I-Worm.ExploreZip - еще один опасный сетевой червь
I-Worm.ExploreZip - еще один опасный сетевой червь
Последние несколько дней практически все новостные серверы лихорадят сообщения о появлении и чрезвычайно быстром распространении нового сетевого "червя", получившего название I-Worm.ExploreZip (или Troj_Explore.Zip). Этот "червь" уже поразил ряд корпоративных сетей и множество пользовательских компьютеров по всему миру.
Как и описанный в прошлом номере "КГ" W32/PrettyPark, данный "червь" использует схожие технологии, реализованные ранее в "черве" Melissa", эпидемия которого прошла в марте этого года. Основным механизмом распространения I-Worm.ExploreZip является неавторизированная его рассылка по электронной почте.
I-Worm.ExpolreZip рассылает свои копии, используя MAPI-команды для доступа к Microsoft Outlook, Outlook Express или Microsoft Exchange. Зараженное сообщение содержит вложенный файл ZIPPED_FILES.EXE (который на самом деле является инсталлятором вируса) и следующие строки:
Hi (имя респондента)!
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
bye [или sincerely [имя отправителя]]
Адресатов получателей этого письма "червь" берет из полученных ранее и еще не прочитанных сообщений, находящихся в папке "Входящие" ("Inbox") на зараженном компьютере.
Так как вложенный файл имеет знакомую иконку Zip-архива, пользователь, как правило, пытается открыть данный файл для того, чтобы просмотреть содержимое архива, однако при этом на экране появляется предупреждающее диалоговое окно с сообщением о якобы произошедшей ошибке распаковки архива.
Внедряясь в систему, "червь" прописывает себя двумя путями: или под именем EXPLORE.EXE в системный каталог Windows (c:\windows\system), или как _SETUP.EXE в каталоге Windows (c:\windows). В обоих случаях "червь" добавляет запуск этих программы в конфигурационный файл WIN.INI (команда "run=").
I-Worm.ExploreZip имеет одну характерную особенность, позволяющую легко обнаружить его присутствие. Данные о его работе имеются в списке задач Windows, вызываемом посредством нажатия комбинации клавиш Ctrl-Alt-Del.
При запуске ZIPPED_FILES.EXE, "червь" сканирует диски от C: до Z: и уничтожает (обнуляет) данные в файлах с расширениями DOC, XLS, PPT, ASM, C, H, CPP.
По сообщениям Symantec, некоторые компании на время пика эпидемии вынуждены были перекрыть доступ к своим e-mail системам.
Например, компания Боинг подверглась чрезвычайно сильной атаке I-Worm.ExploreZip, в результате чего она вынуждена была закрыть свою e-mail систему, которая обслуживает как минимум 150000 служащих. Ущерб, причиненный атакой "червя", полностью не определен, но по неофициальным сведениям известно, что как минимум у двадцати служащих Боинга были повреждены важные файлы.
Также поражены компьютеры таких компаний, как PricewaterhouseCoopers, General Electric, Southern Company, Credit Suisse First Boston.
Для эффективной защиты от I-Worm.ExploreZip необходимо воздержаться от запуска подозрительных файлов, вложенных в e-mail-сообщения, даже если они исходят от ваших друзей или респондентов. Излечить вирус можно с помощью свежих апдейтов от Panda Antivirus Platinum или AVP Касперского.
W97M/Beast.41472.A по прозвищу Зверь
Вирус W97M/Beast.41472.A - это гибрид макро-вируса и запускаемой программы длиной в 41472 байта. Сработан W97M/Beast из двух модулей, первый из которых - это часть документа Word, содержащая маленький AutoOpen-макрос, второй модуль - это запускаемая программа PE-типа, которая на самом деле и является вирусом.
Когда инфицированный документ открывается, запускается макрос AutoOpen, который загружает второй модуль (то есть запускаемую программу, которая загружает вирус в память компьютера). При активации вируса он ищет файлы с расширением DLL в стандартных директориях Windows \SYSTEM и \SYSTEM32.
Затем вирус копирует себя в одну из этих директорий под именем найденного файл, но уже с расширением EXE и модифицирует registry таким образом, что система загружает вирус каждый раз при перезагрузке.
После этого вирус загружает в память еще одну свою копию в скрытое окно с именем "ЗВЕРЬ", затем закрывает предыдущую копию и ожидает, когда будет открыт следующий документ Office для того, чтобы добавить туда макрос и запускаемый модуль. Специальная стелс-техника позволяет W97M/Beast запретить загрузку VBA-редактора, пока вирус находится в памяти.
WM/Npad.010
WM/Npad.010 - новый макро-вирус семейства Npad под Word 95. Его длина - 1664 байта. При открытии документа, зараженного данным вирусом, опять-таки активизируется AutoOpen-макрос, который копирует себя в шаблон NORMAL.DOT. Спустя некоторое время срабатывает деструктивная компонента, которая удаляет все файлы и директории на диске F.
W97M/Wazzu.CW
Новый член уже классического семейства мира макро-вирусов, длиной 4068 байт. W97M/Wazzu.CW заражает документы Word 97.
Вирус срабатывает при открытии зараженного файлы, после чего AutoOpen-макрос копирует себя в NORMAL.DOT и отключает антивирусную защиту, встроенную в Office. W97M/Wazzu.CW можно считать мультиплатформенным вирусом, так как он специально разработан для работы не только с PC-системами.
Подготовил Константин Лозинский
Последние несколько дней практически все новостные серверы лихорадят сообщения о появлении и чрезвычайно быстром распространении нового сетевого "червя", получившего название I-Worm.ExploreZip (или Troj_Explore.Zip). Этот "червь" уже поразил ряд корпоративных сетей и множество пользовательских компьютеров по всему миру.
Как и описанный в прошлом номере "КГ" W32/PrettyPark, данный "червь" использует схожие технологии, реализованные ранее в "черве" Melissa", эпидемия которого прошла в марте этого года. Основным механизмом распространения I-Worm.ExploreZip является неавторизированная его рассылка по электронной почте.
I-Worm.ExpolreZip рассылает свои копии, используя MAPI-команды для доступа к Microsoft Outlook, Outlook Express или Microsoft Exchange. Зараженное сообщение содержит вложенный файл ZIPPED_FILES.EXE (который на самом деле является инсталлятором вируса) и следующие строки:
Hi (имя респондента)!
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
bye [или sincerely [имя отправителя]]
Адресатов получателей этого письма "червь" берет из полученных ранее и еще не прочитанных сообщений, находящихся в папке "Входящие" ("Inbox") на зараженном компьютере.
Так как вложенный файл имеет знакомую иконку Zip-архива, пользователь, как правило, пытается открыть данный файл для того, чтобы просмотреть содержимое архива, однако при этом на экране появляется предупреждающее диалоговое окно с сообщением о якобы произошедшей ошибке распаковки архива.
Внедряясь в систему, "червь" прописывает себя двумя путями: или под именем EXPLORE.EXE в системный каталог Windows (c:\windows\system), или как _SETUP.EXE в каталоге Windows (c:\windows). В обоих случаях "червь" добавляет запуск этих программы в конфигурационный файл WIN.INI (команда "run=").
I-Worm.ExploreZip имеет одну характерную особенность, позволяющую легко обнаружить его присутствие. Данные о его работе имеются в списке задач Windows, вызываемом посредством нажатия комбинации клавиш Ctrl-Alt-Del.
При запуске ZIPPED_FILES.EXE, "червь" сканирует диски от C: до Z: и уничтожает (обнуляет) данные в файлах с расширениями DOC, XLS, PPT, ASM, C, H, CPP.
По сообщениям Symantec, некоторые компании на время пика эпидемии вынуждены были перекрыть доступ к своим e-mail системам.
Например, компания Боинг подверглась чрезвычайно сильной атаке I-Worm.ExploreZip, в результате чего она вынуждена была закрыть свою e-mail систему, которая обслуживает как минимум 150000 служащих. Ущерб, причиненный атакой "червя", полностью не определен, но по неофициальным сведениям известно, что как минимум у двадцати служащих Боинга были повреждены важные файлы.
Также поражены компьютеры таких компаний, как PricewaterhouseCoopers, General Electric, Southern Company, Credit Suisse First Boston.
Для эффективной защиты от I-Worm.ExploreZip необходимо воздержаться от запуска подозрительных файлов, вложенных в e-mail-сообщения, даже если они исходят от ваших друзей или респондентов. Излечить вирус можно с помощью свежих апдейтов от Panda Antivirus Platinum или AVP Касперского.
W97M/Beast.41472.A по прозвищу Зверь
Вирус W97M/Beast.41472.A - это гибрид макро-вируса и запускаемой программы длиной в 41472 байта. Сработан W97M/Beast из двух модулей, первый из которых - это часть документа Word, содержащая маленький AutoOpen-макрос, второй модуль - это запускаемая программа PE-типа, которая на самом деле и является вирусом.
Когда инфицированный документ открывается, запускается макрос AutoOpen, который загружает второй модуль (то есть запускаемую программу, которая загружает вирус в память компьютера). При активации вируса он ищет файлы с расширением DLL в стандартных директориях Windows \SYSTEM и \SYSTEM32.
Затем вирус копирует себя в одну из этих директорий под именем найденного файл, но уже с расширением EXE и модифицирует registry таким образом, что система загружает вирус каждый раз при перезагрузке.
После этого вирус загружает в память еще одну свою копию в скрытое окно с именем "ЗВЕРЬ", затем закрывает предыдущую копию и ожидает, когда будет открыт следующий документ Office для того, чтобы добавить туда макрос и запускаемый модуль. Специальная стелс-техника позволяет W97M/Beast запретить загрузку VBA-редактора, пока вирус находится в памяти.
WM/Npad.010
WM/Npad.010 - новый макро-вирус семейства Npad под Word 95. Его длина - 1664 байта. При открытии документа, зараженного данным вирусом, опять-таки активизируется AutoOpen-макрос, который копирует себя в шаблон NORMAL.DOT. Спустя некоторое время срабатывает деструктивная компонента, которая удаляет все файлы и директории на диске F.
W97M/Wazzu.CW
Новый член уже классического семейства мира макро-вирусов, длиной 4068 байт. W97M/Wazzu.CW заражает документы Word 97.
Вирус срабатывает при открытии зараженного файлы, после чего AutoOpen-макрос копирует себя в NORMAL.DOT и отключает антивирусную защиту, встроенную в Office. W97M/Wazzu.CW можно считать мультиплатформенным вирусом, так как он специально разработан для работы не только с PC-системами.
Подготовил Константин Лозинский
Компьютерная газета. Статья была опубликована в номере 24 за 1999 год в рубрике безопасность :: Вирусный бюллетень
