Новый червь может отформатировать жесткий диск

        Антивирусные компании сообщили о появлении в диком виде интернет-червя Gigger, который во время следующей после заражения перезагрузки компьютера пытается удалить с жесткого диска все файлы. Написан он на языке JavaScript, размер файла - 17 Кбайт.
        Распространяется Gigger по электронной почте и по локальным сетям. Gigger приходит в письме с темой "Outlook Express Update", т.е. маскируется под некое обновление к почтовой программе Outlook Express. Бывает также, что строка "Тема" содержит адрес отправителя. В теле письма есть буквально пара слов: "MSNSofware Co." или "Microsoft Outlook 98". Присоединенный к письму файл называется всегда одинаково: mmsn_offline.htm.
        Если его открыть, то Gigger создает в корневом каталоге жесткого диска два файла: Bla.hta и B.htm. Этим он не ограничивается. Эти же файлы появляются в каталогах:
        C:WindowsSamplesWshCharts.js
        C: WindowsSamplesWshCharts.vbs
        C: WindowsHelpMmsn_offline.htm .
        Кроме того, Gigger создает в файле Registry ключи: HKEY_CURRENT_USERSoftwareMicrosoftWindows Scripting HostSettingsTimeout
        и
        HKEY_CURRENT_USERSoftwareTheGraveadUsersv2.0.
        Наконец, он добавляет в файл autoexec.bat строку "ECHO y|format c:", т.е. дает команду на переформатирование жесткого диска зараженного компьютера при следующей его перезагрузке.
        Gigger может также распространяться и по каналам mIRC. Для этого он добавляет в каталог Windows файл script.ini. А если зараженный компьютер подключен к локальной сети, то Gigger создает свои копии под именем WindowsStart MenuProgramsStartUpMsoe.hta.
        В коде вируса содержится текст "This virus is donation from all Bulgarians" ("Этот вирус - подарок от всех болгар").
        Как защититься от этой напасти? Во-первых, не надо открывать вышеописанный файл, прикрепленный к вышеописанному письму. Пользователи Microsoft Outlook 2002 и Outlook 2000 даже с установленным дополнением Security Update не могут считать себя автоматически защищенными, т.к. Outlook Security Update не блокирует письма с присоединенными HTML-файлами. Пользователям рекомендуется отключить Windows Scripting Host.
        McAfee, Sophos, Symantec и Trend Micro уже выпустили обновление для своего антивирусного ПО.

Новости партнеров

Выбор читателей