Червь "Bizex" атакует пользователей ICQ
Зарегистрирована первая глобальная эпидемия ICQ-червя

"Лаборатория Касперского" предупреждает об обнаружении нового
сетевого червя "Bizex", который вызвал первую глобальную эпидемию среди
пользователей интернет-пейджера ICQ. На данный момент сообщения о
случаях заражения червем поступают практически из всех стран мира. По
предварительным оценкам количество зараженных компьютеров составляет
около 50 тысяч.

Заражение компьютера происходит при посещении хакерского веб-сайта,
приглашение на который доставляется по каналам ICQ.

Для маскировки при просмотре веб-сайта пользователю показывается
содержание интернет-представительства "Joe Cartoon" - автора популярных
американских мультсериалов. В это время вредоносная программа атакует
компьютер сразу по двум направлениям. Во-первых, используя брешь в
браузере Internet Explorer
(http://www.microsoft..../MS02-047.asp).
Во-вторых, через брешь в операционной системе Windows
(http://www.microsoft..../ms03-011.asp).
В результате на компьютер незаметно для пользователя загружается
специальный файл, который "дотаскивает" с удаленного веб-узла
непосредственно файл-носитель "Bizex" (APTGETUPD.EXE) и запускает его на
выполнение.

После этого "Bizex" начинает процедуру заражения компьютера. Для
этого он создает папку SYSMON в системном каталоге Windows, копирует
себя в нее под именем SYSMON.EXE и регистрирует этот файл в ключе
автозапуска системного реестра. Таким образом, червь обеспечивает свою
загрузку в память компьютера при каждом старте операционной системы.

По завершении этого процесса "Bizex" начинает процедуру дальнейшего
распространения по ICQ. Червь извлекает из себя несколько системных
библиотек для работы с этим интернет-пейджером и устанавливает их в
системный каталог Windows. С их помощью "Bizex" получает доступ к списку
контактов ICQ, отключает запущенный ICQ-клиент, осуществляет
самостоятельное подключение к серверу от имени владельца зараженной
машины и от его имени рассылает по всем найденным контактам ссылку на
указанный выше веб-сайт. Важно отметить, что червь атакует только
оригинальные ICQ клиенты (за исключением Web ICQ), в то время как
альтернативные пейджеры (Miranda, Trillian) обладают иммунитетом.

"Bizex" содержит ряд исключительно опасных побочных эффектов,
которые могут привести к утечке важных конфиденциальных данных. В
частности, червь сканирует зараженный компьютер, собирает сведения об
установленных платежных системах и незаметно отсылает их на удаленный
анонимный сервер. В число уязвимых систем попали: Wells Fargo American
Express UK Barclaycard Credit Lyonnais Bred.fr Lloyds E-gold

Помимо этого "Bizex" перехватывает информацию, передаваемую с
компьютера по протоколу HTTPS (защищенный протокол передачи данных,
который, в частности, используется для важных финансовых транзакций), а
также коды доступа к различным почтовым системам (например, Yahoo Mail).
Эти сведения также пересылаются на удаленный анонимный сервер.

Новый вариант Bagle предлагает сыграть в "Червы"

Компания Panda Software предупреждает о появлении еще одной версии вредоносной программы Bagle, о которой впервые стало известно около двух с половиной месяцев назад. Следует заметить, что за это время авторы вируса выпустили уже около двух десятков вариантов червя, некоторые из которых для проникновения на компьютер используют весьма оригинальные схемы маскировки. Например, начиная с шестой версии, червь научился прятать собственный код внутри защищенных паролем ZIP-архивов, а модификации с индексами "N" и выше получили поддержку формата RAR (пароль к архиву при этом указывается в графическом виде).
Что касается, нового варианта вируса, Baglе.U, то он также имеет ряд отличительных особенностей. Во-первых, у писем, содержащих вредоносный файл, не заполнено поле "Тема", и полностью отсутствует какое-либо содержимое. Во-вторых, после неосторожного запуска вложения, которое всегда имеет расширение .ехе, Baglе.U автоматически загружает одну из игр, входящих в комплект стандартной поставки операционных систем Windows - "Червы". И в-третьих, вирус самоуничтожается в том случае, если системная дата установлена на 1 января 2005 года или более позднюю дату.
После проникновения на ПК червь открывает порт 4751 и пытается сообщить об этом своему автору, соединяясь с одним из интернет-сайтов. Далее Baglе.U начинает отправку собственных копий по найденным на компьютере адресам электронной почты (применяется встроенный SMTP-сервер). Размер зараженного файла составляет 8208 байт (в распакованном виде около 50 кб).

Хит-парад мартовских вирусов

1 апреля "Лаборатория Касперского" по традиции выпустила рейтинг самых распространенных вирусов прошлого месяца. По данным компании, март оказался еще более "вирусоактивным" месяцем, чем февраль. В течение первого весеннего месяца сразу 11 новых вирусов стремительно ворвались в хит-парад. основная роль среди новых вирусов принадлежит червям семейства Bagle, в том числе тем, которые распространяются в виде запароленных архивов с паролем в теле письма или на приложенной картинке.

Впрочем, по распространенности черви Bagle пока не могут конкурировать с признаными лидерами: червями семейств MyDoom и NetSky. И хотя бурные эпидемии этих вирусов уже прошли, инциденты с их участием происходят весьма и весьма часто. Лидером марта стал червь NetSky.b с долей 52,78%, на втором месте с 12,45% заражений находится MyDoom.a, а третью строку рейтинга занимает новая модификация NetSky с индексом d, ответственная за 8,98% заражений. Далее идут вирусы Mydoom.e, NetSky.q и старожил рейтинга I-Worm.Swen. На седьмом месте находятся пять модификаций Bagle, распространяющихся в запароленных архивах и объединенных под индексом PSW-Worm. Помимо Swen в рейтинг попали такие "заслуженные" вирусы как Klez.h и несколько модификаций червя Mimail.

Целиком вирусная двадцатка марта выглядит так:

I-Worm.NetSky.b 52,78%
I-Worm.Mydoom.a 12,45%
I-Worm.NetSky.d 8,98%
I-Worm.Mydoom.e 5,45%
I-Worm.NetSky.q 2,90%
I-Worm.Swen 2,37%
PSW-Worm 2,31%
I-Worm.Mydoom.g 2,30%
I-Worm.NetSky.c 1,65%
I-Worm.Bagle.i 0,75%
I-Worm.Bagle.s 0,47%
I-Worm.Bagle.j 0,45%
I-Worm.Klez.h 0,40%
I-Worm.Bagle.e 0,35%
I-Worm.Bagle.g 0,35%
I-Worm.Mimail.q 0,33%
I-Worm.Lentin.v 0,32%
I-Worm.Mimail.a 0,31%
I-Worm.Mimail.c 0,27%
I-Worm.Bagle.c 0,25%

I-Worm.NetSky.b - что он вытворяет? Касперский определил, но вылечить не смог! Пришлось удалить и вроде всё нормально!

to Volk:
NetSky.b он же: I-Worm.Moodown.b
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Червь представляет собой PE EXE-файл, размером около 21KB. Червь упакован UPX, размер распакованного файла около 40KB.
Инсталляция
После запуска червь выводит на экран ложное сообщение об ошибке "The file could not be opened!":

Копирует себя в каталог Windows, под именем "services.exe" и регистрирует данный файл в ключе автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"service" = "%windir%\services.exe -serv"
Также червь создает уникальный идентификатор своего присутствия в памяти "AdmSkynetJklS003".

Червь создает множество своих копий во всех подкаталогах, содержащих в своем названии слово "Share" или "Sharing" на всех доступных дисках от C до Z с именами выбираемыми из списка:

winxp_crack.exe
dolly_buster.jpg.pif
strippoker.exe
photoshop 9 crack.exe
matrix.scr
porno.scr
angels.pif
hardcore porn.jpg.exe
office_crack.exe
serial.txt.exe
cool screensaver.scr
eminem - lick my pussy.mp3.pif
nero.7.exe
virii.scr
e-book.archive.doc.exe
max payne 2.crack.exe
how to hack.doc.exe
programming basics.doc.exe
e.book.doc.exe
win longhorn.doc.exe
dictionary.doc.exe
rfc compilation.doc.exe
sex sex sex sex.doc.exe
doom2.doc.pif
а также копирует несколько своих копий в формате ZIP c именами из списка:

document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc
#n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!
Размножение
Червь ищет файлы с расширениями adb, asp, dbx, doc, eml, htm, html, msg, oft, php, pl, rtf, sht, tbb, txt, uin, vbs, и wab, ищет в них адреса электронной почты и рассылает свои копии по найденным адресам. Для отправки писем червь использует собственную SMTP-библиотеку.

Зараженные письма формируются из произвольных комбинаций:
Тема:
Hi
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown
Текст письма:
AnythingOk?
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool
Удаление червя Mydoom
Аналогично некоторым другим червям, данный червь содержит в себе функцию "удаления" с зараженной машины червя Mydoom. Для этого он ищет в системном реестре Windows ключи "Explorer" и "Taskmon" в следующих ветках:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
а также удаляет ключ:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
Прочее
Червь удаляет из системного реестра Windows ключи "KasperskyAv" и "system.".

Лицемерие процветает: авторы вируса NetSky атакуют хакерские сайты и файлообменные сети

Как оказалось, новейшие модификация вируса NetSky (NetSky.Q и NetSky.T), оказывают весьма специфический деструктивный эффект, атакуя различные веб-сайты, распространяющие клиентов для файлообмена, а также хакерские утилиты. Наиболее известными целями DDoS-атак выступают, в частности, сайты Kazaa и eDonkey, которые, по оценкам специалистов, не смогут выстоять против широкого распространения вируса. Тем не менее, конкретной целью атаки являются официальные сайты указанных сетей, а не серверы файлообмена, так что последний нарушен не будет. Заодно NetSky пытается заменить собой червя Bagle, а также обновить свои старые версии, уже проникшие на компьютеры пользователей, на новые.

В теле вируса найдено сообщение авторов, о том, что они не имеют никаких "криминальных намерений", а пытаются "предотвратить хакерскую активность и обмен незаконным содержимым".

Какое ужасное лицемерие - достигать свои "благие" цели за счет незаконного проникновения на компьютеры невинных пользователей, незаконного препятствия функционированию электронных систем, засорения каналов и увеличения потока спама! И я ни за что не поверю, что авторы вируса борются с указанными сайтами из альтруистических и выосокоморальных побуждений, скорее я бы отнес это на происки конкурентов, шантажистов, личную месть или на прочие действия недоброжелателей. Когда же наконец мы дождемся адекватного законодательства и структур по борьбе с электронными преступлениями, чтобы преступники заняли свои законные места в тюрьмах и психбольницах?..

Появление нового трояна

Justin Polazzo из Технологического института шата Джоржия сообщает о появившемся вчера новом распространяющемся трояне. Как показал анализ, червь приходит по почте в виде присоединённого файла под названием ndemon.exe (.99 К). При запуске прописывает своё тело в директории c:\winnt и c:\winnt\system32 и добавляет ключи в реестр HKLM\Software\Microsoft\CurrentVersion\Run, HKLM\Software\Microsoft\CurrentVersion\RunServices. После этого пытается распространить себя в локальной сети через порты 135 и 139, используя известные уязвимости и предопределённый список паролей. Также слушает запросы от других инфицированных машин на порту 1025, а также сканировать сервера с запущенным IIS (порт 80) на наличие известных уязвимостей этого сервера. Инфициррованные машины были запущены под управлением win2k SP4 (все патчи) с установленным антивирусом Symantec AV v8.6. (www.securityfocus.com)

Новый интернет-червь перезаписывает файлы на винчестере

Компания Symantec предупреждает о появлении нового интернет-червя VBS.Gaggle.D (другие названия I-Worm.Gedza, VBS/Gedza.A). Вредоносная программа рассылает собственные копии по электронной почте посредством встроенного SMTP-сервера, кроме того, вирус способен распространяться через mIRC, ICQ и некоторые файлообменные сети.

После неосторожного запуска вложенного в письмо файла с именем Filezip.zip червь создает свою копию в системной папке Windows, а также записывает туда ряд вспомогательных файлов. Далее вирус открывает окно браузера Internet Explorer и отображает в нем фотографию известной поп-исполнительницы Эврил Лавинь. Таким образом, заметить присутствие вредоносной программы на компьютере несложно. После этого VBS.Gaggle.D регистрируется в системном реестре, обеспечивая себе при этом автоматический запуск при загрузке ОС.

Кроме того, червь способен перезаписывать файлы с расширениями vbs, .vbe, .js, .jse, .hta, .htm, .html, .php, .shtm, .shtml, .phtm, .phtml, .mht, .mhtml, .plg, и .htx собственными копиями, а также уничтожать vbs-файлы на флоппи-дискетах. В процессе генерации инфицированных сообщений поле "От кого" фальсифицируется, а тема письма и его содержание варьируются произвольным образом. Наконец, вирус отправляет письма с украденной информацией (например, найденными адресами почты) своему автору. Впоследствии эти адреса могут использоваться для составления списков массовых рассылок. Червь VBS.Gaggle.D представляет угрозу для пользователей компьютеров с ОС Windows 2000, 95, 98, Me и XP.

Новый интернет-червь защищает права венгров

Антивирусная компания Panda Software предупреждает о появлении очередной вредоносной программы. Червь Zafi.A распространяется по электронной почте в виде файлов-вложений с очень длинным именем с расширением .СОМ.

После неосторожного запуска присланного файла пользователем компьютера, червь закрывает процессы, принадлежащие известным ему антивирусным пакетам, и создает две свои копии с расширениями .ЕХЕ и .DLL в директории Windows. Кроме того, вирус записывает собранные ранее адреса электронной почты в пять файлов с произвольными именами и расширениями DLL. Кстати, в процессе рассылки применяется встроенный SMTP-сервер, а в качестве обратного адреса указывается либо аккаунт, установленный в инфицированной системе по умолчанию, либо учетная запись [email protected]. Для обеспечения автоматического запуска при каждой загрузке операционной системы червь Zafi.A вносит ряд изменений в реестр.

Родиной вируса, по всей видимости, является Венгрия. Об этом говорят несколько обстоятельств. Во-первых, тема письма и содержимое написаны на венгерском языке. А во-вторых, если системная дата установлена на 1 мая 2004 года или более позднюю дату, вредоносная программа выводит на экран компьютера сообщение в поддержку венгерских трудящихся (см. рисунок). Размер червя составляет 11776 байт в сжатом виде и примерно 23 кб в распакованном. В коде Zafi.A также имеются процедуры, благодаря которым после 1 мая 2004 года вирус теряет способность к дальнейшему распространению.

compulenta.ru

Обнаружена двадцать третья модификация червя Netsky

Антивирусная компания Panda Software обнаружила двадцать третью по счету модификацию вредоносной программы Netsky. Червь Netsky.W, в отличие от предыдущего варианта, загружавшего свой основной компонент на компьютер посредством соединения с удаленным FTP-сервером, полагается полностью на электронную почту. Файл-вложение имеет размер 24064 байта и расширение EXE, PIF, SCR или ZIP. Червь написан на языке программирования Visual C++ v6.0 и упакован UPX 1.24.

После проникновения на компьютер вирус создает в директории Windows несколько файлов со своими копиями (в том числе, VISUALGUARD.EXE) и изменяет системный реестр таким образом, чтобы обеспечить себе автоматическую загрузку при каждом последующем включении ПК. В процессе рассылки применяется встроенный SMTP-сервер. При этом тема и содержимое писем генерируются случайным образом из заложенных автором текстовых строчек, а обратный адрес сообщений фальсифицируется. Сформированные червем письма содержат упоминание того, что они якобы были проверены антивирусом Norton OnlineScan на предмет наличия вредоносных программ.

Кроме того, модификация Netsky.W пытается найти на инфицированном компьютере и деактивировать ряд других вирусов, в частности, Mydoom.A, Mydoom.B, Mimail.T и некоторые варианты Bagle. Для этого Netsky.W удаляет из реестра операционной системы внесенные вышеназванными червями записи. Netsky.W представляет угрозу для пользователей, на чьих компьютерах установлены ОС Windows 95 и выше.

Спасибо за инфу! Только что убрал эту заразу! Спасибо Ксперскому!