MiniZip - новая версия вируса-червя ExploreZip, с которой не справляются антивирусные системы

MiniZip - новая версия вируса-червя ExploreZip, с которой не справляются антивирусные системы

Вирус-червь ExploreZip, который наделал много шума в июне этого года, сейчас вернулся в виде новой своей версии, от которой пока нет противоядия. Уже поступили сообщения о заражении компьютерных систем нескольких крупных компаний.

Новая версия вируса получила название MiniZip, которое отражает тот факт, что вирус распространяется в виде архивного файла. Такая же технология использовалась в ExploreZip, с той только разницей, что вирус ExploreZip распространялся по электронной почте в виде исполняемого файла zipped_files.exe, а в MiniZip архивный формат маскирует вирус для систем защиты, которые сканируют входящие сообщения электронной почты. Многие современные антивирусные программы сканируют и архивные файлы, но создатель MiniZip использовал малоизвестную программу архивации Neolite, что делает вирус невидимым для систем защиты.

Вирус MiniZip действует так же, как печально известный ExploreZip: заражает компьютер, удаляет файлы с определенными расширениями и рассылает сам себя по адресам из адресной книги почтовой программы (Microsoft Outlook, Outlook Express и Exchange). Так же, как и в случае с ExploreZip, письмо с вирусом MiniZip содержит сообщение "I received your email and I will send you a reply ASAP. Till then, take a look at the attached zipped docs".

Производители антивирусного ПО компании Symantec, Network Associates, Trend Micro и другие уже получили множество копий этого вируса от нескольких компаний из списка Fortune 500, системы которых были заражены им.

По сообщению Trend Micro, обновив свое антивирусное ПО, пользователи пока могут только замедлить распространение вируса MiniZip. Так что совет один: не запускать на исполнение прикрепленные файлы из подозрительных писем, особенно если в них присутствует вышеупомянутый текст.

ДиалогНаука защитит от вирусов программы серии БЭСТ

Компании "ДиалогНаука" и "Интеллект-Сервис" договорились о предустановке антивирусных программ ДиалогНауки при продаже программ серии БЭСТ, предназначенных для автоматизации бухгалтерского, торгово-складского, производственного и управленческого учета.

Теперь пользователи программ серии БЭСТ получают возможность защитить свои компьютеры комплектом антивирусных программ DrWeb32 и ADinf32. Программы комплекта могут использоваться под операционными системами MS-DOS 3.30 и старше, MS Windows 3.1x и MS Windows 95/98/NT.

При необходимости, "ДиалогНаука" и "Интеллект-Сервис" могут обеспечить антивирусную защиту не только отдельного компьютера, но и всех компьютеров в локальной вычислительной сети на базе серверов Novell Netware.

BubbleBoy вырвался на свободу

"Лаборатория Касперского" сообщает о появлении Интернет-червя BubbleBoy в "диком" виде.

"Червь", ранее существовавший в коллекциях представителей компьютерного андерграунда, теперь имеет свободное хождение в сети Интернет. Это означает, что пользователи должны быть максимально внимательны к обеспечению антивирусной безопасности.

BubbleBoy был обнаружен 10 ноября 1999 г. Он является первым известным "червем", способным распространяться по сети Интернет без использования вложенных файлов и проникать в компьютеры сразу же после прочтения зараженных писем электронной почты.

"Мы предвидели такое развитие событий и заранее позаботились о безопасности наших клиентов. Все пользователи антивирусных продуктов семейства AVP, своевременно обновляющие антивирусные базы, уже защищены от проникновения BubbleBoy в их компьютерные системы", - сказал руководитель антивирусной лаборатории компании Евгений Касперский.

AVP для MS Exchange Server

"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, объявил о выпуске первого в России антивирусного модуля для почтовых серверов MS Exchange Server.

AntiViral Toolkit Pro (AVP) для MS Exchange Server осуществляет централизованную фильтрацию всей внутренней и внешней почтовой корреспонденции. Программа "очищает" все сообщения электронной почты от компьютерных вирусов и вредоносных кодов всех типов до того, как они попадут на локальные компьютеры. В случае обнаружения в письме вируса AVP позволяет нейтрализовать его, переслать письмо на определенный адрес (функция "карантин"), сопроводить сообщение соответствующим предупреждением. В программе предусмотрена гибкая система оповещений системного администратора обо всех случаях вирусных атак.

На сегодняшний день электронная почта является основным средством распространения компьютерных вирусов. По данным Международной организации компьютерной безопасности (ICSA), около 60% всех случаев заражения вирусами происходят именно посредством электронной почты. В этих условиях проблема надежной защиты корпоративной сети от потока опасных программ через электронную корреспонденцию становится наиболее острой. AVP уже давно решает эту проблему на локальном уровне - вирусный перехватчик AVP Monitor позволяет фильтровать все сообщения электронной почты, вложенные файлы, локальные почтовые базы. Однако в рамках корпоративной сети системный администратор не всегда может отследить своевременность и правильность загрузки перехватчика. AVP для MS Exchange Server решает эту проблему централизованно.

"Учитывая возрастающую вирусную угрозу через электронную почту, наша компания уделяет особое внимание разработке надежных антивирусных систем для почтовых серверов. В ближайших планах компании - антивирусы для Lotus Notes и Group Wise, а также антивирусные модули для MAPI-клиентов (Exchange Workstation, Outlook и др.)", - сказал технический директор "Лаборатории Касперского" Михаил Калиниченко.

I-Worm.MyPics: новый Интернет-червь продолжает дело "Мелиссы"



"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, сообщает о появлении в "диком" виде нового Интернет-червя I-Worm.MyPics, использующего приемы печально известного вируса "Мелисса".

Общие характеристики

I-Worm.MyPics является Интернет-червем, распространяющимся по сетям Интернет при помощи электронной почты. Он представляет собой исполняемый Windows-файл с расширением EXE, длиной 34304 байт. "Червь" содержит чрезвычайно опасные деструктивные функции, что может негативно повлиять на работоспособность зараженных компьютеров и сохранность содержащейся на них информации.

Признаки заражения

Обнаружить присутствие "червя" на компьютере можно следующими путями:

- просмотреть список активных задач при помощи одновременного нажатия клавиш ALT и TAB. "Червь" присутствует в памяти компьютера под именем "MYPICS"

- проверить присутствие в корневом каталоге диска C: файла PICS4YOU.EXE, содержащего копию "червя"

- проверить ключ системного реестра HKEY_CURRENT_USER \Software \Microsoft \Office \ "jpgs2?". В случае присутствия "червя" на компьютере его значение будет "... by sfkwnty".

- также проверить наличие следующих ключей системного реестра: SOFTWARE \Microsoft \Windows \CurrentVersion \Run "Creative" = "C:\Pics4You.exe" SOFTWARE \Microsoft \WindowsNT \CurrentVersion \Windows \Run "Creative" = "C:\Pics4You.exe"

Признаком заражения также является изменение загрузочной (стартовой) страницы Интернет-браузера MS Internet Explorer на http://www.geocities.com /SiliconValley /Vista /8279 /index.html.

Внедрение в систему

Червь присылается на компьютер в сообщении электронной почты, во вложенном файле "PICS4YOU.EXE". Сообщение имеет пустое поле "Subject", а в теле письма, помимо вложенного файла, содержит текст:

"Here's some pictures for you!"

При запуске вложенного файла "червь" получает управление и остается в памяти Windows как активная задача с именем "MYPICS". Затем он активизирует процедуру внедрения в систему, регистрируя себя в описанных выше ключах системного реестра.

Распространение

Закончив процедуру внедрения, "червь" приступает к распространению своих копий по сети Интернет. Эта особенность подчеркивает его схожесть с обнаруженным в конце марта макро-вирусом "Мелисса". I-Worm.MyPics открывает базу данных почтовой программы Outlook, считывает из ее адресной книги до 50 адресов электронной почты и, незаметно для пользователя, рассылает свои копии этим получателям.

Червь не рассылает свои копии дважды на один и тот же адрес. Для этого он проверяет наличие в системном реестре первого из указанных выше ключей.

Деструктивные функции

Червь имеет крайне опасную процедуру, которая активизируется в 2000 году: в файл C:\AUTOEXEC.BAT записываются команды, которые форматируют диски C: и D:. Кроме того, создается и запускается файл C:\CBIOS.COM, который портит содержимое CMOS-памяти.

Профилактика и лечение

Ни в коем случае не запускайте файл "PICS4YOU.EXE", содержащийся в сообщениях электронной почты. Помните, что "червь" может содержаться в письмах даже заслуживающих доверия источников, поскольку рассылает свои копии без ведома пользователя.

Обновите свои антивирусные базы AntiViral Toolkit Pro (AVP). Процедуры обнаружения и удаления I-Worm.MyPics добавлены в очередное еженедельное обновление антивирусных баз.

VBS.666test

Интернет-червь. Написан на языке программирования Visual Basic Script (VBS). Распространяется по электронной почте и через каналы IRC (Internet Relay Chat).

Будучи запущенным, червь выводит на экран сообщение:

"Does your name add up to 666?

This handy little tool will tell you what your name adds up to in ASCII characters (without including spaces and without converting numbers to ASCII). It is just for fun, it does not mean you are going to go to hell if you get a 666. You should probably read the bible if you are concerned about that."

Затем выводит запрос:

"Does your name add up to 666?

Enter your name. Also try names from your family and friends. And if you want something interesting try BILL GATES 3 (Bill's real name is Bill Gates the third) and HOLY BIBLE. Press Cancel or Ok without entering any name to exit."

Далее червь подсчитывает сумму кодов символов по таблице ASCII во введенном имени и повторяет запрос до тех пор, пока не будет нажата кнопка ОК без введенного текста. Тогда червь начинает выполнение процедуры рассылки.

Первым делом червь создает zip-архив, в который помещает свою копию. Для создания архива червь использует утилиту PKZIP, которая записана в теле червя в зашифрованном виде. Перед созданием архива вирус расшифровывает ее во временный файл и затем запускает на выполнение. Созданный архив червь помещает в каталог Windows с именем "666TEST.ZIP".

Далее он создает на диске в системном каталоге Windows файл "REGSVR.VBS" и изменяет системный реестр таким образом, чтобы этот файл запускался на выполнение при каждом старте Windows. Этот файл также является VBS-программой (скриптом). При выполнении он последовательно перебирает все диски на компьютере и проверяет на них каталоги:

\MIRC

\MIRC32

\PIRCH

\PIRCH98

Если в этих каталогах или их подкаталогах червь находит исполняемые файлы программ MIRC или PIRCH (популярные программы для общения через IRC), он создает скрипт для найденной программы, который отсылает архив 666TEST.ZIP каждому, кто присоединяется к тому же каналу IRC, к которому присоединился пользователь зараженного компьютера.

Червь также проверяет системную дату и пятого числа каждого месяца меняет обои на рабочем столе Windows на рисованное изображение грустного человечка.

Червь распространяется через электронную почту, используя программу MS Outlook. Процедура распространения этого червя очень похожа на аналогичную процедуру в вирусе "Melissa". Сообщение электронной почты, которое создает эта процедура, содержит вложенным файлом zip-архив "666TEST.ZIP", содержащий скрипт червя.

Червь не рассылает свои копии с одного компьютера дважды. Чтобы избежать повторной рассылки, червь создает в системном реестре ключ:

"HKEY_LOCAL_MACHINE\Software\MIRC/OUTLOOK/PIRCH.VanHouten\" = "True"

По информации вестника "Касперский сообщает..."
Подготовил Константин Петрович


Компьютерная газета. Статья была опубликована в номере 49 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2022 Компьютерная газета