Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Новости безопасноcти компьютерных сетей


Служба Рассылок Subscribe.Ru
"Безопасность - это процесс"


Специальный выпуск


Уважаемые подписчики мы рады приветствовать Вас!


Вирусы

  15 часов назад в диком виде обнаружен новый интернет-червь под названием WORM_GONE.A, который сразу получил наивысшую степень опасности - красную. Он обладает деструктивными свойствами, а именно удаляет файлы на жестком диске инфицированного компьютера.
  Вирус распространяется как через электронную почту, так и через IRC и ICQ. При распространении через электронную почту вирус находится в аттачменте GONE.SCR письма следующего содержания:

How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!

Вирус упакован при помощи UPX и выполнен на Visual Basic. После инфицирования компьютера GONE.A создает Outlook Application Object и при помощи скрипта генерирует письма по всем адресатам из адресной книги. После этого все инфицированные письма удаляются из папки "отправленные".
При инфицировании компьютера вирус останавливает практически все системные процессы используемые антивирусными пакетами:
  • IAMAPP.EXE
  • IAMSERV.EXE
  • CFINET.EXE
  • APLICA32.EXE
  • ZONEALARM.EXE
  • ESAFE.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • CFINET32.EXE
  • PCFWALLICON.EXE
  • FRW.EXE
  • VSHWIN32.EXE
  • VSECOMR.EXE
  • WEBSCANX.EXE
  • AVCONSOL.EXE
  • VSSTAT.EXE
  • NAVAPW32.EXE
  • NAVW32.EXE
  • _AVP32.EXE
  • _AVPCC.EXE
  • _AVPM.EXE
  • AVP32.EXE
  • AVPCC.EXE
  • AVPM.EXE
  • AVP.EXE
  • LOCKDOWN2000.EXE
  • ICLOAD95.EXE
  • ICMON.EXE
  • ICSUPP95.EXE
  • ICLOADNT.EXE
  • ICSUPPNT.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • SAFEWEB.EXE

После остановки данных системных процессов, вирус удаляет все файлы связанные с ними, а также каталог C:\SAFEWEB и все файлы находящиеся в нем.
В ходе выполнения своих действий вирус выдает на экран дисплея окно следующего содержания

pentagone

coded by: suid

texted by: ThE_SKuLL and |satan|
greetings to: TraceWar, k9_unit, stef16 ^Reno

greetings also to nonick2 out
there where ever you are

После выполнения всех этих действий вирус помещает свое тело в системную директорию и создает ключ, позволяющий перезаписывать свое тело при каждом рестарте системы

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\%система%\gone.scr = %системная директория%\gone.scr

Общая длина тела вируса составляет 38912 байт, криптографическому закрытию не подвержен.

  Дополнительную информацию можно получить, направив запрос автору рассылки.
  С уважением, Игорь Камолов.

Выпуск


http://subscribe.ru/
E-mail: ask@subscribe.ru
Отписаться
Убрать рекламу

В избранное