Вирусный отчет компании Panda Software — Alien @ 04.12.2002 15:03

Компания Panda Software сообщает, что главные "вирусные" новости последней недели ноября, в основном, связаны с червем Winevar (W32/Winevar), вирусом CIH.1106 (W32/CIH.1106), тремя троянами и Internet-уткой "JDBGMGR", до сих пор продолжающей активно распространяться в Сети.

Вредоносный код Winevar представляет серьезную опасность, поскольку он удаляет содержимое всех папок зараженного компьютера, за исключением программ, находящихся в активном состоянии. Winevar рассылает себя по электронной почте в письме с произвольной темой и тремя вложенными файлами каждому адресату, найденному в HTM и DBX-файлах зараженного компьютера.

Он активируется при запуске любого из трех вложенных файлов и способен автоматически запускаться при открытии зараженного письма в Окне быстрого просмотра Outlook (червь использует дыру Exploit/iFrame в браузере Microsoft Internet Explorer). Червь вносит несколько записей в Реестр Windows и создает следующие файлы:

WINXXXX.PIF: копия червя, запускается каждый раз при загрузке системы.
WINXXXX.TMP: вирус, обнаруживаемый программами Panda как W32/Funlove.4099.Dr.

CIH.1106 - разновидность опасного вируса CIH; проникает в оперативную память зараженного компьютера и становится резидентом. На компьютерах с ОС Windows 98, Windows 95 и Millennium вирус ждет, пока не будут запущены исполняемые файлы, а затем внедряет в незаполненное пространство этих файлов свой вредоносный код. Таким образом, размер инфицированных файлов остается неизменным, и никаких подозрений о вирусе не возникает.

CIH.1106 может активироваться 2-го числа каждого месяца. Вирус перезаписывает таблицу размещения файлов (FAT) жесткого диска, а на компьютерах с чипсетом Intel 430TX удаляет содержимое памяти BIOS. После таких операций компьютеры едва ли способны работать и перезагружаться.

Помимо названных вредоносных кодов, стоит обратить внимание на появление следующих троянов:

Ske (Trj/Ske), резидент оперативной памяти, клавиатурный шпион, перехватывает нажатия всех клавиш на клавиатуре и записывает эту информацию в log-файл вместе с именами приложений, запускаемых на зараженном компьютере.
Balleig (Trj/Balleig), опасен только для компьютеров с операционными системами Windows XP, 2000 и NT. Выводит на экран три окна и удаляет все файлы в директории Windows.
RegTask (Bck/RegTask), открывает удаленный доступ к зараженному компьютеру. Троян открывает порт 113, обычно используемый почтовыми серверами и программами для чатов. Таким образом, злоумышленник получает доступ к компьютеру жертвы и может провести на нем удаленную атаку.

Internet-утка "JDBGMGR" - это ложное предупреждение о вирусе. JDBGMGR пытается убедить пользователей в том, что на их компьютерах поселился вирус, удалить который можно, только удалив системный файл JDBGMGR.EXE. В действительности вредоносного кода с таким именем не существует, поэтому советуем игнорировать все письма, связанные с этим "вирусом". Файл JDBGMGR.EXE принадлежит операционной системе Windows, и его ни в коем случае не следует удалять.

Дополнительную информацию об этих и других вирусах и Internet-утках можно получить в Вирусной Энциклопедии Panda Software.

[ Поиск ] [ Архив ]