Tech. Support
Сообщений: 282
Из: Russian Federation
|
Информация о черве Sobig.F
Некоторые подробности о вирусе Sobig.F, эпидемия которого продолжается второй день, сообщает "Лаборатория Касперского". По мнению специалистов - это крупнейшая эпидемия почтового червя за последние полтора года.
Вирус Sobig.F распространяется по электронной почте и не использует уязвимости в браузере или почтовой программы для автоматического запуска вложенного в сообщение файла. Вложенный файл с кодом вируса может иметь одно из следующих имен: movie0045.pif, wicked_scr.scr, application.pif, document_9446.pif, details.pif, your_details.pif, thank_you.pif, document_all.pif, your_document.pif
Размер упакованного файла вируса - около 70 Кб, распакованного - около 100 Кб. Число тем сообщения также ограничено: Re: That movie, Re: Wicked screensaver, Re: Your application, Re: Approved, Re: Re: My details, Re: Details, Your details, Thank you!, Re: Thank you!
В теле письма присутствует строка "See the attached file for details" или "Please see the attached file for details." В случае, если пользователь запустит вложенный файл, вирус копирует себя в каталог Windows под именем winppr32.exe и регистрирует этот файл в системном реестре, обеспечивая запуск вредоносного кода после перезагрузки системы. Во всех папках на локальных дисках червь ищет файлы с расширениями *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP. В этих файлах производится поиск адресов электронной почты.
После этого червь Sobig.F, с помощью встроенного smtp-сервера, рассылает сообщения по обнаруженным адресам. Поле отправителя сообщения подделывается - в него может быть подставлен один из обнаруженных электронных адресов, либо адрес "admin@internet.com". Кроме того, вирус создает файл winstt32.dat в системной папке Windows, в который помещаются все обнаруженные адреса электронной почты. Помимо "работы" на локальных дисках, вирус сканирует все доступные папки в локальной сети и копирует в них себя со случайным именем и расширением .EXE.
Деструктивных функций у червя нет, но он посылает UDP-пакеты на определенные IP-адреса на порт 8998 и ждет команд из сети. По полученной таким образом ссылке, червь может скачать файл и запустить его на выполнение. Таким образом, теоретически возможна установка и запуск новой версии вируса или установка троянской программы. В вирусе запрограммировано прекращение работы до 10 сентября 2003 года.
Первая версия вируса Sobig была обнаружена 9 января 2003 года. Несмотря на то, что код вируса практически не менялся, появление каждой новой версии вызывало довольно большое число заражений. В версии червя Sobig.D, появившейся в июне, также было предусмотрено прекращение работы в определенный день. Вирус Sobig.C отличался от других модификаций тем, что зараженные файлы распространялись с адресом Билла Гейтса (bill@microsoft.com) в поле отправителя. Вирус Sobig.E рассылал зараженный файл в ZIP-архиве.
Как избавиться от вируса Sobig.F
20 августа 2003 года, 16:08; текст: Константин Гончаров
Компания Network Associates сообщает способ обнаружения и нейтрализации вируса Sobig.F. О наличии вируса в системе свидетельствуют следующие симптомы: В системной папке Windows присутствует файл WINPPR32.EXE. Тот же файл упомянут в списке запущенных процессов системы (список можно увидеть, нажав клавиши Ctrl, Alt и Del). В реестре Windows присутствуют следующие строки: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc
Чтобы избавиться от вируса, необходимо удалить с жесткого диска файлы вируса и стереть все записи вируса в реестре. Для этого в операционной системе Win9x/ME необходимо перезагрузиться в безопасный режим работы (Safe Mode) и удалить файлы WINPPR32.EXE и WINSTT32.DAT из системной папки Windows. В реестре необходимо удалить переменную TrayX из папок HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В операционной системе Windows NT/2000/XP перезагружаться в безопасный режим необязательно - достаточно в диспетчере задач удалить процесс WINPPR32.EXE.
[http://compulenta.ru/news/]
Сообщение отредактировал LeKar - Aug 21 2003, 08:23
|