Ответить Создать тему

Информация о черве Sobig.F , ...Как избавиться от вируса Sobig.F

LeKar
post Aug 21 2003, 08:19 
Отправлено #1


Tech. Support

Сообщений: 282
Из: Russian Federation



Информация о черве Sobig.F

Некоторые подробности о вирусе Sobig.F, эпидемия которого продолжается второй день, сообщает "Лаборатория Касперского". По мнению специалистов - это крупнейшая эпидемия почтового червя за последние полтора года.

Вирус Sobig.F распространяется по электронной почте и не использует уязвимости в браузере или почтовой программы для автоматического запуска вложенного в сообщение файла. Вложенный файл с кодом вируса может иметь одно из следующих имен: movie0045.pif, wicked_scr.scr, application.pif, document_9446.pif, details.pif, your_details.pif, thank_you.pif, document_all.pif, your_document.pif

Размер упакованного файла вируса - около 70 Кб, распакованного - около 100 Кб. Число тем сообщения также ограничено: Re: That movie, Re: Wicked screensaver, Re: Your application, Re: Approved, Re: Re: My details, Re: Details, Your details, Thank you!, Re: Thank you!

В теле письма присутствует строка "See the attached file for details" или "Please see the attached file for details." В случае, если пользователь запустит вложенный файл, вирус копирует себя в каталог Windows под именем winppr32.exe и регистрирует этот файл в системном реестре, обеспечивая запуск вредоносного кода после перезагрузки системы. Во всех папках на локальных дисках червь ищет файлы с расширениями *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP. В этих файлах производится поиск адресов электронной почты.

После этого червь Sobig.F, с помощью встроенного smtp-сервера, рассылает сообщения по обнаруженным адресам. Поле отправителя сообщения подделывается - в него может быть подставлен один из обнаруженных электронных адресов, либо адрес "admin@internet.com". Кроме того, вирус создает файл winstt32.dat в системной папке Windows, в который помещаются все обнаруженные адреса электронной почты. Помимо "работы" на локальных дисках, вирус сканирует все доступные папки в локальной сети и копирует в них себя со случайным именем и расширением .EXE.

Деструктивных функций у червя нет, но он посылает UDP-пакеты на определенные IP-адреса на порт 8998 и ждет команд из сети. По полученной таким образом ссылке, червь может скачать файл и запустить его на выполнение. Таким образом, теоретически возможна установка и запуск новой версии вируса или установка троянской программы. В вирусе запрограммировано прекращение работы до 10 сентября 2003 года.

Первая версия вируса Sobig была обнаружена 9 января 2003 года. Несмотря на то, что код вируса практически не менялся, появление каждой новой версии вызывало довольно большое число заражений. В версии червя Sobig.D, появившейся в июне, также было предусмотрено прекращение работы в определенный день. Вирус Sobig.C отличался от других модификаций тем, что зараженные файлы распространялись с адресом Билла Гейтса (bill@microsoft.com) в поле отправителя. Вирус Sobig.E рассылал зараженный файл в ZIP-архиве.


Как избавиться от вируса Sobig.F

20 августа 2003 года, 16:08; текст: Константин Гончаров

Компания Network Associates сообщает способ обнаружения и нейтрализации вируса Sobig.F. О наличии вируса в системе свидетельствуют следующие симптомы:
В системной папке Windows присутствует файл WINPPR32.EXE. Тот же файл упомянут в списке запущенных процессов системы (список можно увидеть, нажав клавиши Ctrl, Alt и Del).
В реестре Windows присутствуют следующие строки:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc

Чтобы избавиться от вируса, необходимо удалить с жесткого диска файлы вируса и стереть все записи вируса в реестре. Для этого в операционной системе Win9x/ME необходимо перезагрузиться в безопасный режим работы (Safe Mode) и удалить файлы WINPPR32.EXE и WINSTT32.DAT из системной папки Windows. В реестре необходимо удалить переменную TrayX из папок HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В операционной системе Windows NT/2000/XP перезагружаться в безопасный режим необязательно - достаточно в диспетчере задач удалить процесс WINPPR32.EXE.

[http://compulenta.ru/news/]

Сообщение отредактировал LeKar - Aug 21 2003, 08:23
Profile CardPM
  0/0  
alexey
post Aug 24 2003, 17:20 
Отправлено #2


-

Сообщений: 68 122
Из: Чебоксары
Telegram: @blog21



Эпидемия червя набирает обороты. Об этом свидетельствует, например, статистика Яндекса количество писем с червями на котором достигло 58%:

user posted image

--------------------
Да нормальный был год.
Это вы ещё просто 2024-й не видели!
Profile CardPM
  0/0  
Gena
post Aug 24 2003, 21:07 
Отправлено #3


Постоялец

Сообщений: 260
Из: Чебоксары



Компьютерный вирус Sobig.F может нанести новый удар после 23:00 24/08/03, когда службы мониторинга ослабят контроль за электронными сетями.

С таким предупреждением выступила компания "Софос", занимающаяся антивирусным обеспечением.

Sobig.F тиражирует себя со скоростью миллион копий в сутки. По оценке "Софос", темп распространения вируса по электронной почте в Интернете остается по-прежнему очень высоким.

Эксперты фирмы считают, что создатели "червя" преследуют конечную цель нажить огромный капитал на модернизации способов избавления от ненужных электронных посланий
Profile CardPM
  0/0  
alexey
post Aug 24 2003, 22:12 
Отправлено #4


-

Сообщений: 68 122
Из: Чебоксары
Telegram: @blog21



Есть вероятность того, что в понедельник в Интернете огромные начнутся затыки? ИМХО, завтра будет нелёгкий день.

--------------------
Да нормальный был год.
Это вы ещё просто 2024-й не видели!
Profile CardPM
  0/0  
alexey
post Aug 25 2003, 07:37 
Отправлено #5


-

Сообщений: 68 122
Из: Чебоксары
Telegram: @blog21



Готовился сегодня получить порцию в 100-150 вирусов, уже фильтры настроил, но не пришло ни одного вирусованного письма. Походу Валуехост наконец-то сумели фильтры настроить smile.gif

--------------------
Да нормальный был год.
Это вы ещё просто 2024-й не видели!
Profile CardPM
  0/0  
screemer
post Aug 25 2003, 08:25 
Отправлено #6


Постоялец

Сообщений: 329



Большое им за это спасибочки
Profile CardPM
  0/0  

ОтветитьTopic Options
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
Быстрый ответ
Кнопки кодов
 Расширенный режим
 Нормальный режим
    Закрыть все тэги


Открытых тэгов: 
Введите сообщение
Смайлики
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
         
Показать все

Опции сообщения