Курсы валют:
  • Обменный курс USD по ЦБ РФ на 20.10.2018 : 65,814
  • Обменный курс EUR по ЦБ РФ на 20.10.2018 : 75,3241

Новый червь "убийца Microsoft" - особые приметы

"Лаборатория Касперского" сегодня сообщила об обнаружении новой версии сетевого червя "Mydoom" ("Novarg") - "Mydoom.B".

В отличии от своего предшественника червь "Mydoom.B" в период с 1 по 12 февраля пороведет DDoS-атаку не только на сайт www.sco.com, но и сайт www.microsoft.com.

Если учесть, что на программном обеспечении Microsoft работает большинство компьютеров в мире, атака 1-12 февраля может иметь, без преувеличения, катастрофические последствия.

"Лаборатория Касперского" уже разместила в своей Вирусной Энциклопедии описание новой еще более опасной версии нашумевшего вируса-червя.

Он распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa.

Червь является приложением Windows (PE EXE-файл), имеет размер 29184 байта, упакован UPX и PE-Patch. Размер распакованного файла около 49KB.

Червь активизируется только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайты www.microsoft.com и www.sco.com.

Часть тела вируса зашифрована.

В распакованном файле имеется текстовая строка: (sync-1.01; andy; I'm just doing my job, nothing personal, sorry)

После старта червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.

При инсталляции червь копирует себя с именем "explorer.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

"Explorer" = "%System%explorer.exe"

Червь создает в системном каталоге Windows файл "ctfmon.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:

[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32]

"Apartment" = "%SysDir%ctfmon.dll"

Таким образом данная DLL будет запускаться как дочерний процесс Explorer.exe.

Также червь создает файл "Body" во временном каталоге системы (обычно, %windir% emp). Данный файл содержит произвольный набор символов.

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]

Для этой же цели, в процессе работы, червь создает уникальный идентификатор "sync-v1.01__ipcmtx0".

Функция рассылки писем идентична примененной в варианте Mydoom.a, с небольшими изменениями.

Тело письма выбирается произвольно из списка:

The message cannot be represented in 7-bit ASCII encoding

and has been sent as a binary attachment

sendmail daemon reported: Error #804 occured during SMTP session.

Partial message has been received

The message contains Unicode characters and

has been sent asa binary attachment.

The message contains MIME-encoded graphics and

has been sent as a binary attachment

Mail transaction failed. Partial message is available.

Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.

Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

NessusScan_pro

attackXP-1.26

winamp5

MS04-01_hotfix

zapSetup_40_148

BlackIce_Firewall_Enterpriseactivation_crack

xsharez_scanner

icq2004-final

с расширением из списка:

bat

exe

scr

pif

Image

В Шотландии колли приняли в свою семью овцу

В Шотландии собаки породы колли приняли в свою семью овцу. Овечка, выросшая среди собак, переняла повадки своих воспитателей.

Image

Сайке стало жарко в Баренцевом море

Сайка, которая водится в холодных водах, из-за потепления в Арктике ушла из Баренцева моря к кромке полярных льдов, пишет «Поплавок».

Image

Майк Помпео: США стремятся к улучшению отношений с Россией

Руководитель американского госдепартамента Майк Помпео заявил о стремлении США улучшить отношения с Россией.

Image

Госдеп: прямых санкций в отношении "Аэрофлота" не будет

Власти США не собираются вводить прямые санкции против российской авиакомпании "Аэрофлот", заявили в Госдепе.

Image

"Я не могу быть с человеком, который меня обманывает":Бузова наконец рассказала о своем расставании с Лебедевым

Ольга Бузова написала в своем instagram о расторжении отношений с участником проекта "Замуж за Бузову".

Image

Акция "Голова и шея" просветит жителей Ямала

Впервые в окружных больницах Ямала организуется акция по раннему выявлению у населения рака головы и шеи. А также с целью профилактики и повышения онконастороженности, сообщает интернет-ресурс «Здоровый дух».

Image

Сколько раз в неделю нужно принимать душ

Некоторые чистюли тщательно моют себя каждый день, принимая душ и утром, и вечером. Они уверены, что тщательно следят за гигиеной тела, однако врачи-дерматологи имеют противоположное мнение, сообщает портал «Здоровый дух».

Image

Ученые пока не рассекретили информацию о каспийском монстре

Казахские ученые, которые взялись разгадать природу пойманного месяц назад на Каспии необычного животного до сих пор держат свои исследования в секрете, пишет «Поплавок».