Описание наиболее известных вирусов

...Тема о вирусах, к сожалению, практически не исчерпаема. Но я всего лишь хочу донести до вас информацию, которая, как мне кажется, может пригодиться в борьбе, или, если хотите, противостоянию этой заразе 20 - 21 веков...

Вирус Babylonia уже не так опасен, как раньше

Вирус нового типа Win95.Babylonia появился совсем недавно. Первое сообщение о заражении и Internet-чатов и групп новостей в Европе, США и странах Азиатско-Тихоокеанского региона появилось на этой неделе – в понедельник 6 декабря. В описании вируса, сделанном российской антивирусной компанией "Лаборатория Касперского", указывается, что Win95.Babylonia сочетает в себе возможности как вируса, так и Интернет-червя и "троянской" программы. Проникнув на компьютер, вирус ждет, пока пользователь вновь установит соединение с Internet, после чего вирус инициирует соединение с Web-сайтом, известным под названием SOK4EVER, откуда производится загрузка дополнительных вирусных модулей. Принадлежит этот сайт группе "любителей вирусов" Source of Kaos и располагается он в Японии. Вернее, теперь уже можно сказать в прошедшем времени – принадлежал группе Source of Kaos и располагался в Японии, так как этот сайт, с которого производилась рассылка новых вирусных модулей, по сообщению антивирусной фирмы Trend Micro, уже закрыт. Вирус Win95.Babylonia, конечно же, не обезврежен, но уже не столь опасен, как раньше, поскольку функции несанкционированного удаленного администрирования он уже лишен.

Вирус ICQGREETING обнаружен в диком виде

Компании Trend Micro и Computer Associates, специализирующиеся на разработке антивирусного ПО, сообщили о том, что в природе в диком виде обнаружен новый вирус типа троянского коня, получивший название ICQGREETING. Он может быстро распространиться по Internet, так как генерирует рассылку по электронной почте большого числа своих копий. В таких электронных письмах в строке "тема" всегда пусто, в теле письма также ничего нет, а есть только прикрепленный файл "lcq_Greetings.exe". ICQGREETING является вариантом вируса-червя Mypics, который появился неделю назад. Mypics приходил в письме в исполняемом файле "Pics4You.exe", в теле письма содержался текст "Here's some pictures for you!". Как и Mypics, вирус ICQGREETING поражает системы с ОС Windows 95/88, NT или 2000. Кроме того, для его распространения по электронной почте необходимо наличие на зараженном компьютере программы Microsoft Outlook. ICQGREETING запрограммирован на исполнение специальных команд 1 января 2000 г. – он попытается отформатировать диск С, флоппи-дисководы А: и В: и, если он имеется, жесткий диск D:. Однако, по сообщению Computer Associates, в самом коде вируса имеются ошибки, и отформатировать диски ему, скорее всего, не удастся. Как и Mypics вирус ICQGREETING по замыслу его создателя также должен внести изменения в ПЗУ, но, опять же из-за ошибок, он этого сделать не сможет. При запуске на исполнение файла "Icq_Greetings.exe" троянский вирус помещает свой файл в каталог Windows и изменяет содержимое системного регистра таким образом, что программа, содержащая вирус, автоматически запускается на исполнение при перезагрузке компьютера. Через 20 минут после запуска вирус пытается разослать свои копии по адресам, содержащимся в адресной книге почтовой программы Outlook, и эта процедура повторяется каждые 10 минут. Эта массовая рассылка сообщений сама по себе может вызвать перегрузку почтовых систем по всему миру. Компании Trend Micro (http//www.antivirus.com) и Computer Associates (http//www.cai.com) сообщают пользователям о том, что с их Web-сайтов они могут загрузить соответствующие обновления для своего антивирусного ПО, которые обнаруживают вирус ICQGREETING.

О вирусе "Win95.Begemot"

Опасный резидентный полиморфный Windows-вирус длиной около 8Kb. Инсталлирует себя в память Windows и заражает РЕ ЕХЕ-файлы Windows при обращениях к ним. Использует системные вызовы Win95/98 и по этой причине неработоспособен под Windows NT. Содержит ошибки, часто завешивает компьютер и портит файлы при их заражении. Использует несколько нестандартных приемов: пакует свой код (и распаковывает при инсталляции в память); записывает зараженные файлы в RAR-архивы (имя таких файлов – BEER.EXE); запускает дополнительную нитку процесса, которая взаимодействует с внешним управляющим модулем. Этот модуль может управлять процессами вируса, например, включать/отключать процедуру заражения файлов. Вирус также ищет и выгружает антивирусные мониторы "AVP Monitor" и "Аmоn Antivirus Monitor", удаляет некоторые антивирусные файлы данных, в зависимости от системного таймера выводит сообщения. Содержит строку-"копирайт", по которой очень просто определить файлы, зараженные вирусом: "Virus Win98.BeGemot by Benny/29A".

Вирус "Win95.Yobe"

Опасный резидентный Windows-вирус. Использует системные вызовы Win95/98 и по этой причине неработоспособен под Windows NT. Содержит ошибки и часто завешивает компьютер при заражении файлов. Несмотря на это, представляет достаточный интерес с технической точки зрения – вирус использует довольно необычный прием заражения файлов. Вирус может быть обнаружен только в двух файлах: в файле "SETUP.EXE'' на дискетах и в файле "SETUP.EXE" в корне диска С: (в имени этого файла присутствует пробел). На дискетах вирус использует необычный для современных вирусов прием расположения своего тела. Вирус записывает свой код в последние кластеры дискеты и модифицирует присутствующий на ней файл SETUP.EXE таким образом, что при запуске он считывает код вируса непосредственно с кластеров дискеты и инсталлирует его в систему. Зараженный SETUP.EXE на дискетах выглядит как 512-байтная DOS ЕХЕ-программа, однако это не совсем так. При заражении этого файла на дискете вирус использует метод вируса Dirll и таким образом прячет свой основной код: при помощи вызовов чтения/записи секторов дискеты вирус получает доступ к ее системным областям (корневой каталог и FAT-ы), изменяет номер первого кластера файла SETUP.EXE и необходимым образом модифицирует таблицы FAT. В результате первоначальное содержимое файла SETUP.EXE остается без изменений, однако соответствующая запись в каталоге дискеты указывает на код вируса. При запуске этого SETUP.EXE с зараженной дискеты DOS-компонента вируса получает управление, создает файл "C:\SETUP.EXE" и записывает в него копию вируса, предварительно считав эти данные с дискеты. Затем вирус запускает этот файл, и управление получает процедура инсталляции вируса в систему. Затем вирус "лечит" на дискете файл SETUP.EXE. При инсталляции в систему вирус создает в системном реестре новый ключ автозапуска своей копии при каждом рестарте Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
YOBE=""C:\SETOP.EXE" YOBE".
Затем вирус переключается на уровень ядра Windows (Ring0), выделяет себе блок памяти, копирует туда свой код, перехватывает команды работы с файлами (IFS API) и остаётся в памяти Windows как VxD-драйвер. Перехватчик вируса обрабатывает только открытие файлов. Если открывается файл SETUP.EXE на диске А:, вирус заражает его описанным выше способом. Вирус содержит также дополнительные процедуры. Первая из них ищет и выгружает антивирусные мониторы "AVP Monitor" и "Amon Antivirus Monitor". Вторая в зависимости от случайного счётчика выводит в левую часть экрана вертикальную полосу, заполненую словами "YOBE".

WM97/Ethan – самый распространенный вирус

Компания Sophos (http//www.sophos.com) каждый месяц проводит статистические исследования распространенности различных вирусов а "диком виде". По данным последнего исследования, первое место сейчас занимает вирус WM97/Ethan. Он упоминается в 12,6% сообщений об обнаружении вирусов. Второе место по популярности занимает вирус WM97/Class-ED – 11.3% сообщений третье место за вирусом WM97/Marker-O (6,2%), который в ноябре занимал пятую строчку в рейтинге. Знаменитый вирус WM97/Melissa-AG в ноябре занимал 4 место, а в декабре переместился на шестое (4,1%). Все эти вирусы относятся к классу макро-вирусов (Word Macro, WM), поражающих Word-документы. Как заявил ведущий консультант Sophos Грэхем Клули (Graham Cluley), если большинство пользователей станет вместо Word-документов использовать RTF-файлы, то электронный мир стал бы более безопасным.

F-Secure предупреждает о новом полиморфном вирусе Pri

Компания F-Secure (http://www.f-secure.com), совсем недавно известная под названием Data Fellows, опубликовала предупреждение о новом вирусе по имени Pri. Этот вирус имеет и другое название – PSD. Это полиморфный макро-вирус документов Word 97, который активизируется при открытии зараженного файла. После начала работы вирус проверяет, не заражен ли общий шаблон документов, и если нет, то он полает это, при этом производится модификация самого вируса. В природе встречается и вариант этого вируса, который называется Pri.B, в отличие от оригинала Pri.A. По сообщению F-Secure, вирус Pri.B очень похож на Pri.A, но он добавляет определенный код в меню "Tools/Macros/Visual Basic Editor", в результате чего редактор MS-Word закрывается сразу же после сохранения любых изменений. Есть и еще одно небольшое отличие. Когда вирус Рri.А заражает о6щий шаблон, он заражает и все документы, которые будут закрыты после этого. Кроме того вирус блокирует меню "Tools/Macros/Visual Basic Editor". Затем вирус Pri.A проверяет время на системных часах компьютера, и если число часов равно числу минут, то вирус рассеивает по открытому в данный момент документу 10 фигур различной формы и цвета. При работе вируса Pri.B число этих фигур может быть произвольным. По сообщению F-Secure, вирус Рri активизируется 25 декабря. В этот день он переписывает файл "C:\Autoexec.bat и вносит в него команду о немедленном переформатировании виска "С:" сразу после перезагрузки системы. Вирус Рri не активизируется на компьютере с Windows NT. Если же он начинает свое черное дело на компьютере с Windows 95 или 98, то на экране появляется сообщение: "Vine... Vide... Vice...Moslem Рower Never End... You Dare Rise Against Me... The Нuman Era is Over, The CyberNET EraHas Come!!!" Как и многие другие макро-вирусы этого типа, вирус Рri рассылает себя по первым 50 адресам, записанным в адресной книге пользователя. Специалисты F-Secure собираются в ближайшее время выпустить антивирусное средство против Pri.

Появился новый вирус-червь W32.NewApt.Worm, распространяющийся по электронной почте

Компания Sophos опубликовала на своем сайте (http://vww.sophos.com/virusinfo/analyses/W32newapt.html) предупреждение о появлении вируса-червя NewApt, который, как утверждается, уже распространяется по компьютерным системам. Сообщение электронной почты, содержащее этот вирус, замаскировано под новогоднее поздравление от компании MessageMates. Если почтовая программа пользователя поддерживает просмотр HTML-файлов, то пользователь прочтет в теле письма следующий текст: "http://stuart.messagemates.com/index.html Hypercool Happy Year 2000 funny programs and animations?. We attached our recent animation from this site in our mail! Check it out!" To есть пользователям предлагается посмотреть прикрепленный к письму анимированный ролик. Сама компания MessageMates, Web-адрес которой приводится в письме, заявила, что автор вируса использовал ее имя для распространения червя NewApt. Сама она к этим "поздравлениям" никакого отношения не имеет. Если же НТМL файлы почтовой программой не поддерживаются, то пользователь увидит другой текст: "he, your lame client cant read HTML, haha. click attachment to see some stunningly HOT stuff". Присоединенный исполняемый файл может называться cheese-burst.exe, party.exe, mooica.exe (список возможных названий довольно длинный). Если пользователь запустил на исполнение присланный файл, то на экран компьютера выводится диалоговое окно с текстом "Тhе dinamic link library giface.dll could not be found in specified path". Вирус W32/NewApt затем рассылает себя в таких же письмах по адресам, содержащимся в адресной книге пользователя. Кроме того, W32/NewApt изменяет регистр Windows таким образом, что вирус перезагружается всякий раз при запуске Windows.

"Лаборатория Касперского" о многоликом вирусе-черве I-Worm.NewApt

Ранее уже сообщалось о появлении в "диком виде" нового вируса-червя W32.NewApt.Worm. В вирусной энциклопедии "Лаборатории Касперского" он назван немного иначе – 1-Worm.NewApt. Вот подробное описание нового вируса, сделанное "Лабораторией Касперского". I-Worm.NewApt является вредоносной программой типа "червь", распространяющейся через сеть Интернет. "Червь" представляет собой исполняемый ЕХЕ-файл Windows влиной около 70 Кбайт. Он распространяется в сети посредством сообщений электронной почты, содержащих зараженный вложенный файл. Название вложенного зараженного файла выбирается генератором случайных чисел из 26 вариантов. Рассылаемые сообщения имеют заголовок (Subject) "Just for your eyes". В теле сообщения содержится следующий не-HTML текст:

"he, your lame client cant read HTML, haha.
click attachment to see some stunningly HОТ stuff"
Или текст в формате HTML "Hypercool Happy New Year 2000 funny program and animations... Не attached our recent animation from this site in our mail! Check it out!" В случае, если вложенный файлзапущен, "червь" получает управление и устанавливает себя в систему. Для этого он копирует себя под своим текущим именем (из приведенного выше списка) в директорию Windows и прописывается в системном реестре в секции "Runs": SOFTWARE \Mlicrosoft \Windows \CurrentVersion \Run "tpawen" = "C:\WIN\PANTHEREXE /x" Необходимо еще раз заметить, что имя "червя" не является постоянным и может меняться в соответствие с приведённым выше списком. Для сокрытия своей деятельности "червь" показывает на экране следующее сообщение: "The dinanic link library giface.dll could not be found in specified path: C:\WINDOWS\SYSTEM; С:\WINDOWS; С:\WINDOWS\COMMAND;" "Червь" также создает и инициализирует для своих нужд следующие ключи системного реестра:

НKEY_CURRENT_USER \Software \Microsoft \Windows

itn =
cat =
cd =
lk =
Ims =
mda =
mde =

Затем "червь" регистрирует себя в качестве "сервиса" (он становится невидимым в списке активных задач) и остается в памяти в виде скрытого приложения. Основная подпрограмма "червя" (всего их две, работающих параллельно в фоновом режиме) периодически просматривает установленные логические диски в поисках файлов, имеющих отношение к Интернет (MS Mail, Outlook Express, Netscape Navigator и др.), открывает их, получает из них найденные адреса электронной почты и рассылает по ним зараженные сообщения. Начиная с 12 июня 2000 года, "червь" убирает строку "Run=" из системного реестра и прекращает внедряться а систему: Это значит, что его время действия ограничено этой датой. Однако и в этом случае он может представлять собой потенциальную опасность, потому как в системе остаются его копии, которые могут активизироваться в случае изменения системной даты. "Червь" начинает проявляться в 00 часов 00 минут 26 декабря по текущим системному времени и дате. Каждые три секунды он пытается присоединиться к удаленному компьютеру в компании Microsoft – стандартная DoS атака (Deny of Servke). Независимо от системной даты "червь" пытается набирать телефонные номера, случайно выбирая их из списка, содержащегося внутри его.

Finjan сообщает о появлении нового вируса-червя Win32.Crypto

Компания Finjan (http://www.finjan.com) опубликовала предупреждение о новом вирусе-черве, получившем название Win32.Crypto. Как сообщается, Win32.Crypto относится к разряду троянских стелс-вирусов. Если файл с вирусом просто удалить с жесткого диска, то вирус не прекратит своей деятельности, и через некоторое время в результате его работы перестанет загружаться операционная система. Вирус Win32.Crypto распространяется в виде двух файлов notepad.exe и pbrush.exe. Он заражает компьютеры с операционными системами Windows 95, Windows 98, Windows NT и бета-версией Windows 2000. Никаких внешних признаков заражения компьютеров не выявлено. Вирус Win32.Crypto инфицирует компьютер, присоединяя себя к файлу kernel32.dll, кроме того, вирус вносит изменения в файл win.ini и в системный регистр. В результате этих изменений вирус получает возможность перехватывать обращения к DLL-файлам. Каждый раз при загрузке зараженного компьютера вирус Win32.Crypto заражает еще 20 случайно выбранных исполняемых файлов. Вирус распространяется, если ничего не подозревающий пользователь отправит один из зараженных исполняемых файлов кому-либо по электронной почте. Кроме того, по сообщению Finjan, в вирусе Win32.Crypto имеются антиэвристические механизмы, из-за которых его трудно обнаружить антивирусными программами. Некоторые типы программ вообще не могут справиться с такими вирусами, и для того чтобы компьютер вновь заработал, необходимо переформатировать жесткий диск. Компания Finjan заявляет, что её антивирусное ПО SurfinShield обнаруживает и предотвращает атаки вируса Win32.Crypto.

Computer Associates сообщает о вирусе Lucky2000

Компания Computer Associates International Inc. (CA) (http://www.cai.com) сообщила ещё об одном вирусе, появление которого связано с наступлением 2000 г. Вирус получил название Lucky2000, он переписывает скрипты Visual Basic. По сообщению CA, вирус Lucky2000 поражает компьютеры с ОС Windows 95, Windows 98 и Windows NT, если на них имеется редактор Visual Basic. Вирус заражает все файлы в текущем каталоге, независимо от их расширений. При заражении файла происходит замена всего его содержимого на тело вируса, однако, название файла при этом не меняется. Изначально файл вируса называется LUCKY.VBS. Показателем того, что компьютер заражен вирусом Lucky2000, является то, что меняется начальная страница Web-брауэера и создается закладка C:\W1NDOWS\Favorrtes\Lucky2000.URL. Новой начальной страницей становится страница этого вируса, которая, как утверждается, располагается на российском сервере по адресу http://www.chat.ru/~smf. Сообщений о появлении этого вируса в "диком виде" пока не было.

Вирус, распространяемый с пиратскими копиями Windows 98

По сообщению координационного центра Группы реагирования на компьютерные происшествия (CERT) из Университета Карнеги-Меллона накануне Нового года, появился еще один вирус. Это троянский вирус Trojan.Kill, который имеет и другое название – lnst98. Он удаляет все файлы с диска С. Первоначально он был обнаружен в пиратских копиях операционной системы Microsoft Windows 98, но он может распространяться и по электронной почте, и через совместно используемые сетевые диски. Как сообщается, вирус содержится в файле INSTALAR.EXE размером 5682 байт. Содержимое этого файла копируется в файл раскладки клавиатуры KEYB.COM. Вирус Тгоjan.Kill должен был активизироваться при наступлении 1 января 2000г. и стереть все файлы с диска С:.

Computer Associates предупреждает о троянском вирусе Feliz.Trojan

Компания Computer Associates (http://www.cai.com) опубликовала предупреждение о португальском "новогоднем" троянском вирусе, получившем название Feliz Trojan. Этот троянец удаляет с жесткого диска компьютера файлы system.dat, user.dat, cotmmand.com, system.ini, win.ini, system.cb и win.com. После удаления этих файлов на экран выводится изображение уродливой физиономии и надпись "FELIZ ANO NOVO!!!" ("С новым годом" по-португальски). После этого компьютер перестает загружаться. По сообщению Computer Associates, этот троянский вирус не сможет принести никакого вреда, если ОС Windows установлена не в каталоге C:\windows, а в какой-нибудь другой директории. Кроме того. Computer Associates подготовила противоядие от этого трояниа, которое можно бесплатно загрузить с Web-сайта по адресу http://antivirus.cai.com.

Компания Sophos обнаружила за сутки три новых вируса

Специалисты антивирусной компании Sophos (http://www.sophos.com) за последние сутки обнаружили три новых вируса. Первый из них называется Esmeralda. Этот вирус заражает все исполняемые файлы на ПК с ОС Windows 95/98, активизируемые в то время, когда вирус находится в памяти компьютера. На компьютеры с ОС Windows NT он не действует. Как сообщается, родиной вируса является Колумбия. Второй вирус получил название Surround. Он относится к классу макровирусов MS-Word. В любой день после 29 декабря 1999 г. вирус Surround может попытаться удалить на компьютере файл WIN.COM, но, на самом деле, ему это сделать не удастся из-за ошибки в коде самого вируса. Похоже, автор этого вируса как следует не проверил работу своего творения. После того как вирусу не удается удалить указанный файл, на экране появляется надпись "You are now Surrounded!!". Вирус также создает временный файл C:\SURROUND.KEY, но, по сообщению Sophos, он опасности не представляет. Третий вирус называется Space или PE_Spaces.1633, он заражает исполняемые файлы на компьютерах с 32-разрядной версией Windows. Начнет он действовать 1 июня. В этот день он перепишет головную загрузочную запись на жестком диске и попортит таблицу разделов. То есть жесткий диск перестанет загружаться до тех пор. Пока не будет восстановлена головная загрузочная запись.

Computer Associates сообщает о вирусе-черве Wscript/Каk

Компания Computer Associates International (CA), специализирующаяся на средствах антивирусной защиты, опубликовала предупреждение о новом вирусе-черве, получившем название Wscript/Kak. Как сообщается, этот вирус заражает компьютеры с ОС Windows. Кроме того, особо следует отметить, что вирус уже обнаружен в "диком" виде. Однако для заражения этим вирусом и дальнейшего его распространения необходимы довольно специфичные условия. Вирус Wscript/Kak распространяется по электронной почте и заражает только системы с Windows 98, на которых установлена почтовая программа Outlook Express 5.0. Причем для заражения пользователю не нужно даже открывать никаких присоединенных файлов. В этом механизм работы Wscript/Kak сходен с вирусом-червем I-Wofm.BubbleBoy. Если на компьютер пользователя попадает зараженное вирусом Wscript.Kak письмо, то находящаяся в нем программа начинает исполняться, если в браузере Internet Explorer 5 установлен низкий или средний уровень защиты. Вирус Wscript.Kak записывает свой код в каталог Windows в виде файла "Каk.HТА". Кроме того, часть кода вируса записывается в виде файла "Kak.HTM" и создается его копия в каталоге Windows\System, а в системном регистре появляется запись: "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\cAgOu". В результате таких манипуляций вирус запускается на исполнение при каждой загрузке Windows. Затем вирус ищет установки пользователя ("Identities") в Outlook Express 5.0 и изменяет в них подпись пользователя, в качестве подписи по умолчанию теперь используется файл "C:\Windows\ Каk.HТМ". Таким образом, вирус Wscript.Kak присоединяет себя ко всем письмам, отправляемым пользователем. Кроме того, вирус проверяет системную дату и время и, если сумма числа и часа оказывается больше 17, то на экран выводится надпись "Kagou-Anti-Kro$oft says not today!", после чего вирус пытается закрыть Windows. Computer Associates уже выпустила обновление для своего антивирусного ПО, которое позволяет удалить вирус Wscript.Kak, его можно загрузить по адресу http://antivirus.cai.com.

Вирус PrettyPark – лидер мартовских чартов

Компания Sophos опубликовала очередную десятку наиболее часто встречающихся вирусов по данным за март 2000 г. Бесспорным "лидером" по популярности является вирус PrettyPark – о нем говорится в 25,6% сообщений пользователей о заражении вирусами. На втором месте идет вирус Kakwork – 7,9%, на третьем – Ethan с 5,4%. Четвертое, пятое и шестое места поделили лидер февраля Marker, троянец Mine и Ska-Happy – у них по 4,6%. На седьмом и восьмом местах идут Thursday и Titch, они проникли на 2,9% зараженных компьютеров. Замыкают десятку вирусы Proverb-А и Ethan-CC – у них 2,1% и 1,7%, соответственно. Итак, в марте в компьютерном мире продолжали доминировать макро-вирусы, но следует отметить и новый рост популярности файл-вирусов, типичным представителем которых, является нынешний лидер PrettyPark. Этот вирус приходит в письме электронной почты с присоединенным файлом, в котором под видом компьютерной игры содержится вирус. Более подробную информацию об этом вирусе можно получить по адресу http://www.sophos.com/virusinfo/analyses/w32pretty.html.

Вирус Santana распространяется как средство для "лечения" вируса Chernobyl

Вирус Chernobyl, срабатывающий каждый год 26 апреля (в день чернобыльской катастрофы), привел к возникновению проблем во многих компьютерных системах мира. Корейское Министерство по информации и коммуникациям получило почти 2000 сообщений о заражении вирусом Chernobyl. Между тем, как сообщает "Лаборатория Касперского", в России по электронной почте и через Internet pacпространяется вирус Win32.Santana. Им, якобы, заражён файл NOCIH.EXE, который преподносится как универсальное средство для устранения на компьютере вируса Chernobyl.

FinJan сообщает о новом вирусе South Park Shooter

Антивирусный исследовательский центр компании Finjan (httprfwww.finjan.com) распространил информацию о появлении нового вируса-червя, получившего название South Park Shooter. Как сообщается, этот вирус был замечен в Европе в "диком виде". Подобно вирусу ILOVEYOU и его вариантам вирус South Park Shooter использует для своего распространения по электронной почте программу Microsoft Outlook. Вирус рассылает себя по всем адресам из адресной книги жертвы каждые 30 секунд. Кроме того, вирус "забивают" всё свободное пространство жёсткого диска заражённого компьютера, то есть его действие можно сравнить с атакой типа "отказ в обслуживании" и на компьютеры, и на почтовые серверы. Присоединенный файл в письме с вирусом называется "South Park.exe", его размер составляет 19'968 байт. В свойствах файла указывается другое его название – "South Park Shooter", а в качестве автора фигурирует некая компания Comicplanet. Само письмо написано на немецком языке, в теме указано: "Servus Alter!", а сообщение в теле письма гласит: "Hier ist das Spiel, dass du unbedingt wolltest!", что в переводе означает "Это игра, которую ты очень хотел иметь". При запуске на исполнение файла South Park.exe вирус добавляет в регистр три ключа, в результате чего в корневом каталоге диска С: создается два .dll-файла windowssystem.dll и windowsstart.dll (каждый размером в 1 Кбайт) и один исполняемый файл winguard.exe размером 19,5 Кбайт. Кроме того, в корневом каталоге диска С: появляется копия файла South Park.exe. Если во флоппи-дисководе компьютера имеется дискета, то вирус записывает на нее системные файлы и файл с вирусом, так что имеется вероятность распространения инфекции на другие компьютеры с этой дискеты. При запуске файла winguard.exe по всем адресам из адресной книги Microsoft Outlook каждые 30 секунд рассылаются письма с прикрепленным файлом South Park.exe. Finjan также предупреждает о возможности скорого появления "английских переводов" этого вируса и/или его вариантов.

Вирус ILOVEYOU был выпущен на свободу случайно?

По сообщению агентства Associated Press, студент компьютерного колледжа Онел де Газман (Onel A. de Guzman), разыскивавшийся филиппинскими властями по обвинению в создании и распространении нашумевшего вируса ILOVEYOU, в конце прошлой неделе появился на пресс-конференции. Он был в черных очках. На этой пресс-конференции он заявил, что вирус ILOVEYOU вырвался на свободу случайно, по ошибке. Однако он не сказал прямо, является ли он автором этого вируса. Он также заявил, что не уверен в том, что именно он выпустил этот вирус на просторы Internet, но сказал, что такая ситуация была возможной. Онел де Газман – это один из двух студентов расположенного в Маниле колледжа АМА Computer College, которые подозреваются в написании вируса ILOVEYOU. Второй подозреваемый – его друг Майкл Буэн (Michael Buen) закончил указанный колледж 5 мая. По заявлению руководства колледжа, представленные Газманом и Буэном дипломные работы были посвящены проблеме кражи компьютерных паролей. Кроме того, из разработанных ими программ можно было скомбинировать вирус ILOVEYOU, который поразил множество компьютерных систем в 20 странах мира. На пресс-конференции на вопрос о том, что он думает по поводу ущерба, нанесенного вирусом, де Газман ответил "ничего". Он также сказал, что он не помнит, где он был 4 мая, то – есть в тот день, когда вирус начал свою разрушительную работу. Де Газман сообщил, что он обсуждал свою дипломную работу с другими членами "подпольной" компьютерной группы GrammerSoft, занимавшейся написанием и продажей дипломных работ нерадивым студентам. Присутствовавший на пресс-конференции адвокат де Газмана заявил, что к написанию вируса могли быть причастны и другие люди, в частности, члены группы GrammerSoft. Де Газман жил в одной квартире со своей сестрой и ее приятелем банковским служащим Реонелом Рамонесом (Reonel Ramones). Рамонес был арестован по подозрению в распространении вируса неделю назад, но на следующий день был отпущен за недоказанностью его вины. Национальное бюро расследований Филиппин и ФБР сейчас ведет исследование найденных в квартире компьютерных дискет, но никакой информации о результатах этих поисков пока не сообщается.

Появился вирус для компьютеров Palm

Финская антивирусная компания F-Secure сообщила о появлении первого вируса, который заражает органайзеры производства Palm, Handspring, IBM, TRG и Symbol Technologies, работающие под управлением ОС Palm. Сообщений о распространении этого вируса в диком виде пока не зафиксировано. Сама компания F-Secure получила этот вирус от анонимного пользователя. Вирус, который называется Phage (PalmOS/Phage.1325), представляет собой файл очень небольшого размера, который можно загрузить из internet-доступа. В отличие от троянца Palm Liberty Troyan, который был обнаружен около месяца назад, Phage является настоящим вирусом, так как он способен распространяться из одного Palm-приложения в другое. Вирус проявляет себя тоже очень быстро - через секунду после начала его работы на экране компьютера исчезают все символы и изображения. Кроме того, вирусный код присоединяется ко всем программам, имеющимся на компьютере Palm, но не действует только на файлы баз данных. Создаётся впечатление, что уничтожены все файлы, но на самом деле это не так, вирус переписывает только начальные фрагменты исполняемых файлов. Компания F-Secure уже выпустила противоядие от этого вируса F-Secure Anti-Virus for Palm.

Title: ваши документы будут надежно защищены

Title - еще один макро-вирус, заражающий документы и шаблоны MS Word 97/2000. Вирус занимается тем, что отключает макро-вирусную защиту в Word, а также совершает мелкие пакости. 3 мая, 6 июня и 30 июля вирус защищает зараженные документы паролем, сгенеренным случайным образом.

"Plant" и "Checkup" - никчемные макро-вирусы

Sophos сообщает о двух безобидных макро-вирусах для MS Word, появившихся в диком виде. Checkup - ничем непримечательный вирус, не содержащий никакого зловредного кода. Plant также не совершает никаких деструктивных действий. 1-го января вирус выдает сообщение: "Happy NewYear ! You are infected by Plant.Virus. Don't panic, i'm KILL you."

Пополнение в семействе Thus

Sophos сообщает о появлении в "диком виде" новой модификации макро-вируса Thus. Однако, новый вариант - Thus-BG, в отличие от своих "родственников", не совершает никаких деструктивных действий.

Totilix - опасный интернет-червь

I-Worm.Totilix - очень опасный интернет-червь, распространяющийся в электронных письмах. При запуске на компьютере записывает себя вместо всех EXE-файлов в каталоге Windows, кроме файлов EMM386.EXE, SETVER.EXE и файлов, заблокированных системой (например, EXPLORER.EXE). Червь регистрируется в секции авто-запуска системного реестра для того, чтобы автоматически активизироваться при каждом рестарте Windows (непонятно зачем, поскольку после перезаписи всех EXE-файлов в каталоге Windows система перестает работать). Червь рассылает свои копии по именам из адресной книги. При этом он не открывает MS Outlook (как это делают прочие подобные черви), а "заставляет" пользователя сделать это самостоятельно при помощи сообщения:

AV Intelligent Updater
Please select email address to send at your friend
Select email address with 'a' only not with 'A'
[OK]
Затем червь активизирует почтового клиента при помощи функций MAPI (т.е. вне зависимости от того, какой клиент установлен), открывает адресную книгу и предлагает пользователю выбрать адрес или адреса. Затем по выбранным адресам рассылаются сообщения:

Hi friend,
This mail contains a new AV intelligent updater for all antivirus.
To install it, execute the attachment file
if you have any problem, send mail at antivirus@hotmail.com

Имя вложенного файла остается прежним, т.е. именем того файла, из которого червь был активизирован. Впервые червь встретился под именем AVUPDATE.EXE. Если при выборе адреса или отсылке письма произошла любая ошибка, червь стирает все файлы в каталоге Windows и выводит одно из "сообщений об ошибке". В зависимости от даты и времени червь стирает все файлы в каталоге Windows и выводит различные тексты.

Новые макро-вирусы для Word 97: Shore-D и Metys-F

Sophos сообщает о двух новых макро-вирусах для MS Word. Один из них - Metys-F, который является незначительной модификацией макро-вируса Metys-D, был замечен в "диком виде". Metys-F вполне безобиден и не совершает никаких деструктивных действий. Shore-D изменяет на зараженной машине пользовательские настройки и стили документов Word, а также защищает паролем "cool13" все макросы, содержащиеся внутри документов. Помимо этого вирус через три секунды после открытия / закрытия документов показывает в течение короткого времени следующее сообщение в области заголовка Microsoft Word: "Offshore Engineering - Peace at the sea...". Вирус также создает временный файл с именем "Offee*.dot" в clipart-директории.

Интернет-червь MTX вновь напомнил о себе

Антивирусные компании предупреждают о появлении опасного интернет-червя I-Worm.MTX в "диком виде". Это вирус-червь, заражающий системы под управлением Win32. Заражает приложения Win32, устанавливает троянскую программу типа "Backdoor", пытается рассылать себя в электронных письмах. Как сообщает Trend Micro, червь начал стремительно распространяться в Азии и Южной Америке. Возможно, ошибки, которые содержащались в коде червя, были исправлены, и червь стал способен к массовому инфицированию. Особое внимание червь уделяет интернет-адресам антивирусных компаний и блокирует отсылку писем на адреса этих компаний, так же как посещение их Web-сайтов, что создает дополнительные трудности для пользователей инфицированных комьютеров в обновлении их антивирусной защиты.

Хитрец по имени Pene.b

W97M/Pene.b - новый макро-вирус, заражающий документы и шаблоны MS Word97/2000. Вирус содержит макрос "FreeStyler". При открытии инфицированного документа этот вредитель отключает встроенную защиту Microsoft от макро-вирусов, а также делает недоступной опцию меню [Save "Normal.dot"]. Вирус записывает свой код в шаблон Normal.dot. Ко всему прочему вирус устанавливает в редакторе Visual Basic цвет фона и цвет текста белыми, пытаясь спрятать таким образом наличие какого-либо кода в макросах.

Новый вариант трояна несет угрозу DoS-атак

Специалисты компании Internet Security Systems Inc. (ISS) заявляют, что обнаружили более 800 компьютеров, инфицированных трояном SubSeven DEFCON8 2.1, который является утилитой скрытого администрирования (backdoor). По своим возможностям SubSeven напоминает "Backdoor.BO"(aka Back Orifice trojan). Поскольку этот троянский конь стал быстро распространяться, компания оценивает потенциальную угрозу атак как достаточно высокую. Троянец был "выпущен" на Usenet newsgroups под различными именами, включая SexxxyMovie.mpeg.exe. По словам исследователей из ISS хакеры хотят опробовать новые методы использования нападений, вызывающих так называемый "отказ в обслуживании", когда сервер-жертву атакуют непрерывным потоком пакетов информации (зачастую используя при этом множество удаленных компьютеров), что в конечном итоге вызывает сбой в работе сервера. Как только очередная система инфицируется, троянец связывается по Сети с IRC-каналом irc.icq.com, чтобы уведомить об этом своего "хозяина". Новая версия SubSeven также "слушает" порт 16959, чего не было в предыдущем варианте трояна. Специалисты из ISS заявляют, что увеличение количества "Denial-Of-Service" атак неизбежно, а новые инструменты для этого становятся все более изощренными.

Появился новый вариант вируса "I Love You"

Его предшественник около пяти месяцев назад вызвал массовую эпидемию в компьютерных сетях. Уже появились жертвы одного из новых и более разрушительных вариантов этого вируса. Вирус как обычно приходит по электронной почте в прикреплённом файле. Заголовок этого письма содержит следующую фразу: "U.S. president and FBI secrets", что может привлеч незадачливых любителей "секретов американского президента и ФБР". Уже около 30 организаций сообщили о заражении этим вирусом, который получил название VBS/Loveletter.bj. Как и оригинал вируса "I Love You", его новый вариант рассылает себя по адресам в адресной книге почтовой программы Microsoft Outlook и может уничтожать файлы с изображениями на компьютере пользователя. Корпорация Microsoft некоторое время назад разработала соответствующую заплату для Outlook, но далеко не все компании и частные пользователи установили её на свой компьютер.