Поделиться
Вирусы прошлой недели: червь, 3 "трояна" и старая "утка"
Антивирусная компания Panda Software считает, что новости последней недели ноября были, в основном, связаны с червем Winevar (W32/Winevar), вирусом CIH.1106 (W32/CIH.1106), тремя троянами и уже известной интернет-уткой JDBGMGR.
Вредоносный код Winevar представляет серьезную опасность, поскольку он удаляет содержимое всех папок зараженного компьютера, за исключением программ, находящихся в активном состоянии. Winevar рассылает себя по электронной почте в письме с произвольной темой и тремя вложенными файлами каждому адресату, найденному в HTM- и DBX-файлах зараженного компьютера. Он активируется при запуске любого из трех вложенных файлов и способен автоматически запускаться при открытии зараженного письма в окне быстрого просмотра Outlook (червь использует дыру Exploit/iFrame в браузере Microsoft Internet Explorer). Червь вносит несколько записей в реестр Windows и создает следующие файлы:
- WINXXXX.PIF. Копия червя, запускается каждый раз при загрузке системы.
- WINXXXX.TMP. Вирус, обнаруживаемый программами Panda как W32/Funlove.4099.Dr.
CIH.1106 - разновидность опасного вируса CIH; проникает в оперативную память зараженного компьютера и становится резидентом. На компьютерах с ОС Windows 98, Windows 95 и Millennium вирус ждет, пока не будут запущены исполняемые файлы, а затем внедряет в незаполненное пространство этих файлов свой вредоносный код. Таким образом, размер инфицированных файлов остается неизменным, и никаких подозрений о вирусе не возникает. CIH.1106 может активироваться 2-го числа каждого месяца. Вирус перезаписывает таблицу размещения файлов (FAT) жесткого диска, а на компьютерах с чипсетом Intel 430TX удаляет содержимое памяти BIOS. После таких операций компьютеры едва ли способны работать и перезагружаться.
Помимо названных вредоносных кодов, стоит обратить внимание на появление следующих троянов:
- Ske (Trj/Ske), резидент оперативной памяти, клавиатурный шпион, перехватывает нажатия всех клавиш на клавиатуре и записывает эту информацию в log-файл вместе с именами приложений, запускаемых на зараженном компьютере.
- Balleig (Trj/Balleig), опасен только для компьютеров с операционными системами Windows XP, 2000 и NT. Выводит на экран три окна и удаляет все файлы в директории Windows.
- RegTask (Bck/RegTask), открывает удаленный доступ к зараженному компьютеру. Троян открывает порт 113, обычно используемый почтовыми серверами и программами для чатов. Таким образом, злоумышленник получает доступ к компьютеру жертвы и может провести на нем удаленную атаку.
Интернет-утка JDBGMGR - это ложное предупреждение о вирусе. JDBGMGR пытается убедить пользователей в том, что на их компьютерах поселился вирус, удалить который можно, только удалив системный файл JDBGMGR.EXE. В действительности вредоносного кода с таким именем не существует, поэтому Panda Software советует игнорировать все письма, связанные с этим "вирусом". Файл JDBGMGR.EXE принадлежит операционной системе Windows, и его ни в коем случае не следует удалять.
Источник: Panda Software.
Короткая ссылка
