Червь "Bizex" атакует пользователей ICQ
Зарегистрирована первая глобальная эпидемия ICQ-червя

"Лаборатория Касперского" предупреждает об обнаружении нового
сетевого червя "Bizex", который вызвал первую глобальную эпидемию среди
пользователей интернет-пейджера ICQ. На данный момент сообщения о
случаях заражения червем поступают практически из всех стран мира. По
предварительным оценкам количество зараженных компьютеров составляет
около 50 тысяч.

Заражение компьютера происходит при посещении хакерского веб-сайта,
приглашение на который доставляется по каналам ICQ.

Для маскировки при просмотре веб-сайта пользователю показывается
содержание интернет-представительства "Joe Cartoon" - автора популярных
американских мультсериалов. В это время вредоносная программа атакует
компьютер сразу по двум направлениям. Во-первых, используя брешь в
браузере Internet Explorer
(http://www.microsoft..../MS02-047.asp).
Во-вторых, через брешь в операционной системе Windows
(http://www.microsoft..../ms03-011.asp).
В результате на компьютер незаметно для пользователя загружается
специальный файл, который "дотаскивает" с удаленного веб-узла
непосредственно файл-носитель "Bizex" (APTGETUPD.EXE) и запускает его на
выполнение.

После этого "Bizex" начинает процедуру заражения компьютера. Для
этого он создает папку SYSMON в системном каталоге Windows, копирует
себя в нее под именем SYSMON.EXE и регистрирует этот файл в ключе
автозапуска системного реестра. Таким образом, червь обеспечивает свою
загрузку в память компьютера при каждом старте операционной системы.

По завершении этого процесса "Bizex" начинает процедуру дальнейшего
распространения по ICQ. Червь извлекает из себя несколько системных
библиотек для работы с этим интернет-пейджером и устанавливает их в
системный каталог Windows. С их помощью "Bizex" получает доступ к списку
контактов ICQ, отключает запущенный ICQ-клиент, осуществляет
самостоятельное подключение к серверу от имени владельца зараженной
машины и от его имени рассылает по всем найденным контактам ссылку на
указанный выше веб-сайт. Важно отметить, что червь атакует только
оригинальные ICQ клиенты (за исключением Web ICQ), в то время как
альтернативные пейджеры (Miranda, Trillian) обладают иммунитетом.

"Bizex" содержит ряд исключительно опасных побочных эффектов,
которые могут привести к утечке важных конфиденциальных данных. В
частности, червь сканирует зараженный компьютер, собирает сведения об
установленных платежных системах и незаметно отсылает их на удаленный
анонимный сервер. В число уязвимых систем попали: Wells Fargo American
Express UK Barclaycard Credit Lyonnais Bred.fr Lloyds E-gold

Помимо этого "Bizex" перехватывает информацию, передаваемую с
компьютера по протоколу HTTPS (защищенный протокол передачи данных,
который, в частности, используется для важных финансовых транзакций), а
также коды доступа к различным почтовым системам (например, Yahoo Mail).
Эти сведения также пересылаются на удаленный анонимный сервер.

Ещё один аргумент, чтобы перейти с Аськи на Миранду или Трилл...

PRYANIK/
для меня не аргумент...

"Netsky. D": новый охотник на "Mydoom" бороздит пространство интернета
"Лаборатория Касперского" предупреждает об обнаружении
новой вирусной эпидемии, вызванной четвертой модификацией
сетевого червя "Netsky" - "Netsky.D" (также известен как
"Moodown.D"). На данный момент уже получено несколько
десятков сообщений о случаях заражения компьютеров.
"Netsky.D" распространяется через письма электронной
почты. Зараженные сообщения могут иметь самый разный внешний
вид: червь случайным образом выбирает заголовок из 25 вариантов, текст
письма (6 вариантов), имя вложенного файла (21 вариант).

Вложенный файл имеет фиктивное расширение .PIF, в
действительности представляя собой обычную EXE-программу (размер около 17Кб).
Если пользователь имел неосторожность запустить этот файл, то червь
устанавливает себя в систему и запускает процедуры
распространения.

При установке "Netsky.D" копирует себя с именем
WINLOGON.EXE в каталог Windows и регистрирует этот файл в ключе
авто-запуска системного реестра. Таким образом он обеспечивает
свою активизацию при каждой загрузке операционной системы.

Для дальнейшей рассылки червь сканирует файлы наиболее распространенных
интернет-приложений (например, WAB, EML, DOC,
HTML, MSG и др.), считывает из них адреса электронной почты и незаметно
для владельца компьютера отсылает на них свои копии. Важно
отметить, что рассылка писем осуществляется в обход установленного на
компьютере почтового клиента, но с использованием встроенной
SMTP-подпрограммы. С ее помощью "Netsky.D" распространяется через 23
прокси-сервера, расположенных в разных концах мира.

Червь имеет ряд побочных действий. В частности, он удаляет
из системного реестра ключи другого сетевого червя -
"Mydoom", а также пытается нарушить работу Антивируса
Касперского.

Обнаружены семь новых вариантов червя Bagle
Специалисты компании McAfee предупреждают пользователей Всемирной сети о появлении сразу семи модификаций вредоносной программы Bagle.
Впервые о черве Bagle, напомним, стало известно 19 января нынешнего года, а примерно четыре недели спустя в интернет была выпущена вторая версия вируса. Вредоносная программа распространяется по электронной почте в виде вложений. Тема и название вложения при этом выбираются произвольным образом. После неосторожного запуска присланного файла вирус копирует себя в системный каталог Windows и регистрируется в реестре, обеспечивая себе, тем самым, автоматический запуск при каждой загрузке операционной системы. Далее червь рассылает свои копии по найденным на инфицированной машине адресам с применением встроенного SMTP-сервера, а также открывает злоумышленникам удаленный доступ в систему через один из портов.
Новые модификации вируса Bagle.C, D, E, F, G и H функционально очень похожи на предшественников. Однако, версии Bagle.F, Bagle.G и Bagle.H способны обмануть многие антивирусные пакеты за счет использования оригинальной схемы формирования зараженного сообщения. В частности, вредоносный код помещается в zip-файл, защищенный паролем. Антивирусные программы не способны распаковать такой архив и, как правило, пропускают сообщение. Вместе с тем, сам пароль включен в тело письма, так что пользователь может без особых проблем просмотреть содержимое архива. В коде всех обнаруженных модификаций прописана функция самоуничтожения, которая должна активироваться 25 марта 2004 года.
Кроме того, специалисты McAfee зафиксировали появление червя Bagle.I, однако его возможности на момент написания заметки были еще не изучены.

В интернете разгорается война вирусописателей
Авторы Bagle, Mydoom и Netsky обмениваются любезностями

Новый вирус маскируется под обновление от Microsoft
Сразу несколько антивирусных компаний сообщили о появлении во Всемирной сети новых модификаций вредоносных программ Sober и Netsky. Данные черви, напомним, распространяются по электронной почте в виде вложений и представляют угрозу исключительно для пользователей операционных систем Microsoft Windows.
Как сообщают сотрудники фирмы Symantec, новый вариант вируса Sober, получивший индекс "D", маскируется под обновление от Microsoft. Заголовок и имя вложения выбираются произвольным образом, в тексте послания говорится, что присланный файл якобы устраняет опасную дыру в Windows, через которую на ПК может проникнуть вирус MyDoom. После неосторожного запуска файла пользователем компьютера Sober.D проверяет наличие на машине своих ранних модификаций. В случае, если ПК еще не заражен, червь копирует себя в системный каталог и регистрируется в ключе автозапуска реестра ОС. Далее на экран выводится надпись: The patch has been successfully installed ("Заплатка успешно установлена"). Если компьютер уже инфицирован, вирус сообщает, что установка патча не требуется. По классификации Symantec, вредоносная программа имеет средний уровень опасности.
Кроме того, в Symantec зафиксировали начало распространения одиннадцатой модификации червя Netsky. Вариант Netsky.K практически ничем не отличается от своих предшественников и, как и прежде, пытается удалить с компьютера вирус MyDoom. Вредоносная программа Netsky.K получила рейтинг низкой опасности. Кстати, следует заметить, что авторы Sober, Netsky и MyDoom, объявили друг другу самую настоящую войну, то и дело обмениваясь угрожающими высказываниями и выпуская в Сеть все новые и новые версии вирусов.

Обнаружены две модификации червя Bagle
Специалисты сразу нескольких антивирусных компаний сообщили об обнаружении новых модификаций вредоносной программы Bagle. Червь Bagle, напомним, досаждает пользователям Всемирной сети уже два месяца, распространяясь по электронной почте в виде вложенных в письмо файлов. При этом тема, текст послания и имя вложения меняются произвольным образом. После проникновения на компьютер червь регистрируется в системном реестре, обеспечивая, тем самым, свой автоматический запуск при загрузке Windows, и начинает рассылку копий по найденным на машине адресам электронной почты с применением встроенного SMTP-сервера.
Кроме того, в начале марта создатели Bagle выпустили в интернет несколько новых модификаций вируса, применяющих весьма оригинальную схему формирования зараженного сообщения. В частности, вредоносный код помещался в zip-файл, защищенный паролем (сам пароль указывался в тексте письма). Такая тактика вводила в заблуждение как многих пользователей, так и некоторые антивирусные пакеты, не способные вскрыть зашифрованный архив.
А в минувшие выходные было зафиксировано появление версий червя Bagle.n и Bagle.o, использующих еще более хитрые способы проникновения в систему. В частности, наряду с форматом zip, вредоносная программа теперь способна работать и с rar-архивами. Более того, пароль к зашифрованному файлу передается не в виде текста, а в виде графического изображения, что, естественно, усложняет идентификацию вируса. Наконец, Bagle.n и Bagle.o научились внедрять свой код в тело исполняемых файлов, найденных на инфицированной машине. Впрочем, ведущие антивирусные фирмы уже включили защиту от Bagle.n и Bagle.o в свои базы данных.

Новый червь использует дыру в брандмауэре BlackICE
Сотрудники компании F-Secure предупреждают о появлении новой вредоносной программы Witty. Данный червь был обнаружен в субботу, 20 марта, и на сегодняшний день известно уже, как минимум, о пятидесяти тысячах случаев заражения.
Вирус Witty распространяется исключительно через прямые интернет-соединения и представляет угрозу лишь для тех пользователей, на чьих компьютерах установлен персональный брандмауэр BlackICE производства компании Internet Security Systems. Используя ошибку в данном пакете, вредоносная программа обходит защиту, проникает на уязвимую машину и активирует процедуры дальнейшего распространения. Для этого червь отправляет копии своего кода по 20000 произвольных IP-адресов. Далее Witty пытается открыть один из доступных носителей и произвести с ним ряд операций. В частности, имеется информация, что вредоносная программа заполняет свободное пространство диска произвольными данными, однако до конца функциональные особенности червя пока не изучены.
По словам представителей F-Secure, код вируса занимает всего 909 байт. Это говорит о том, что написан червь на ассемблере. Кстати, в теле вредоносной программы имеется строчка: "(^.^) insert witty message here (^.^)". Атаке подвержены компьютеры с установленными пакетами BlackICE Server Protection версий 3.6 и ниже, BlackICE PC Protection версий 3.6 и ниже, BlackICE Agent for Server версий 3.6 и ниже. Загрузить обновления, ликвидирующие дыры в брандмауэре, можно с сайта (http://www.iss.net/download/) компании Internet Security Systems.

Обнаружен новый почтовый червь Snapper

Антивирусная компания "Лаборатория Касперского" предупреждает о появлении новой вредоносной программы I-Worm.Snapper, распространяющейся через интернет в виде ссылки на инфицированный веб-сайт. Вирус представляет среднюю опасность и способен заражать только компьютеры, работающие под управлением операционной системы Windows.
При неосторожном нажатии на присланную ссылку в систему проникает троян, извлекающий из себя и устанавливающий основной компонент червя - файл IELOAD.DLL размером 8704 байта. Данный файл записывается в системный каталог Windows и затем запускается как системная библиотека. Далее вредоносная программа рассылает письма со ссылкой на хакерский сайт по всем найденным в книге контактов Outlook адресам электронной почты. Для отправки сообщений применяется указанный в системе SMTP-сервер. При этом все зараженные послания содержат код:



Важно заметить, что вирус в процессе распространения использует дыру в браузере Internet Explorer. Данная уязвимость, описанная в бюллетене безопасности MS03-040, связана с неправильным определением типа объекта, внедренного в веб-страницу с помощью тэга object. Таким образом, для защиты от червя Snapper достаточно просто загрузить с сайта Microsoft и установить соответствующую заплатку для браузера. "Лаборатория Касперского" также уже обновила собственные антивирусные базы данных.