На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 1999-6-11 на главную / новости от 1999-6-11
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 11 июня 1999 г.

На счету у разрушительного червя тысячи жертв

worms Сочинителям вирусов удалось скомбинировать плодовитость червя Melissa с разрушительной силой «Чернобыля».

В результате получился вредоносный код Worm.ExploreZip, распространяющийся по совместимым с MAPI (Messaging Application Programming Interface) системам электронной почты, таким как Microsoft Exchange, и сметающий все с жесткого диска. По словам представителей компании Network Associates, это первая успешная попытка совместить возможности вирусов Chernobyl и Melissa. Worm.ExploreZip классифицируется как интернет-червь, так как автоматически распространяется по Интернету посредством e-mail-сообщений.

Его родина — Израиль
Червь пока не причинил ужасных разрушений. По данным Network Associates, пострадали лишь несколько тысяч ПК в США, Германии и Франции. Местом рождения вируса считают Израиль. В США заражению подвергся ряд компьютерных фирм, включая Microsoft. Системные администраторы General Electric стараются изолировать червя, отключив систему электронной почты компании. Он распространяется не так быстро, как Melissa, потому что не просматривает весь каталог e-mail пользователя.

Один пользователь, не пожелавший назвать свое имя, получил червя через письмо от корреспондента из Microsoft и лишился большинства файлов на жестком диске. «Он коварнее, чем Melissa, так как приходит в ответ на реальные сообщения», — рассказывает этот пользователь.

Представители Антивирусного центра Symantec, получившего первые сообщения о вирусе в прошлое воскресенье, сообщили, что червь скрывается в файле с именем zipped_files.exe, прилагаемом к письмам, замаскированным под реальную корреспонденцию.

Как он работает
Пользователь, отправивший письмо на зараженный компьютер, получит ответ с вложенным в него вирусом. Заголовок ответного сообщения остается неизменным, а текст заменяется на следующий:

"Hi (имя получателя)!
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
Bye"

После исполнения файла компьютер обычно отображает фиктивное сообщение об ошибке. Затем червь копирует себя в каталог C:\WINDOWS\SYSTEM под именем Explore.exe и изменяет содержимое файла WIN.INI таким образом, чтобы программа выполнялась каждый раз при загрузке Windows. При этом червь осуществляет поиск по дисководам от C: до Z:, выбирая подлежащие уничтожению файлы по расширениям имен (.h, .c, .cpp, .asm, .doc, .xls, .ppt и др.): данные этих файлов удаляются, а длина устанавливается в 0.

Чтобы избавиться от червя, Symantec рекомендует исключить строку run=C:\WINDOWS\SYSTEM\Explore.exe из файла WIN.INI и удалить файл C:\WINDOWS\SYSTEM\EXPLORE.EXE. Если этот файл исполняется, то машину предварительно следует перезагрузить.

Symantec и Network Associates уже поместили на свои веб-сайты средства для борьбы с новым червем.

 

← май 1999 7  8  9  10  11  12  14  15  16 июль 1999 →
Реклама!
 

 

Место для Вашей рекламы!