Finjan сообщает о появлении нового вируса-червя Win32.Crypto

Finjan сообщает о появлении нового вируса-червя Win32.Crypto

Компания Finjan (http://www.finjan.com) опубликовала предупреждение о новом вирусе-черве, получившем название Win32.Crypto. Как сообщается, Win32.Crypto относится к разряду троянских стелс-вирусов. Если файл с вирусом просто удалить с жесткого диска, то вирус не прекратит своей деятельности, и через некоторое время в результате его работы перестанет загружаться операционная система.

Вирус Win32.Crypto распространяется в виде двух файлов notepad.exe и pbrush.exe. Он заражает компьютеры с операционными системами Windows 95, Windows 98, Windows NT и бета-версией Windows 2000. Никаких внешних признаков заражения компьютеров не выявлено. Вирус Win32.Crypto инфицирует компьютер, присоединяя себя к файлу kernel32.dll, кроме того, вирус вносит изменения в файл win.ini и в системный регистр. В результате этих изменений вирус получает возможность перехватывать обращения к DLL-файлам.

Каждый раз при загрузке зараженного компьютера вирус Win32.Crypto заражает еще 20 случайно выбранных исполняемых файлов. Вирус распространяется, если ничего не подозревающий пользователь отправит один из зараженных исполняемых файлов кому-либо по электронной почте.

Кроме того, по сообщению Finjan, в вирусе Win32.Crypto имеются антиэвристические механизмы, из-за которых его трудно обнаружить антивирусными программами. Некоторые типы антивирусных программ вообще не могут справиться с такими вирусами, и для того чтобы компьютер вновь заработал, необходимо переформатировать жесткий диск.

Компания Finjan заявляет, что ее антивирусное ПО SurfinShield обнаруживает и предотвращает атаки вируса Win32.Crypto.

Computer Associates сообщает о вирусе Lucky2000

Компания Computer Associates International Inc. (CA) (http://www.cai.com) сообщила еще об одном вирусе, появление которого связано с наступлением 2000 г. Вирус получил название Lucky2000, он переписывает скрипты Visual Basic.

По сообщению CA, вирус Lucky2000 поражает компьютеры с ОС Windows 95, Windows 98 и Windows NT, если на них имеется редактор Visual Basic. Вирус заражает все файлы в текущем каталоге, независимо от их расширений. При заражении файла происходит замена всего его содержимого на тело вируса, однако название файла при этом не меняется. Изначально файл вируса называется LUCKY.VBS.

Показателем того, что компьютер заражен вирусом Lucky2000, является то, что меняется начальная страница Web-браузера и создается закладка C:\WIN-DOWS\Favorites\Lucky2000.URL. Новой начальной страницей становится страница этого вируса, которая, как утверждается, располагается на российском сервере по адресу http://www.chat.ru/~smf. Сообщений о появлении этого вируса в "диком виде" пока не было.

Вирус, распространяемый с пиратскими копиями Windows 98

По сообщению координационного центра Группы реагирования на компьютерные происшествия (CERT) из Университета Карнеги-Меллона накануне Нового года, появился еще один вирус. Это троянский вирус Trojan.Kill, который имеет и другое название - Inst98. Он удаляет все файлы с диска С:. Первоначально он был обнаружен в пиратских копиях операционной системы Microsoft Windows 98, но он может распространяться и по электронной почте, и через совместно используемые сетевые диски. Как сообщается, вирус содержится в файле INSTALAR.EXE размером 5682 байт. Содержимое этого файла копируется в файл раскладки клавиатуры KEYB.COM. Вирус Trojan.Kill должен был активизироваться при наступлении 1 января 2000 г. и стереть все файлы с диска С:.

14 новых вирусов - новогодний урожай Trend Micro

Компания Trend Micro, специализирующаяся на средствах защиты информационных систем, сообщила о том, что в предновогодний период и в первые новогодние дни, а именно, с 15 декабря по 3 января, ею было зафиксировано 14 новых вирусов и "червей". Такой урожай вирусов явно превышает обычный среднестатистический уровень, что можно связать только со столь знаменательным событием, как наступление 2000 года.

Четыре из этих 14 вирусов имеют связанные с началом 2000 года даты активизации или выводят на зараженный ими компьютер пользователя соответствующие "новогодние" сообщения. 6 вирусов были обнаружены на сайтах Северной Америки.

Советы пользователям от Trend Micro не содержат ничего необычного: обновить антивирусное ПО и принимать дополнительные меры предосторожности при открытии файлов, присланных по электронной почте. По сообщению Trend, в течение последней недели в ее мировой центр слежения за вирусами (http://wtc. trendmicro.com/wtc) пришли сообщения о заражении более 4000 компьютерных систем по всему миру.

Более подробную информацию о вирусах, обнаруженных Trend Micro в новогодний период, можно получить на специальном сайте компании по адресу http://www.y2kvirus.com.

Computer Associates предупреждает о троянском вирусе Feliz.Trojan

Компания Computer Associates (http://www.cai.com) опубликовала предупреждение о португальском "новогоднем" троянском вирусе, получившем название Feliz.Trojan. Этот троянец удаляет с жесткого диска компьютера файлы system.dat, user.dat, command.com, system.ini, win.ini, system.cb и win.com. После удаления этих файлов на экран выводится изображение уродливой физиономии и надпись "FELIZ ANO NOVO!!!" ("С новым годом" по-португальски). После этого компьютер перестает загружаться.

По сообщению Computer Associates, этот троянский вирус не сможет принести никакого вреда, если ОС Windows установлена не в каталоге C:\windows, а в какой-нибудь другой директории.

Кроме того, Computer Associates подготовила противоядие от этого троянца, которое можно бесплатно загрузить с Web-сайта по адресу http://antivirus.cai.com.

Компания Sophos обнаружила за сутки три новых вируса

Специалисты антивирусной компании Sophos (http://www.sophos. com) за последние сутки обнаружили три новых вируса.

Первый из них называется Esmeralda. Этот вирус заражает все исполняемые файлы на ПК с ОС Windows 95/98, активизируемые в то время, когда вирус находится в памяти компьютера. На компьютеры с ОС Windows NT он не действует. Как сообщается, родиной вируса является Колумбия.

Второй вирус получил название Surround. Он относится к классу макровирусов MS-Word. В любой день после 29 декабря 1999 г. вирус Surround может попытаться удалить на компьютере файл WIN.COM, но, на самом деле, ему это сделать не удастся из-за ошибки в коде самого вируса. Похоже, автор этого вируса как следует не проверил работу своего творения. После того как вирусу не удается удалить указанный файл, на экране появляется надпись "You are now Surrounded!!". Вирус также создает временный файл C:\SURROUND.KEY, но, по сообщению Sophos, он опасности не представляет.

Третий вирус называется Space или PE_Spaces.1633, он заражает исполняемые файлы на компьютерах с 32-разрядной версией Windows. Начнет он действовать 1 июня. В этот день он перепишет головную загрузочную запись на жестком диске и попортит таблицу разделов. То есть жесткий диск перестанет загружаться до тех пор, пока не будет восстановлена головная загрузочная запись.

Computer Associates сообщает о вирусе-черве Wscript/Kak

Компания Computer Associates International (CA), специализирующаяся на средствах антивирусной защиты, опубликовала предупреждение о новом вирусе-черве, получившем название Wscript/Kak. Как сообщается, этот вирус заражает компьютеры с ОС Windows 98. Кроме того, особо следует отметить, что вирус уже обнаружен в "диком" виде. Однако для заражения этим вирусом и дальнейшего его распространения необходимы довольно специфичные условия. Вирус Wscript/Kak распространяется по электронной почте и заражает только системы с Windows 98, на которых установлена почтовая программа Outlook Express 5.0. Причем для заражения пользователю не нужно даже открывать никаких присоединенных файлов. В этом механизм работы Wscript/Kak сходен с вирусом-червем I-Worm.BubbleBoy.

Если на компьютер пользователя попадает зараженное вирусом Wscript/Kak письмо, то находящаяся в нем программа начинает исполняться, если в браузере Internet Explorer 5 установлен низкий или средний уровень защиты. Вирус Wscript/Kak записывает свой код в каталог Windows в виде файла "Kak.HTA". Кроме того, часть кода вируса записывается в виде файла "Kak.HTM" и создается его копия в каталоге Windows\System, а в системном регистре появляется запись:

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\cAgOu".

В результате таких манипуляций вирус запускается на исполнение при каждой загрузке Windows.

Затем вирус ищет установки пользователя ("Identities") в Outlook Express 5.0 и изменяет в них подпись пользователя, в качестве подписи по умолчанию теперь используется файл "C:\Windows\ Kak.HTM". Таким образом, вирус Wscript.Kak присоединяет себя ко всем письмам, отправляемым пользователем.

Кроме того, вирус проверяет системную дату и время и, если сумма числа и часа оказывается больше 17, то на экран выводится надпись "Kagou-Anti-Kro$oft says not today!", после чего вирус пытается закрыть Windows.

Computer Associates уже выпустила обновление для своего антивирусного ПО, которое позволяет удалить вирус Wscript.Kak, его можно загрузить по адресу http://antivirus.cai.com.
Подготовил Константин Петрович


Компьютерная газета. Статья была опубликована в номере 03 за 2000 год в рубрике безопасность :: Вирусный бюллетень

©1997-2024 Компьютерная газета