Эффективный Интернет.

Выпуск 5.

Здравствуйте!

На этой неделе получил огромное количество писем от различных почтовых роботов, фильтрующих вирусы, типа такого

Съобщение съдържащо вирус е изпратено от вашия e-mail адрес. Проверете
вашия компютър за вируси!

A message containing a virus was sent from your e-mail address. It is
very likely this machine (or any other you use for e-mail) is infected!
CHECK IT AS SOON AS POSSIBLE WITH AN ANTIVIRUS PROGRAM!


Received: (qmail 26346 invoked from network); 23 Aug 2003 09:32:56 -0000
Received: from ns.analitic.ru (HELO GALA) (212.41.0.49)
by www.abv.bg with SMTP; 23 Aug 2003 09:32:56 -0000
From: <zork@pochtamt.ru>
To: <new_div@abv.bg>
Subject: Re: Your application
Date: Sat, 23 Aug 2003 17:35:39 +0800
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="_NextPart_000_C822B29F"

Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

Content-Type: application/octet-stream;
name="document_9446.pif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="document_9446.pif"

_NextPart_000_C822B29F--

Все это - результат новой вирусной инфекции.

Результат работы червяка I-Worm.Sobig.f

Вот что пишет о нем viruslist.com

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, и по сетевым ресурсам.

Червь является приложением Windows (PE EXE-файл), написан на Microsoft Visual C++, упакован утилитой TeLock, размер упакованного файла около 70КB, распакованного - около 100КB.

В письмах червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). При запуске зараженного файла червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция

При инсталляции червь копирует себя с именем winppr32.exe в каталог Windows и регистрирует этот файл в ключах автозапуска системного реестра:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  TrayX = %WindowsDir%\winppr32.exe /sinc

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  TrayX = %WindowsDir%\winppr32.exe /sinc

Рассылка писем

Червь ищет файлы *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP во всех каталогах на доступных локальных дисках, выделяет из них строки, являющиеся адресами электронной почты, и рассылает по этим адресами заражённые письма.

Поле "От:" подделывается (в него вставляется какой-либо ещё электронный адрес, обнаруженный на зараженном компьютере) или содержит адрес admin@internet.com.

Возможны следующие варианты Заголовка писем, Текста и Имени вложения:

Заголовок:

Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!

Текст:

See the attached file for details
Please see the attached file for details.

Вложение:

movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif

Червь также создаёт файл winstt32.dat в каталоге Windows и записывает в него обнаруженные адреса электронной почты, по которым ведется рассылка заражённых писем.

Распространение по сети

Червь перебирает все доступные сетевые ресурсы (другие компьютеры в сети) и копирует себя в них со случайными именами и расширением EXE.

Загрузка дополнительных файлов

Червь посылает UDP-пакеты по определённым IP-адресам на порт 8998 и в ответ ждёт команд "хозяина". Данные команды содержат в себе адреса Web-сайтов, с которых червь затем скачивает файлы и запускает их на выполнение. Таким образом червь в состоянии скачивать и запускать свои более "свежие" версии или устанавливать в систему дополнительные компоненты (троянские программы).

Прочее

Червь полностью работоспособен только в том случае, если текущая дата на зараженном компьютере меньше 10 сентября 2003 года.

Подвожу итог:

Никогда не открывайте вложения в письмах.  Откажитесь от использования почтовика Outlook, пользуйтесь нормальным майлером, рекомендую  THE BAT!

Уникальные компакт - диски. Школа Своего Дела. Партнерская программа. - мои рекомендации!

До скорой встречи!

Валерий zork@pochtamt.ru