Новенький вирус не боится "Касперского"

Читать в полной версии →
Внимание: в Интернете новый вирус – Plexus.a. Очередная сетевая дрянь умеет по-свойски обращаться с антивирусной программой "Лаборатории Касперского": противодействует обновлению антивирусных баз




Тот факт, что в Сети появился новый опасный вирус, ни у кого уже не вызывает ажиотажа. Вирусы появляются почти каждую неделю, а то и в неделю по несколько раз. Очередной "ахтунг!": по Интернету разгуливает новая вредоносная программа I-Worm.Plexus.a. Распространяется она традиционно – в виде вложений в зараженные электронные письма, через файлообменные сети, а также через уязвимости в службах LSASS и RPC DCOM MS Windows. Специалисты "Лаборатории Касперского" утверждают, что основой нового вируса стали исходные коды известного червя Mydoom.

Несмотря на то, что пока неизвестный автор сетевой бяки решил схитрить и написал пять разных вариантов зараженных писем – разные заголовки, текст и названия прикрепленного файла, – узнать вирус довольно легко по размеру и формату: упакованный в формате FSG файл занимает 16208 байт, распакованный – 57856. Червь написан на языке Microsoft Visual C++, основная текстовая информация внутри файла зашифрована.

При запуске вирус копирует себя в каталог Windows/System32 с именем upu.exe и регистрируется в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINE/SOFT/WARE/Microsoft/Windows/CurrentVersion/Run] "NvClipRsv"=[путь к исполняемому файлу].

Он использует следующие имена:

AVP5.xcrack.exe (маскировка под "Касперского"!),

hx00def.exe, (мимо, мимо...),

ICQBomber.exe (я бы испугался такое открывать),

InternetOptimizer1.05b.exe (хм, он вам так оптимизирует Интернет, что мало не покажется...),

Shrek_2.exe (любители "Шрека", аккуратнее!),

UnNukeit9xNTICQ04noimageCrk.exe (вот еще, Nuke какой...),

YahooDBMails.exe (Yahoo здесь ни при чем, честное слово!).

Помимо этих действий червь создает уникальный идентификатор "Expletus" для определения своего присутствия в системе.

Худо то, что I-Worm.Plexus.a умеет по-свойски обращаться, например, с антивирусной программой "Лаборатории Касперского". Он противодействует обновлению антивирусных баз программы, для чего заменяет содержимое файла "hosts" в каталоге Windows "Windows/System32/drivers/etc/hosts" следующими данными:

127.0.0.1 downloads1.kaspersky-labs.com

127.0.0.1 downloads2.kaspersky-labs.com

127.0.0.1 downloads4.kaspersky-labs.com

127.0.0.1 downloads-eu1.kaspersky-labs.com

127.0.0.1 downloads-us1.kaspersky-labs.com.

Бороться с этой гадостью не просто, а очень просто. Не следует открывать незнакомые письма с заголовками "RE: order", "For you", "Hi, Mike" (особенно если вас зовут Наташа или Сигизмунд), "Good offer.", "RE:".

Не стоит, "my darling :)" покупаться на обещания какой-то "твоей Liz'ы", которая предлагает тебе посмотреть ее "new screensaver". Уверяю, ничего хорошего там нет. Разве вы "asked" какого-то незнакомого доброхота по поводу "archive with those information"?! Лучше сразу нажать на Delete, а то случится то, что обещано в постскриптуме письма: "Don't forget my fee ;)". Вы же помните, где бывает бесплатный сыр, и вряд ли купитесь на предложение заполучить "full base of accounts with passwords of mail server yahoo.com". Ну, и так далее. Наше благоразумие – залог спокойной сетевой жизни.

Тимур ТЕПЛЕНИН |
Выбор читателей