Nyxem - Вирус из электронной почты может уничтожить все документы

Вирус из электронной почты может уничтожить все документы

Почтовый червь удаляет файлы на зараженных компьютерах каждое 3-е число месяца

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о серьезной опасности, которую представляет недавно обнаруженный почтовый червь . Вредоносная программа распространяется через интернет в виде вложений в зараженные электронные письма, а также файлов, расположенных на открытых сетевых ресурсах. По данным специалистов, на данный момент количество зараженных компьютеров равно нескольким сотням тысяч. Их число продолжает расти, что заставляет говорить о серьезности масштаба распространения данной вредоносной программы.

Это делает особенно опасной характерную особенность "Nyxem.e", состоящую в уничтожении хранимой на зараженном компьютере информации каждого третьего числа месяца. Таким образом, 3 февраля 2006 года может стать последним днем для сотен тысяч ПК, пораженных "Nyxem.e".

Судя по присутствию червя в мировом интернет-трафике и все возрастающему потоку жалоб от пользователей, заражению "Nyxem.e" подверглось значительное число компьютеров по всему миру, количество которых может оцениваться в сотни тысяч. Это означает только одно - 3 февраля может стать Судным днем для многих беспечных пользователей, которые могут потерять ценные данные в случае, если их компьютеры подверглись заражению "Nyxem.e". Поэтому я обращаюсь ко всем пользователям компьютеров с просьбой принять простые меры для предотвращения заражения данным червем: не запускать объекты, вложенные в любые письма, получение которых не ожидалось, обновить антивирусные базы установленной на ПК антивирусной защиты и затем провести полную проверку компьютера", - сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

Источник: Информационная служба "Лаборатории Касперского"
Оригинал-[URL="http://www.rambler.ru/db/news/msg.html?s=5&mid=7262781"]http://www.rambler.ru/db/news/msg.html?s=5&mid=7262781[/URL]

P.S.
Я думаю нужно начать готовится.Ктонибудь знает где этот зверь сидит?Очень хотелосьб бы проверить что его нет,параноя:(

Странно. Сотни тысяч компьютеров с Nyxem.e, а заваливают меня в основном NetSky.q и NetSky.aa. Четыре раза вариации Feebs приходили. А Nyxem ни в каком виде не попадался.

У меня вторую неделю MyDoom и Graz во всех вариациях валяться, пару раз NetSkay был, а Nyxem тоже ни разу не пробегал :)

Корпорация Microsoft опубликовала бюллетень, в котором предупреждает пользователей своих операционных систем Windows о высокой опасности червя Nyxem.e.

Вредоносная программа Email-Worm.Win32.Nyxem.e (другие названия Win32/Mywife.E@mm, WORM_GREW.A) распространяется по электронной почте в виде вложений в письма с различными заголовками и текстом. Заражение происходит только в том случае, если пользователь самостоятельно запускает инфицированный файл. После активации вирус создает на жёстком диске ПК несколько своих копий, регистрируется в ключе автозапуска реестра Windows и затем рассылает себя по всем найденным на машине адресам электронной почты.

Основная же опасность червя заключается в том, что 3 числа каждого месяца он уничтожает информацию на винчестере, перезаписывая файлы с расширениями doc, mdb, pdf, ppt, rar, xls, zip и другие. Содержимое этих файлов заменяется совершенно бесполезной текстовой строкой: DATA Error [47 0F 94 93 F4 F5]. По данным "Лаборатории Касперского", на данный момент вирусом инфицированы несколько сотен тысяч компьютеров.

Корпорация Microsoft призывает пользователей Windows как можно скорее обновить антивирусные базы данных или обратиться за помощью к своим поставщикам антивирусного ПО. Кроме того, проверить компьютер на наличие Nyxem.e можно через службу Windows Live Safety Center Beta.

Компания Trend Micro отмечает, что Nyxem.e представляет глобальную угрозу, потому что уже успел заразить компьютеры более чем в 150 странах. В том, что многие пользователи лишатся своих документов, сомневаться не приходится. Однако у потенциальных жертв еще есть время, чтобы очистить машины от заразы - первый удар Nyxem.e нанесет в пятницу, 3 февраля.
Оригинал-[URL="http://www.compulenta.ru/news/249869/"]http://www.compulenta.ru/news/249869/[/URL]

Интересно, а в диспетчере процессов его можно отловить или его там не видно? У нас сегодня на работе админ разослал инструкцию с именами процессов червя для того чтобы проверить свои компьюторы просмотром диспетчера задач.Довольно "оригинальная" проверка для чайников в оффисе, но мне думается, что процессы червяк должен прятать. Есть ли какие либо мнения?

[quote=SDA]Интересно, а в диспетчере процессов его можно отловить или его там не видно? У нас сегодня на работе админ разослал инструкцию с именами процессов червя для того чтобы проверить свои компьюторы просмотром диспетчера задач.Довольно "оригинальная" проверка для чайников в оффисе, но мне думается, что процессы червяк должен прятать. Есть ли какие либо мнения?[/quote]

[QUOTE][/QUOTE][QUOTE][B]Рекомендации по удалению[/B] [LIST=1][*]Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).[*]В диспетчере задач найдите процесс с одним из следующих имен: New WinZip File.exe
rundll16.exe
scanregw.exe
Update.exe
Winzip.exe
WINZIP_TMP.EXE
WinZip Quick Pick.exe Если обнаружите такой процесс — завершите его.[/LIST][/QUOTE]

[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=109064#doc2[/url]

Утилита для удаления Email-Worm.Win32.Nyxem.e (также известен как: Kama Sutra, Blackmal, MyWife, HLLM.Generic.282, WORM_BLUEWORM) и его разновидностей :
[url]http://www.bitdefender.com/site/Download/downloadRemovalTool/521/[/url]
[url]http://securityresponse.symantec.com/avcenter/FixBmalE.exe[/url]
[url]http://www.gdata.pl/kmdownload/download.php?op=getit&id=61[/url]

Подробнее:
[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=57431[/url]
[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=109064[/url]

02 февраля 2006 года, 19:16
Текст: Наталья Дембинская
Масштабы завтрашней атаки почтового червя Email-Worm.Win32.Nyxem.e (он же MyWife и Kama-Sutra), которые многие ждут с ужасом, вовсе не кажутся экспертам катастрофическим. Несколько дней назад от вендоры антивирусного ПО, в том числе "Лаборатория Касперского" предупредили пользователей о серьезной угрозе, исхродящей от червя Email-Worm.Win32.Nyxem.e который активизируется 3 февраля. Червь отличается деструктивной направленностью: третьего числа каждого месяца червь портит файлы с расширениями doc, mdb, pdf, ppt, rar, xls, zip, заменя информацию в них текстовой строкой DATA Error [47 0F 94 93 F4 F5].

Как сообщаютспециалисты Dr. Web присутствие в почтовом трафике червя Win32.HLLM.Generic.391 (так Nyxem.e называется по классификации "Доктор Веб") сейчас действительно относительно высоко. Впрочем, в компании уверяют, что степень распространения этого червя в интернете не столь масштабна, более того за последние дни его присутствие уменьшилось, что говорит о том, что эпидемия - даже если о ней и можно было говорить в первые два дня - явно идет на убыль. "К тому же автор червя Nyxem не отличается большой изобретательностью, и возможности червя по распространению гораздо слабее, чем , например, у MyDoom или Netsky" - рассказывают в компании.

На общем вирусном фоне современного интернета- эта вирусная атака событие весьма заурядное, отмечают в Dr.Web. Тем не менее эксперты компании предупреждают, что своими действиями червь действительно серьезно навредит пользователям, не позаботившимся об антивирусной защите своих систем заранее.

Антивирусные эксперты компании PandA Software также не склонны нагнетать страсти ."Несмотря на то, что Tearec.A (название Nyxem.e, принятое в Panda) действительно проник на тысячи компьютеров, что подтверждается счетчиком, это не означает, что он дожидается 3 февраля на всех этих компьютерах, чтобы начать уничтожать документы пользователя" – говорят в Panda. Во многих случаях, компьютер, зарегистрированный в счетчике как зараженный, пользователь мог уже вылечить систему.

Наконец, компания "Диалог-наука" распространила пресс-релиз фирмы Sophos, в котором также говорится о малой вероятности массового уничтожения информации. Более того, в Sophos выражают опасение, что шум вокруг Nyxem.e только отвлекает пользователей от других вирусов, возможно, более опасных.

[URL="http://security.compulenta.ru/250192/"]compulenta.ru[/URL]

[QUOTE=anton_dr]02 февраля 2006 года, 19:16
Текст: Наталья Дембинская
Масштабы завтрашней атаки почтового червя Email-Worm.Win32.Nyxem.e (он же MyWife и Kama-Sutra), которые многие ждут с ужасом, вовсе не кажутся экспертам катастрофическим. Несколько дней назад от вендоры антивирусного ПО, в том числе "Лаборатория Касперского" предупредили пользователей о серьезной угрозе, исхродящей от червя Email-Worm.Win32.Nyxem.e который активизируется 3 февраля. Червь отличается деструктивной направленностью: третьего числа каждого месяца червь портит файлы с расширениями doc, mdb, pdf, ppt, rar, xls, zip, заменя информацию в них текстовой строкой DATA Error [47 0F 94 93 F4 F5].

Как сообщаютспециалисты Dr. Web присутствие в почтовом трафике червя Win32.HLLM.Generic.391 (так Nyxem.e называется по классификации "Доктор Веб") сейчас действительно относительно высоко. Впрочем, в компании уверяют, что степень распространения этого червя в интернете не столь масштабна, более того за последние дни его присутствие уменьшилось, что говорит о том, что эпидемия - даже если о ней и можно было говорить в первые два дня - явно идет на убыль. "К тому же автор червя Nyxem не отличается большой изобретательностью, и возможности червя по распространению гораздо слабее, чем , например, у MyDoom или Netsky" - рассказывают в компании.

На общем вирусном фоне современного интернета- эта вирусная атака событие весьма заурядное, отмечают в Dr.Web. Тем не менее эксперты компании предупреждают, что своими действиями червь действительно серьезно навредит пользователям, не позаботившимся об антивирусной защите своих систем заранее.

Антивирусные эксперты компании PandA Software также не склонны нагнетать страсти ."Несмотря на то, что Tearec.A (название Nyxem.e, принятое в Panda) действительно проник на тысячи компьютеров, что подтверждается счетчиком, это не означает, что он дожидается 3 февраля на всех этих компьютерах, чтобы начать уничтожать документы пользователя" – говорят в Panda. Во многих случаях, компьютер, зарегистрированный в счетчике как зараженный, пользователь мог уже вылечить систему.

Наконец, компания "Диалог-наука" распространила пресс-релиз фирмы Sophos, в котором также говорится о малой вероятности массового уничтожения информации. Более того, в Sophos выражают опасение, что шум вокруг Nyxem.e только отвлекает пользователей от других вирусов, возможно, более опасных.

[URL="http://security.compulenta.ru/250192/"]compulenta.ru[/URL][/QUOTE]



Ну Касперский, как известно, новую версию выпускает, вот и пришло время пЕара:)

03 февраля 2006 года, 19:50
Текст: Иван Карташев
Прогнозы относительно массового уничтожения данных вирусом Nyxem.e (он же MyWife, Kama-Sutra и Blackmal) похоже, не оправдываются. Напомним, что вирус запрограммирован так, чтобы третьего числа каждого месяца, через полчаса после загрузки компьютера уничтожать информацию на жестком диске, перезаписывая файлы с расширениями doc, mdb, pdf, ppt, rar, xls, zip и другие. Содержимое этих файлов заменяется совершенно бесполезной текстовой строкой: DATA Error [47 0F 94 93 F4 F5].

Сообщения о высокой опасности червя распространили все антивирусные компании и даже корпорация Microsoft, опубликовавшая специальный бюллетень безопасности. Однако в оценке масштабов деструктивного действия антивирусные эксперты разошлись во мнениях. Если в "Лаборатории Касперского" говорили о "судном дне" для сотен тысяч компьютеров, в Dr.Web и Panda Software рекомендовали не нагнетать страсти вокруг вируса, масштаб распространения которого сильно уступает рекордсменам вроде Netsky или MyDoom.

Есть все основания полагать, что именно спокойная точка зрения оказалось правильной. Российские антивирусные компании на момент подготовки данного материала еще не представили данных о количестве пострадавших пользователей. Однако в блоге компании F-Secure отмечается, что число пострадавших машин составляет всего несколько тысяч вместо прогнозировавшегося пессимистами полумиллиона. Основная часть пострадавших ПК - это домашние компьютеры европейских пользователей.

Однако окончательно ситуация прояснится лишь к началу будущей недели. Из-за разницы во времени еще нет данным по США и другим странам Северной и Южной Америки. Да и в Европе дела могут оказаться не так хороши. Например, итальянская газета La Repubblica сообщает, что муниципалитет Милана принял решение об отключении своей компьютерной сети из-за заражения Nyxem.e примерно 10000 персональных компьютеров и серверов.

[URL="http://security.compulenta.ru/250464/"]compulenta.ru[/URL]

Несколько дней назад специалисты в области разработки антивирусного программного обеспечения предрекали, что 3 февраля станет "судным днем" для тысяч беспечных компьютерных пользователей. Именно в этот день новый вирус Nyxem.e должен был начать удалять на зараженных компьютерах все файлы, созданные в Word, Excel, Acrobat и других распространенных приложениях. Однако реальность оказалась куда менее драматичной, нежели прогнозы.

О появлении нового компьютерного вируса в начале недели объявили ведущие разработчики антивирусного программного обеспечения. В частности, "Лаборатория Касперского" сообщила об обнаружении почтового червя Email-Worm.Win32.Nyxem.e, который распространяется через интернет в виде вложений в зараженные электронные письма, а также файлов, расположенных на открытых сетевых ресурсах.

В разных источниках вирус фигурировал под разными названиями: Tearec.A, Kama Sutra, Grew, BlackMail, MyWife и CME-4. Основную опасность для пользователей представляла одна характерная особенность "червя" - вредоносная программа должна была каждого третьего числа месяца уничтожать на зараженном компьютере все файлы распространенных форматов.

Специалисты "Лаборатории Касперского" на сайте компании следующим образом описывали принцип работы вируса: "Где-то внутри 100КБ тела Nyxem.e спрятан микроскопический блок размером в 32 байта. Третьего числа каждого месяца ровно через полчаса после запуска зараженной машины Nyxem.e пользуется этим блоком, чтобы полностью уничтожить на ваших жестких дисках содержимое файлов с расширениями DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD и DMP". При этом особо подчеркивалось, что восстановить утраченную информацию будет практически невозможно. А руководитель антивирусных исследований компании Евгений Касперский даже предположил, что 3 февраля станет "судным днем" для многих "беспечных пользователей, которые могут потерять ценные данные в случае, если их компьютеры подверглись заражению Nyxem.e".

Впрочем, это мнение разделили далеко не все. Например, еще один разработчик антивирусов - компания "Доктор Веб" - назвала "широко разрекламированную "вирусную атаку" 3 февраля" событием "весьма заурядным на общем вирусном фоне современного интернета". "Говорить о каких-либо ужасающих масштабах распространения этого почтового червя либо о нарастающем присутствии его в интернете серьезных оснований нет. Более того, его присутствие за последние дни даже уменьшилось, что говорит о том, что эпидемия - даже если о ней и можно было говорить в первые два дня - явно идет на убыль", - сообщалось на сайте компании.

Правда как всегда оказалась где-то посередине. Как сообщает "Газета.Ru", сегодня представители компаний, занимающихся разработкой антивирусных программ, объявили, что к 15.00 мск от вируса Nyxem.e пострадали всего несколько тысяч компьютеров в континентальной Европе. В компании MessageLabs, которая занимается фильтрацией интернет-трафика, оценили в 20 тыс. количество пораженных вирусом Nyxem-E компьютеров. За все время, прошедшее с 16 января (именно тогда был обнаружен вирус), MessageLabs остановила рассылку около 4 млн копий BlackWorm с 200 тыс. разных IP-адресов.

На другом конце Земли, на родине "Камасутры" (одно из названий "червя") - Индии, пораженных вирусом компьютеров оказалось в несколько раз больше. Там, по информации РИА "Новости", под удар попало около 80 тысяч компьютерных систем. Оценив вирус как "не слишком опасный", индийские программисты вместе с тем посетовали, что название древнего и почитаемого в Индии трактата о любви используется в негативном контексте и в сочетании со словом "вирус".

Как сообщает Lenta.ru со ссылкой на специализирующуюся в области компьютерной безопасности финскую компанию F-Secure Corp., наибольшее распространение вирус Kama Sutra получил в таких странах как Перу, Индия, Турция и Италия, однако ощутимого ущерба не нанес.
Оригинал-[URL="http://www.smi.ru/06/02/03/4215098.html"]http://www.smi.ru/06/02/03/4215098.html[/URL]

08 февраля 2006 года, 14:08
Текст: Наталья Дембинская
Вопреки предупреждениям "Лаборатории Касперского" 3 февраля эпидемии вируса Nyxem.e не состоялось. Надо отметить, что до ожидаемой даты "мощнейшей вирусной атаки" другие российские вендоры антивирусного ПО проявляли единодушное спокойствие, заявляя, что не стоит нагнетать страсти вокруг этого вируса. Третье февраля миновало, и в недельном отчёте о вирусах и вторжениях, подготовленным Panda Software "страшному" Tearec.A (по класссификации Panda) уделяется более чем скромное внимание. Хотя окончательные отчёты ещё не получены, специалисты Panda с уверенностью говорят о том, что червь причинил существенно меньший ущерб, чем предсказывал ряд источников.

В Dr.Web и вовсе не стали готовить никаких специальных данных по активности этого вируса, отметив лишь, что она была досточно низкой. По мнению специалистов компании, ажиотаж вокруг 3 февраля и этого вируса был искусственно раздут вендором антивирусного ПО с целью повышения интереса к своим продуктам. "Этот вендор сообщил о появлении червя 31 января, в то время как нами он был обнаружен 27 января. Он расшифровывался нашим антивирусом, поэтому совершенно очевидно не представлял никакой угрозы пользователям с установленным антивирусным ПО," - зявили представители Dr.Web.

6 февраля в блоге аналитиков "Лаборатории Касперского" появилось сообщение о том, что компания решила изменить статус вируса Nyxem.e с "красного" (высокая степень опасности) на "зелёный". Как признали эксперты, было зафиксировано достаточно небольшое число заражённых машин. Поскольку вирус активизируется 3-го числа каждого месяца, то сейчас прямой угрозы не существует, отмечается в блоге аналитиков "Лаборатории".

[URL="http://security.compulenta.ru/251000/"]compulenta.ru[/URL]