Показано с 1 по 1 из 1.

Nyxem.e: 3 февраля может стать Судным днем для сотен тысяч компьютеров

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708

    Lightbulb Nyxem.e: 3 февраля может стать Судным днем для сотен тысяч компьютеров

    Nyxem.e: 3 февраля может стать Судным днем для сотен тысяч компьютеров

    "Лаборатория Касперского", ведущий российский разработчик систем
    защиты от вирусов, хакерских атак и спама, сообщает о серьезной
    опасности, которую представляет недавно обнаруженный почтовый червь
    Email-Worm.Win32.Nyxem.e. Вредоносная программа распространяется через
    интернет в виде вложений в зараженные электронные письма, а также
    файлов, расположенных на открытых сетевых ресурсах. По данным
    специалистов, на данный момент количество зараженных компьютеров равно
    нескольким сотням тысяч. Их число продолжает расти, что заставляет
    говорить о серьезности масштаба распространения данной вредоносной
    программы.

    Это делает особенно опасной характерную особенность Nyxem.e,
    состоящую в уничтожении хранимой на зараженном компьютере информации
    каждого третьего числа месяца. Таким образом, 3 февраля 2006 года может
    стать последним днем для сотен тысяч ПК, пораженных Nyxem.e.

    Червь представляет собой исполняемый в среде Windows файл размером
    95 Кб, приложенный к письму с заголовком из заранее созданного автором
    списка, насчитывающего около 25 позиций. При этом текст письма и
    наименование приложенного файла также имеют около 20 разнообразных
    вариантов исполнения, что затрудняет оперативное обнаружение зараженного
    письма пользователем.

    Активизация червя производится пользователем при самостоятельном
    запуске зараженного файла. После запуска Nyxem.e принимает
    дополнительные меры для дезориентации пользователя: червь скрывает свою
    основную функциональность, создавая в системном каталоге Windows
    ZIP-архив с тем же именем, что и изначально запущенный файл, а затем
    открывая этот архив. При инсталляции червь копирует себя под несколькими
    именами в корневой и системный каталоги Windows, а также каталог
    автозагрузки, после чего регистрирует себя в ключе автозапуска
    системного реестра. Таким образом, при каждой следующей загрузке Windows
    автоматически запускает вредоносный процесс.

    Затем Nyxem.e сканирует файловую систему пораженного компьютера и
    рассылает себя по всем найденным адресам электронной почты. Для
    отправления зараженных писем червь пытается установить прямое соединение
    с SMTP-сервером. Параллельно червь копирует себя в доступные с
    пораженного компьютера сетевые ресурсы под именем Winzip_TMP.exe, таким
    образом увеличивая масштаб своего распространения за счет пользователей,
    загрузивших данный файл.

    При этом вредоносная программа прерывает процессы, осуществляющие
    персональную защиту компьютера, и предотвращает их повторный запуск,
    оставляя атакованный ПК незащищенным. Располагая полным контролем над
    зараженной машиной, Nyxem.e также способен самостоятельно загружать свои
    собственные обновления из интернета, изменяясь в зависимости от воли
    автора.

    В дополнение к указанным выше, особую опасность представляет также
    содержащаяся в Nyxem.e деструктивная функция. В соответствие с ней,
    червь регулярно сверяется с системной датой компьютера и в случае, если
    она соответствует третьему числу, через 30 минут после загрузки ПК
    уничтожает информацию в файлах наиболее распространенных форматов,
    замещая ее бессмысленным набором символов.

    "Судя по присутствию червя в мировом интернет-трафике и все
    возрастающему потоку жалоб от пользователей, заражению Nyxem.e
    подверглось значительное число компьютеров по всему миру, количество
    которых может оцениваться в сотни тысяч. Это означает только одно
    - 3 февраля может стать Судным днем для многих беспечных
    пользователей, которые могут потерять ценные данные в случае, если их
    компьютеры подверглись заражению Nyxem.e. Поэтому я обращаюсь ко всем
    пользователям компьютеров с просьбой принять простые меры для
    предотвращения заражения данным червем: не запускать объекты, вложенные
    в любые письма, получение которых не ожидалось, обновить антивирусные
    базы установленной на ПК антивирусной защиты и затем провести полную
    проверку компьютера", - сказал Евгений Касперский, руководитель
    антивирусных исследований "Лаборатории Касперского".

    Email-Worm.Win32.Nyxem.e
    Другие версии: .a

    Детектирование добавлено 17 янв 2006
    Описание опубликовано 20 янв 2006
    Поведение Email-Worm, почтовый червь

    Технические детали

    Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

    Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

    Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ.
    Инсталляция

    После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например:

    %System%\Sample.zip

    При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами:

    %System%\New WinZip File.exe
    %System%\scanregw.exe
    %System%\Update.exe
    %System%\Winzip.exe
    %System%\WINZIP_TMP.EXE
    %User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
    %Windir%\rundll16.exe

    После чего червь регистрирует себя в ключе автозапуска системного реестра:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "ScanRegistry"="scanregw.exe /scan"

    При каждой следующей загрузке Windows автоматически запустит файл червя.

    Также червь изменяет следующие ключи реестра:

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
    "WebView"="0"
    "ShowSuperHidden"="0"
    Распространение через email

    Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

    dbx
    eml
    htm
    imh
    mbx
    msf
    msg
    nws
    oft
    txt
    vc

    Червь также сканирует файлы, имеющие в своем имени следующие подстроки:

    content
    temporary

    При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
    Характеристики зараженных писем
    Тема письма:
    *Hot Movie*
    A Great Video
    Arab sex DSC-00465.jpg
    eBook.pdf
    Fuckin Kama Sutra pics
    Fw:
    Fw: DSC-00465.jpg
    Fw: Funny
    Fw: Picturs
    Fw: Real show
    Fw: SeX.mpg
    Fw: Sexy
    Fwd: Crazy illegal Sex!
    Fwd: image.jpg
    Fwd: Photo
    give me a kiss
    Miss Lebanon 2006
    My photos
    Part 1 of 6 Video clipe
    Photos
    Re:
    Re: Sex Video
    School girl fantasies gone bad
    The Best Videoclip Ever
    You Must View This Videoclipe!
    Текст письма:
    ----- forwarded message -----
    >> forwarded message
    forwarded message attached.
    Fuckin Kama Sutra pics
    hello, i send the file. Bye
    Hot XXX Yahoo Groups
    how are you? i send the details.
    i attached the details. Thank you.
    i just any one see my photos. It's Free
    Note: forwarded message attached. You Must View This Videoclip!
    Please see the file.
    Re: Sex Video
    ready to be FUCKED
    The Best Videoclip Ever
    VIDEOS! FREE! (US$ 0,00)
    What?
    Имя файла-вложения:
    007.pif
    04.pif
    3.92315089702606E02.UUE
    677.pif
    Attachments[001].B64
    document.pif
    DSC-00465.Pif
    DSC-00465.pIf
    eBook.PIF
    eBook.Uu
    image04.pif
    New_Document_file.pif
    Original Message.B64
    photo.pif
    School.pif
    SeX.mim
    WinZip.BHX
    Word_Document.hqx
    Word_Document.uu
    Распространение через открытые сетевые ресурсы

    Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe:

    ADMIN$
    C$
    Прочее

    Червь закрывает, выгружает из системы, удаляет ветки реестра и исполняемые файлы различных антивирусных программ и межсетевых экранов.

    Также червь может загружать из интернета свои обновления без ведома пользователя.

    Также на зараженном компьютере червь блокирует работу мыши и клавиатуры.

    Третьего числа каждого месяца через 30 минут после загрузки зараженного компьютера червь перезаписывает файлы, имеющие следующие расширения:

    dmp
    doc
    mdb
    mde
    pdf
    pps
    ppt
    psd
    rar
    xls
    zip

    Испорченные файлы содержат следующий текст:

    DATA Error [47 0F 94 93 F4 F5]

    Источник: http://www.viruslist.com/ru
    Последний раз редактировалось ALEX(XX); 30.01.2006 в 18:50.
    Left home for a few days and look what happens...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Телеведущие с BBC взломали 22 тысячи компьютеров
    От DVi в разделе Новости компьютерной безопасности
    Ответов: 41
    Последнее сообщение: 18.03.2009, 15:35
  2. Nyxem - Вирус из электронной почты может уничтожить все документы
    От Dark_Blaze в разделе Новости компьютерной безопасности
    Ответов: 11
    Последнее сообщение: 09.02.2006, 09:34

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00116 seconds with 16 queries