ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
ВНИМАНИЕ !!! Новый опасный вирус VBS.LoveLetter (или VBS.LoveYouWorm)
ДиалогНаука
|
|
10-05-2000 |
Это новое внеочередное дополнение вирусной базы для программы Doctor Web. Поместите его в каталог программы Doctor Web. После выхода очередного дополнения данное внеочередное дополнение следует удалить. Само новое дополнение см. в присоединенном файле. ----------------------------------------------------------------- -------- В четверг, 04 мая 2000 г.
✐ место для Вашей рекламы
, появилась новая вирусная программа-червь, быстро распространившаяся через Internet по всему миру. Первые обращения в службу технической поддержки ЗАО "ДиалогНаука" от российских пол- ьзователей были зафиксированы в 14 часов по московскому времени. Далее ситу- ация развивалась стремительно. Количество обращений (и количество пос- традавших) увеличивалось в геометрической прогрессии. После анализа полученных образцов вирусов в срочном порядке в тот же день было выпущено дополнение к вирусной базе программы Doctor Web. Это дополнение свободно доступно на с- ерверах ДиалогНауки.
Пользователям программы Doctor Web для Windows 95/98/NT дос- таточно нажать кнопку "Обновить через Internet" в основном окне программы, чтобы подключить это дополнение к вирусной базе установленного на их к- омпьютере Doctor Web.
Первоначально мы дали вирусу название VBS.LoveYouWorm, одна- ко впоследствии оно было изменено на общепринятое в настоящее время- VBS.LoveLetter.
Данный вирус распространяется с сообщениями электронной почты и по каналам IRC. Письмо с вирусом легко выделить. Тема письма - "ILOVEYOU", что сразу же бросается в глаза. В самом письме содержится текст "kindly check the attached LOVELETTER coming from me" и присоединенный файл с именем "LOVE-LETTER-FOR-YOU.TXT.vbs". Вирус срабатывает только в том случае, если пользователь откроет этот присоединенный файл.
Вирус рассылает себя по всем адресам, которые найдет в адресной книге почтовой программы MS Outlook инфицированного компьютера, а также записывает свои копии в файлы на жестком диске (необратимо затирая тем самым их оригинальное содержание). Жертвами вируса в частности являются картинки в формате JPEG, программы Java Script и Visual Basic Script и целый ряд других файлов. Также вирус "прячет" видео- и музыкальные файлы в формате MP2 и MP3.
Кроме этого, вирус совершает несколько действий по инсталляции себя в систему и по установке некоторых дополнительных вирусных модулей, которые сам перекачивает из Internet.
Все это говорит о том, что вирус VBS.LoveLetter - очень опасен! Кроме прямой порчи данных и нарушения целостности защиты операционной - системы, вирус рассылает большое количество сообщений - своих копий - что загружает компьютерные сети и серверы электронной почты. В ряде случаев ви- рус парализовал работу целых офисов.
Эпидемия этого вируса подтвердила, что следование простым правилам безопасности позволит Вам избежать опасности, которую представляют собой компьютерные вирусы и троянские программы. В частности, нужно очень осторожно относиться к файлам, полученным из неизвестных источни- ков. Информационная служба ЗАО "ДиалогНаука" http://www.DialogNauka.ru E-mail: Antivir@DialogNauka.ru ================================ Описание вируса "VBS.LoveLetter" Вирус VBS.LoveLetter представляет собой командный файл (скрипт), написанный на языке VBS (Visual Basic Script) и способный рассылать свои копии по электронной почте и через IRC. Основной канал распространения - электронная почта.
Вирус рассылает свои копии в виде сообщений электронной почты. Характерные признаки генерируемых вирусом писем следующие: - Поле темы письма (subject): "ILOVEYOU"; - Текст в теле письма: "kindly check the attached LOVELETTER coming from me"; - Присоединенный к письму файл: "LOVE-LETTER-FOR-YOU.TXT.vbs".
Вирус не может самостоятельно активизироваться при просмотре письма в почтовом клиенте, но ряд моментов провоцирует пользователя-получателя открыть присоединенный к письму файл, и, тем самым, активировать содержащийся там вирус. Тема письма "ILOVEYOU" уже привлекает внимание. Поскольку вирус рассылает себя по адресам, которые он находит в адресной книге инфицированного компьютера, в поле адреса отправителя письма зачастую оказывается адрес какого-нибудь хорошего знакомого. Кроме того, при стандартных настройках Windows (не показывать расширения для зарегистрированных типов файлов) расширение ".vbs" вирусного модуля может не отображаться почтовым клиентом, и вложенный в письмо вирусный VBS-скрипт будет показан просто как безобидный на первый взгляд "LOVE-LETTE- R-FOR-YOU.TXT".
При открытии этого присоединенного к письму файла вирус акт- ивируется. При этом он: 1) Создает свои копии в системном и основном каталоге Windows: - в системный каталог вирус записывает две копии под именами "MSKernel32.vbs" и "LOVE-LETTER-FOR-YOU.TXT.vbs", соответственно- ; - в основной каталог Windows - одну, под именем "Win32DLL.vbs". Кроме того, регистрируется автозапуск вируса при старте Windows:- - запуск "MSKernel32.vbs" прописывается в ключе реестра: - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run-\MSKernel32; - запуск Win32DLL.vbs прописывается в ключе реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run-Services\Win32DLL 2) Рассылает свои копии по электронной почте, используя _все_ почтовые адреса из местной адресной книги MS Outlook. Рассылка, разумеется, идет от имени пользователя данной системы. 3) Проверяет наличие в системном каталоге Windows некоего файла - WINFAT32.EXE и, в случае обнаружения такового, предпринимает ряд шагов для: - загрузки с некоторого адреса в Internet файла "WIN-BUGSFIX.EXE- "; - запуска этого файла "WIN-BUGSFIX.EXE". (Смысл этих действий пока не ясен, т.к. на данный момент нам не удалось обнаружить ни одного образца WIN-BUGSFIX.EXE. Во всяком случае все четыре заложенные в вирусе адреса Internet для его загрузки уже не суще- ствуют). 4) Вирус сканирует все доступные на компьютере-жертве диски и записывает свои копии во все файлы с расширениями ".jpg", ".jpeg", ".js", ".css", ".vbs", ".vbe", ".jse", ".wsh", ".sct" и ".hta". Оригинальное содержание таких файлов необратимо затирается вирусным кодом. Все такие файлы кроме того переименовываются, получая расширение ".vbs" (за исключением тех, которые имели расширение ".vbs" или ".vbe" изначально). Кроме этого, вирус ищет файлы с расширениями ".mp2" и ".mp3", но не затирает их, а создает файлы с такими же именами, но с расширениями ".vbs", записывает в эти файлы свой код, а оригинальным файлам ставит атрибут "hidden" (скрытый). 5) Вирус создает в системном каталоге Windows так называемый "дроппер" (инсталлятор вируса) в формате HTML под именем "LOVE-LETTER-FOR-- YOU.HTM" и затем пытается обнаружить установленный клиент для IRC (конкретно говоря - популярный пакет mIRC). В случае успеха вирус создает конфигурационный файл SCRIPT.INI, который настраивает mIRC на автоматическую рассылку "LOVE-LETTER-FOR-YOU.HTM" пользователям тех каналов IRC, к котор- ым попытается подключиться данная инфицированная система. Открытие - файла "LOVE-LETTER-FOR-YOU.HTM" в броузере приводит к установке копии - вирусного скрипта "MSKERNEL32.VBS" в систему. Михаил Колядко, руководитель службы технической поддержки ЗАО "ДиалогНаука" =========================================== Ladies and gentlemen! ATTENTION !!! New dangerous VBS.LoveLetter virus (or VBS.LoveYou- Worm) This is an extraordinary virus base add-on for Dr.Web program. Please place this add-on into the Dr.Web catalogue. After next ordinary virus base add-on released you should delete this extraordinary add-on. --------------------------------------------------------------------- This virus base add-on detects and deletes the virus VBS.LoveYou- Worm. May 4, 2000 this new virus worm strikes many computer systems all over the world. And now this worm extrimely fast spreads via Internet using e-mail and IRC. Virus e-mail message has the following attributes: Subject: "ILOVEYOU" Message body: "kindly check the attached LOVELETTER coming from me" The attached file "LOVE-LETTER-FOR-YOU.TXT.vbs" is the virus - itself DO NOT ACTIVATE THE "LOVE-LETTER-FOR-YOU.TXT.vbs" ATTACHMENT! Please look at the attachment file. Information Service, DialogueScience E-mail: Antivir@dials.ru WWW: http://www.dials.ru Tel. (+7-095)137-0150, 938-2970
Опубликовано: 10 мая 2000 г.
Ключевые слова: нет
Извините, комментариев пока нет
|