDEOS! FREE! (US$ 0,00)
What?
list end
Имя файла-вложения:
List of 19 items
007.pif
04.pif
3.92315089702606E02.UUE
677.pif
Attachments[001].B64
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.PIF
eBook.Uu
image04.pif
New_Document_file.pif
Original Message.B64
photo.pif
School.pif
SeX.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu
list end
Распространение через открытые сетевые ресурсы
Червь копирует себя в следующие доступные сетевые ресурсы с именем
Winzip_TMP.exe:
ADMIN$
C$
Прочее
Червь закрывает, выгружает из системы, удаляет ветки реестра и исполняемые
файлы
различных антивирусных программ и межсетевых экранов.
Также червь может загружать из интернета свои обновления без ведома
пользователя.
Также на зараженном компьютере червь блокирует работу мыши и клавиатуры.
Третьего числа каждого месяца через 30 минут после загрузки зараженного
компьютера
червь перезаписывает файлы, имеющие следующие расширения:
dmp
doc
mdb
mde
pdf
pps
ppt
psd
rar
xls
zip
Испорченные файлы содержат следующий текст:
DATA Error [47 0F 94 93 F4 F5]
Выпуск номер: 5793
Выпуск листа на новом месте: 1716
