Источник Правда.Ру

Реинкарнации известных сетевых червей снова захватывает Интернет (Все о новой напасти)

Специалисты в области информационной безопасности сообщают об обнаружении новой модификации известного сетевого червя Bagle — Bagle.B.

Новый червь начал быстро распространяться по всему миру: на данный момент антивирусными компаниями поступило несколько сотен сообщений от пользователей по всему миру, получивших зараженную данным червем корреспонденцию.

По самым скромным оценкам, в настоящее время количество содержащих Bagle.B писем, зарегистрированное в глобальном почтовом трафике, составляет более 20 тыс., и их число стремительно увеличивается. Эти показатели существенно скромнее масштабов охвата знаменитого червя MyDoom.A, однако до его появления самым распространенным червем 2004 года был именно предыдущий вариант Bagle — Bagle.A.

Новая версия червя Bagle функционально во многом повторяет свою предшественницу. Вредоносная программа распространяется через электронную почту в виде вложений в электронные письма. Коварный червь способен подделывать адрес отправителя электронных сообщений, что увеличивает вероятность заражения — получатели письма будут считать, что оно пришло из надежных источников, и откроют вложенный файл, содержащий код червя.

Червь представляет собой исполняемый в среде Windows файл размером 11 КБ, приложенный к письму с заголовком "ID х... thanks" и текстом "Yours ID x: Thank", где х — произвольный набор символов. Имя вложенного файла генерируется случайным образом.

После запуска червь копирует себя в системный каталог Windows под именем au.exe и регистрирует себя в ключе автозапуска системного реестра. При этом для дезориентации пользователя червь инициирует запуск стандартной утилиты Windows, Sound Recorder (sndrec32.exe). Затем Bagle.B пытается установить соединение с несколькими удаленными сайтами, так или иначе связанными с "троянским" прокси-сервером TrojanProxy.Win32.Mitglieder. В настоящее время ссылки на все сетевые источники загрузки Mitglieder удалены, и Bagle не способен использовать данную технологию для увеличения темпов самораспространения.

Однако наибольшую опасность для зараженного компьютера представляет встроенная в тело червя троянская компонента. Она открывает на пораженной машине порт 8866, и в дальнейшем отслеживает его работу. Это дает злоумышленникам доступ к удаленному управлению компьютером, в частности, позволяет запускать на выполнение различные команды и загружать файлы по усмотрению автора червя.

Для размножения Bagle.B, как и его предшественник, использует процедуру, стандартную для данного вида вредоносных программ. Он сканирует файловую систему пораженного компьютера в поисках файлов с расширениями.wab,.txt,.htm,.html и.r1 и рассылает себя по всем найденных в них адресах электронной почты. Для отправки почты червь использует собственный SMTP-сервер.

Активность данной вредоносной программы ограничена во времени: червь запрограммирован на прекращение саморазмножения после 25 февраля 2004 года, что, по мнению экспертов, может свидетельствовать о подготовке новой версии Bagle, которая появится в интернете по истечении указанной даты.

Украинский Антивирусный Центр сообщает о начале эпидемии нового червя I-Worm.Moodown.b. Данный червь был написан с использованием исходных кодов червя MyDoom/Novarg.

Червь I-Worm.Moodown.b представляет угрозу для компьютеров с ОС Windows 9х/2000/Me/NТ/XP.

Данный червь распространяется по электронной почте в виде вложенного файла с двойным расширением. Размер файла, содержащего червь, составляет 22016 байт.

Тема, текст письма, а также имя вложенного файла формируются из указанного в черве списка. Адреса для рассылки собираются на инфицированном компьютере из файлов с расширениями msg, oft, sht, dbx, tbb, adb, doc, wab, asp, uin, rtf, vbs, html, htm, pl, php, txt, eml.

После запуска червь создает в папке Windows файл SERVICES.EXE, который является копией червя. В реестре создается ключ, запускающий автоматически червя при каждой загрузке операционной системы:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

services = "%WinDir%services.exe -serv"

При первом запуске червь отображает на экране следующее сообщение об ошибке "Error. The file could not be opened!"

"Прородитель" нового червя — вирус MyDoom стал одним из мощнейших за всю историю интернет. В настоящий момент эта вредоносная программа, известная также под именами Novarg или Shimgapi, заняла вторую позицию в списке самых опасных компьютерных вирусов, обогнав знаменитый Klez.H.

"Укранский Антивирусный Центр"

Не забывайте присоединяться к Pravda.Ru во ВКонтакте, Telegram, Одноклассниках, Google+, Facebook, Twitter. Установи "Правду.Ру" на главную страницу "Яндекса". Мы рады новым друзьям!

Комментарии
Флаг — не главное: сборную России выпустили на Игры-2018
Нейтральный флаг нам в руки: как Россия заткнет рот Родченкову
Нейтральный флаг нам в руки: как Россия заткнет рот Родченкову
Украинский историк объяснил России, как США выиграли две мировые войны
Мединский не остановит "полет пули" в Россию
Нейтральный флаг нам в руки: как Россия заткнет рот Родченкову
Нейтральный флаг нам в руки: как Россия заткнет рот Родченкову
Ищите женщину: почему у мужчин без костей не только язык
Ищите женщину: почему у мужчин без костей не только язык
Нейтральный флаг нам в руки: как Россия заткнет рот Родченкову
Украинский историк объяснил России, как США выиграли две мировые войны
Музей Штирлица хотят открыть под Владимиром
Украинский историк объяснил России, как США выиграли две мировые войны
Несколько государств Европы лишились поставок газа. И на Россию не свалишь...
Нейтральный флаг нам в руки: как Россия заткнет рот Родченкову
Украинский историк объяснил России, как США выиграли две мировые войны
Почему Казахстан отключил все российские телеканалы
Украинский историк объяснил России, как США выиграли две мировые войны
Почему Казахстан отключил все российские телеканалы
Нейтральный флаг нам в руки: как Россия заткнет рот Родченкову
Почему Казахстан отключил все российские телеканалы

Русская эскадра - не просто набор слов. Это историческое название последнего соединения кораблей и судов Императорского флота России. Именно она эвакуировала из Крыма армию генерала Врангеля и гражданское население. Беженцев приняла Франция, предоставив эскадре стоянку в Тунисе, в городе Бизерта. Судьбы большинства беженцев поистине трагичны…

Последнее пристанище Русской эскадры