РЕГИСТРАЦИЯ  |  НОВОСТИ  |  ОБРАТНАЯ СВЯЗЬКАК ПИСАТЬ ПРЕСС РЕЛИЗ?  |  ПРИМЕР ПРЕСС-РЕЛИЗА
“...Скромность - самый верный путь к забвению!”
     
Добавить пресс-релиз

19 мая 2000 года появилось 7-е внешнее дополнение к вирусной базе антивирусной программы DrWeb v4.17

ДиалогНаука
      22-05-2000
 

Уважаемые пользователи антивирусного комплекта ЗАО "ДиалогНаука"- ! 19 мая 2000 года появилось 7-е внешнее дополнение к вирусной базе антивирусной программы DrWeb v4.17, содержащее 85 новых вирусных записей. Вместе с дополнением поставляется список вирусов, определяемых этим дополнением. Само дополнение см. в присоединенном файле.

✐  место для Вашей рекламы

Среди новых вирусов - еще один опасный скрипт-вирус VBS.NewLove, описание которого приводится ниже.

Данное письмо было послано Вам с нашего сервера рассылки (list-server) как подписчику на рассылку информации о продуктах семейства DrWeb. Если в дальнейшем Вы не хотите получать такую информацию, то вы можете отказаться от подписки, послав письмо со строкой: leave drweb (в теле письма, а не в поле Subject)- по адресу сервера: listserver@dials.ccas.ru Оформить подписку с получением на другой адрес можно, послав с него письмо со строкой: join drweb Более полную информацию о возможностях нашего сервера рассылки Вы можете заказать, послав серверу письмо со строкой help.

Информационная служба ЗАО "ДиалогHаука" E-mail: Antivir@DialogNauka.ru WWW: http://www.DialogNauka.ru Тел. (095)137-0150, 938-2970 ========== VBS.NewLove Очень опасный вирус-червь. Написан на Visual Basic Script. Распространяется в электронных письмах и при поражении компьютера рассылает свои копии по всем адресам, находящимся в адресной книге почтовой системы Microsoft Outlook. Тело вируса находится в электронном письме в качестве VBS-вложения.

При попытке его открытия (запуске) вирус генерирует новое имя VBS-файла для размножения. Если в системном списке недавно использованных (recent) файлов существуют некоторые записи, то вирус случайным образом выбирает одно из имен для своей новой копии. Если же этот список пуст, то используется имя длиной от 1 до 31 символа, созданное по случайному закону. После этого к имени файла добавляется расширение: выбирается одно из расширений из следующего списка: doc, xls, mdb, bmp, mp3, txt, jpg, gif, mov, url, htm.

И уже к одному из этихрасширений дополнительно добавляется "истинное" расширение VBS. После данных манипуляций со своим именем производится заражение локального компьютера. Вирус копирует свое тело в каталоги WINDOWS и WINDOWS\SYSTEM. При этом файлы копий получают имена, созданные по случайному закону, описанному выше. При этом расширение для данных файлов генерируется заново. Эти файлы прописываются в реестр для автоматического запуска (ключи HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run- и HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run- Services ).

Затем в каталог WINDOWS\SYSTEM копируется модифицированная копия вируса, предназначенная для рассылки по электронной почте. На следующем этапе вирус пытается разослать свою модифицированную копию по всем адресам MS Outlook. Для каждого адресата, записанного в адресной книге MS Outlook, создается пустое письмо. Заголовок письма начинается с "FW: ", далее вирус добавляет в заголовок имя файла без расширения VBS, то есть если было сгенерировано имя "document.doc.vbs", то в заголовке будет только "document.doc".

К письму присоединяется файл с модифицированной копией вируса. После того, как письмо создано, вирус делает попытку его отправить. После рассылки себя по электронной почте вирус переходит к своей "жестокой" для компьютера пользователя деструктивной фазе. С целью поиска файлов вирус сканирует все каталоги на всех доступных дисках. Для каждого найденного файла вирус создает новый файл с полным прежним именем и со "своим" добавленным расширением .VBS (например, FORMAT.com.VBS), копирует в этот файл свою копию и удаляет исходный файл.

Таким образом, все файлы, находившиеся на компьютере, за исключением некоторых системных и открытых файлов, уничтожаются. Пришел, отправил себя всем адресатам и "убил компьютер".

Особенности размножения Перед рассылкой своей копии по электронной почте вирус модифицирует свое тело. Он построчно читает свой файл, в котором содержится исходный код вируса. Если прочитанная строка целиком является комментарием языка Visual Basic (начинается с символа "'"), она вся записывается в новый файл. Если же эта строка является строкой Basic кода, то перед ней добавляется одна или более строк комментариев, содержащих случайный текст (мусор).

А также, перед всеми строками Basic текста вирус добавляет один или несколько пробелов. Таким образом, в процессе своего "путешествия" по компьютерам вирус непрерывно растет в размерах. К нам попал экземпляр вируса длиной около 100 килобайт. "В процессе испытаний" он легко превысил размер в 1 мегабайт.

Опубликовано: 22 мая 2000 г.

Ключевые слова: нет

 


 

Извините, комментариев пока нет