Компания Panda Software сообщает, что главные "вирусные" новости последней недели ноября, в основном, связаны с червем Winevar (W32/Winevar), вирусом CIH.1106 (W32/CIH.1106), тремя троянами и Internet-уткой "JDBGMGR", до сих пор продолжающей активно распространяться в Сети.
Вредоносный код Winevar представляет серьезную опасность, поскольку он удаляет содержимое всех папок зараженного компьютера, за исключением программ, находящихся в активном состоянии. Winevar рассылает себя по электронной почте в письме с произвольной темой и тремя вложенными файлами каждому адресату, найденному в HTM и DBX-файлах зараженного компьютера.
Он активируется при запуске любого из трех вложенных файлов и способен автоматически запускаться при открытии зараженного письма в Окне быстрого просмотра Outlook (червь использует дыру Exploit/iFrame в браузере Microsoft Internet Explorer). Червь вносит несколько записей в Реестр Windows и создает следующие файлы:
- WINXXXX.PIF: копия червя, запускается каждый раз при загрузке системы.
- WINXXXX.TMP: вирус, обнаруживаемый программами Panda как W32/Funlove.4099.Dr.
CIH.1106 может активироваться 2-го числа каждого месяца. Вирус перезаписывает таблицу размещения файлов (FAT) жесткого диска, а на компьютерах с чипсетом Intel 430TX удаляет содержимое памяти BIOS. После таких операций компьютеры едва ли способны работать и перезагружаться.
Помимо названных вредоносных кодов, стоит обратить внимание на появление следующих троянов:
- Ske (Trj/Ske), резидент оперативной памяти, клавиатурный шпион, перехватывает нажатия всех клавиш на клавиатуре и записывает эту информацию в log-файл вместе с именами приложений, запускаемых на зараженном компьютере.
- Balleig (Trj/Balleig), опасен только для компьютеров с операционными системами Windows XP, 2000 и NT. Выводит на экран три окна и удаляет все файлы в директории Windows.
- RegTask (Bck/RegTask), открывает удаленный доступ к зараженному компьютеру. Троян открывает порт 113, обычно используемый почтовыми серверами и программами для чатов. Таким образом, злоумышленник получает доступ к компьютеру жертвы и может провести на нем удаленную атаку.
Internet-утка "JDBGMGR" - это ложное предупреждение о вирусе. JDBGMGR пытается убедить пользователей в том, что на их компьютерах поселился вирус, удалить который можно, только удалив системный файл JDBGMGR.EXE. В действительности вредоносного кода с таким именем не существует, поэтому советуем игнорировать все письма, связанные с этим "вирусом". Файл JDBGMGR.EXE принадлежит операционной системе Windows, и его ни в коем случае не следует удалять.
Дополнительную информацию об этих и других вирусах и Internet-утках можно получить в Вирусной Энциклопедии Panda Software.