ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
Компания Network Associates предупреждает о появлении нового "трояна", распространяемого от лица Microsoft
ACT Group
|
|
20-09-1999 |
17 сентября 1999 года служба антивирусного реагирования AVERT корпорации Network Associates (www.nai.com) сообщила об обнаружении новой враждебной программы Count2K, действующей по принципу т.н. «троянского коня». Особую опасность представляет то, что программа распространяется по электронной почте от лица службы технической поддержки корпорации Microsoft.
✐ место для Вашей рекламы
Защита от нового "трояна" доступна всем пользователям антивирусных продуктов Network Associates версии 4.0.25 и выше.
Соответствующее обновление антивирусных продуктов Network Associates доступно через Internet (www.nai.com и www.nai.ru). Применение предыдущих версий антивирусов McAfee/Network Associates и Dr. Solomon не обеспечивает защиты от нового «трояна». Характеристики «трояна» «Троян» распространяется в файле с названием Y2KCOUNT.EXE" длиной 124885 байт, прикрепленному к сообщению электронной почты: From: support@microsoft.com Sender: support@microsoft.com Received: from Microsoft (stara65.pip.digsys.bg [193.68.4.65]) Subject: Microsoft Announcement Date: Wed, 15 Sep 1999 00:49:57 +0200 To All Microsoft Users, We are excited to announce Microsoft Year 2000 Counter.
Start the countdown NOW. Let us all get in the 21 Century. Let us lead the way to the future and we will get YOU there FASTER and SAFER.
Thank you, Microsoft Corporation Внутри файла содержится саморазворачивающийся архив, внутри которого находятся файлы Project1.exe, file001.dat, file002.dat, file003.dat, file004.dat. При обращении к архиву на экране появляется сообщение «Password protection error or invalid CRC32!» и начинается выполнение файла Project1.exe, который копирует каждый из 4 .dat файлов, содержащихся в архиве, в каталог WINDOWS\SYSTEM под именами Proclib.exe, Proclib.dll, Proclib16.dll, ntsvsrv.dll, Nlhvld.dll.
Затем в секцию [boot] файла SYSTEM.INI в строку 'drivers=' записывается имя "ntsvsrv.dll", что обеспечивает запуск «трояна» при следующей перезагрузке системы. В момент перезагрузки файл WSOCK32.DLL в каталоге WINDOWS\SYSTEM переименовывается в Nlhvld.dll, затем файл Proclib16.dll переписывается в WSOCK32.DLL. Эта операция позволяет «трояну» подключаться к Internet-соединению и запускать файл proclib.exe при каждом сеансе работы с Internet.
Цель работы нового «трояна» - перехват имени пользователя и пароля и пересылка этих данных автору «трояна». Как уничтожить «трояна» 1. Отредактируйте строку drivers= в секции [boot] файла SYSTEM.INI и уничтожьте имя файла ntsvsrv.dll. 2. Перезапустите систему и НЕ НАЧИНАЙТЕ РАБОТАТЬ С INTERNET. Таком образом WSOCK32.DLL не будет загружен в память и может быть успешно переименован. 3. Скопируйте файл WINDOWS\SYSTEM\Nlhvld.dll в WINDOWS\SYSTEM\WSOCK32.DLL. Если вы получите запрос на подтверждение операции, отвечайте YES. Если вы получите сообщение об ошибке, поскольку файл в использовании - значит WSOCK32.DLL уже загружен.
Закройте все сетевые и Internet-приложения (или перегрузитесь с чистой дискеты) и повторите операцию.. 4. Уничтожьте файлы Proclib.exe, Proclib.dll, Proclib16.dll, ntsvsrv.dll, Nlhvld.dll из каталога WINDOWS\SYSTEM. Как Привилегированный партнер ("Preferred partner") корпорации Network Associates, крупнейшего поставщика решений в области комплексной защиты данных в корпоративных сетях, компания ACT Group предлагает своим клиентам полный набор продуктов, обеспечивающих защиту информации в корпоративных сетях на основе передовой архитектуры Active Security: - Sniffer Total Network Visibility (анализ производительности обработки данных и оптимизация работы сети); - McAfee Total Virus Defense (полная система антивирусной защиты корпоративной сети, построенная на базе объединения широко известных антивирусов McAfee и Dr.
Solomon). - PGP Total Network Security (обеспечение безопасности данных в корпоративных сетях, включая контроль попыток несанкционированного доступа и оценку уязвимости); - Magic Total ServiceDesk (корпоративные системы технической поддержки, администрирование гетерогенных сетей, решение проблемы 2000 года); Дополнительную информацию о продуктах Network Associates и демонстрационные версии программного обеспечения можно получить по адресам www.act.ru, www.nai.ru, knowledge.nai.com, www.drsolomon.com Послепродажный сервис и обучение специалистов заказчика обеспечиваются сертифицированными системными инженерами Технического центра ACT Group.
Телефон ACT Group: (095) 232 5688, факс 334 4660, e-mail: sales@act.ru.
Опубликовано: 20 сентября 1999 г.
Ключевые слова: нет
Извините, комментариев пока нет
|