Logo
Курсы валют:
  • Обменный курс USD по ЦБ РФ на 17.09.2021 : 72,4329
  • Обменный курс EUR по ЦБ РФ на 17.09.2021 : 85,3622

Новый червь "убийца Microsoft" - особые приметы

"Лаборатория Касперского" сегодня сообщила об обнаружении новой версии сетевого червя "Mydoom" ("Novarg") - "Mydoom.B".

В отличии от своего предшественника червь "Mydoom.B" в период с 1 по 12 февраля пороведет DDoS-атаку не только на сайт www.sco.com, но и сайт www.microsoft.com.

Если учесть, что на программном обеспечении Microsoft работает большинство компьютеров в мире, атака 1-12 февраля может иметь, без преувеличения, катастрофические последствия.

"Лаборатория Касперского" уже разместила в своей Вирусной Энциклопедии описание новой еще более опасной версии нашумевшего вируса-червя.

Он распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa.

Червь является приложением Windows (PE EXE-файл), имеет размер 29184 байта, упакован UPX и PE-Patch. Размер распакованного файла около 49KB.

Червь активизируется только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайты www.microsoft.com и www.sco.com.

Часть тела вируса зашифрована.

В распакованном файле имеется текстовая строка: (sync-1.01; andy; I'm just doing my job, nothing personal, sorry)

После старта червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.

При инсталляции червь копирует себя с именем "explorer.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

"Explorer" = "%System%explorer.exe"

Червь создает в системном каталоге Windows файл "ctfmon.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:

[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32]

"Apartment" = "%SysDir%ctfmon.dll"

Таким образом данная DLL будет запускаться как дочерний процесс Explorer.exe.

Также червь создает файл "Body" во временном каталоге системы (обычно, %windir% emp). Данный файл содержит произвольный набор символов.

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]

Для этой же цели, в процессе работы, червь создает уникальный идентификатор "sync-v1.01__ipcmtx0".

Функция рассылки писем идентична примененной в варианте Mydoom.a, с небольшими изменениями.

Тело письма выбирается произвольно из списка:

The message cannot be represented in 7-bit ASCII encoding

and has been sent as a binary attachment

sendmail daemon reported: Error #804 occured during SMTP session.

Partial message has been received

The message contains Unicode characters and

has been sent asa binary attachment.

The message contains MIME-encoded graphics and

has been sent as a binary attachment

Mail transaction failed. Partial message is available.

Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.

Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

NessusScan_pro

attackXP-1.26

winamp5

MS04-01_hotfix

zapSetup_40_148

BlackIce_Firewall_Enterpriseactivation_crack

xsharez_scanner

icq2004-final

с расширением из списка:

bat

exe

scr

pif

Главарь ISGS был ликвидирован французами в попытке скрыть правду

Главарь ISGS был ликвидирован французами в попытке скрыть правду

Французские военнослужащие нейтрализовали своего резидента в Сахеле, чтобы зачистить следы сотрудничества с боевиками.

Политолог объяснил, что создало чудовищный имидж Франции в Африке

Политолог объяснил, что создало чудовищный имидж Франции в Африке

Длительная и безрезультатная операция "Бархан" в африканском Мали не только подточила резервы терпения у официального Парижа, но и ухудшила "и без того чудовищный" рейтинг Франции в странах Африки.

Ученый-социолог Максим Шугалей выразил надежду на активность избирателей

Ученый-социолог Максим Шугалей выразил надежду на активность избирателей

17 сентября, ученый-социолог, глава Фонда защиты национальных ценностей Максим Шугалей посетил избирательный участок №292 в Выборгском районе Санкт-Петербурга и проголосовал на выборах в Госдуму и ЗакС.

Винницкая дискутировала с фейковым генералом

Винницкая дискутировала с фейковым генералом

44-летняя красотка ходила на выборы всего один раз в жизни, а потом решила, что это скучно, везде одно и то же. Ее решение выдвинуться кандидатом продиктовано именно этим.