Novarg: реальная причина новой глобальной вирусной эпидемии

1174

Согласно данным "Лаборатории Касперского", основной причиной начала сегодняшней жуткой вирусной почтовой эпидемии стал интернет-червь "Novarg", также известный как "Mydoom". Вот что пишет сайт "Лаборатории Касперского" об этой заразе:

"Всего за несколько часов существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все шансы побить рекорды распространения в 2003 г.

Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.

Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.

Профилактика, диагностика и защита

"Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA.

Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем.

В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).

Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения.

Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов.

Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера.

Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.

"Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер — модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы.

Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др.

В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.

Процедуры защиты от "Novarg" уже добавлены в базу данных Антивируса Касперского.

Что к этому добавить мне — человеку, который сейчас получает до 300 писем в час? @#&%@!!!

Берегите себя и свои нервы…

27 января 2004 Г.

17:36

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

На рынке смартфонов экраны OLED опередят ЖК-дисплеи к 2020 году: Через три года смартфонов с панелями OLED будет большинство

В протоколе WPA2 найдена опасная уязвимость: Бельгийские исследователи обнаружили уязвимость, свойственную почти всем современным устройствам, поддерживающим Wi-Fi29

Видеокарта GeForce GTX 1070 Ti появилась в базе Ashes of the Singularity: Ashes of the Singularity подтверждает существование GeForce GTX 1070 Ti

Поставки игровых ноутбуков в этом году прогнозируются на уровне 5,5 млн штук: В роли лидера рынка аналитики видят Asus 2

Netgear выпустила вторую модель «самой продаваемой камеры безопасности в мире»: Netgear Arlo Pro 2 оценивается в 220 долларов2

SoC MediaTek Helio P40 будет соперничать с некой однокристальной системой Snapdragon 660 Lite: SoC MediaTek Helio P40 выйдет в следующем году10

По мнению представителя IDC, Huawei уже в этом году обойдет Apple на рынке смартфонов: Конечно, помимо объема поставок, есть и другие показатели80

Представлен флагманский смартфон Huawei Mate 10: Huawei Mate 10 оснащен камерой Leica и SoC Kirin 97012

Huawei Mate 10 подключается к дисплею без док-станции: Речь идет о работе смартфона в десктопном режиме17

997
1318

iXBT TV

  • Планшеты для подводного чтения, дешевый безрамочный смартфон и автономная VR-гарнитура

  • Обзор 3D-принтера Funtastique Evo: дешевая, но вполне функциональная DIY-модель

  • Обзор робота-пылесоса Polaris PVCR 0920WV Rufer с функцией влажной протирки полов

  • Новинки Google на любой вкус: Pixel 2, Pixel 2 XL, Pixelbook, Clip, Home Mini и Max

  • Обзор водонепроницаемого бинокля Canon 10x42L IS WP с оптическим стабилизатором

  • Обзор компактного вертикального пылесоса Kitfort КТ-525

  • Обзор 15-дюймового игрового ноутбука MSI GE63VR 7RF Raider 4K с 4K-экраном

  • Ракета вместо самолета, умные AC Amazon, робот-мяч

  • Обзор парогенератора MIE Stiro Pro для глажки, отпаривания и уборки дома

  • Обзор изогнутого 37,5-дюймового IPS-монитора Acer XR382CQK с соотношением сторон 21:9

  • Обзор робота-полотера Everybot RS500

  • Гарнитура 8K VR, беспроводная революция, Яндекс в каждое авто

1212

Календарь

январь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать