Источник Правда.Ру

Реинкарнации известных сетевых червей снова захватывает Интернет (Все о новой напасти)

Реинкарнации известных сетевых червей снова захватывает Интернет (Все о новой напасти)
Реинкарнации известных сетевых червей снова захватывает Интернет (Все о новой напасти)

Специалисты в области информационной безопасности сообщают об обнаружении новой модификации известного сетевого червя Bagle — Bagle.B.

Новый червь начал быстро распространяться по всему миру: на данный момент антивирусными компаниями поступило несколько сотен сообщений от пользователей по всему миру, получивших зараженную данным червем корреспонденцию.

По самым скромным оценкам, в настоящее время количество содержащих Bagle.B писем, зарегистрированное в глобальном почтовом трафике, составляет более 20 тыс., и их число стремительно увеличивается. Эти показатели существенно скромнее масштабов охвата знаменитого червя MyDoom.A, однако до его появления самым распространенным червем 2004 года был именно предыдущий вариант Bagle — Bagle.A.

Новая версия червя Bagle функционально во многом повторяет свою предшественницу. Вредоносная программа распространяется через электронную почту в виде вложений в электронные письма. Коварный червь способен подделывать адрес отправителя электронных сообщений, что увеличивает вероятность заражения — получатели письма будут считать, что оно пришло из надежных источников, и откроют вложенный файл, содержащий код червя.

Червь представляет собой исполняемый в среде Windows файл размером 11 КБ, приложенный к письму с заголовком "ID х... thanks" и текстом "Yours ID x: Thank", где х — произвольный набор символов. Имя вложенного файла генерируется случайным образом.

После запуска червь копирует себя в системный каталог Windows под именем au.exe и регистрирует себя в ключе автозапуска системного реестра. При этом для дезориентации пользователя червь инициирует запуск стандартной утилиты Windows, Sound Recorder (sndrec32.exe). Затем Bagle.B пытается установить соединение с несколькими удаленными сайтами, так или иначе связанными с "троянским" прокси-сервером TrojanProxy.Win32.Mitglieder. В настоящее время ссылки на все сетевые источники загрузки Mitglieder удалены, и Bagle не способен использовать данную технологию для увеличения темпов самораспространения.

Однако наибольшую опасность для зараженного компьютера представляет встроенная в тело червя троянская компонента. Она открывает на пораженной машине порт 8866, и в дальнейшем отслеживает его работу. Это дает злоумышленникам доступ к удаленному управлению компьютером, в частности, позволяет запускать на выполнение различные команды и загружать файлы по усмотрению автора червя.

Для размножения Bagle.B, как и его предшественник, использует процедуру, стандартную для данного вида вредоносных программ. Он сканирует файловую систему пораженного компьютера в поисках файлов с расширениями.wab,.txt,.htm,.html и.r1 и рассылает себя по всем найденных в них адресах электронной почты. Для отправки почты червь использует собственный SMTP-сервер.

Активность данной вредоносной программы ограничена во времени: червь запрограммирован на прекращение саморазмножения после 25 февраля 2004 года, что, по мнению экспертов, может свидетельствовать о подготовке новой версии Bagle, которая появится в интернете по истечении указанной даты.

Украинский Антивирусный Центр сообщает о начале эпидемии нового червя I-Worm.Moodown.b. Данный червь был написан с использованием исходных кодов червя MyDoom/Novarg.

Червь I-Worm.Moodown.b представляет угрозу для компьютеров с ОС Windows 9х/2000/Me/NТ/XP.

Данный червь распространяется по электронной почте в виде вложенного файла с двойным расширением. Размер файла, содержащего червь, составляет 22016 байт.

Тема, текст письма, а также имя вложенного файла формируются из указанного в черве списка. Адреса для рассылки собираются на инфицированном компьютере из файлов с расширениями msg, oft, sht, dbx, tbb, adb, doc, wab, asp, uin, rtf, vbs, html, htm, pl, php, txt, eml.

После запуска червь создает в папке Windows файл SERVICES.EXE, который является копией червя. В реестре создается ключ, запускающий автоматически червя при каждой загрузке операционной системы:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

services = "%WinDir%services.exe -serv"

При первом запуске червь отображает на экране следующее сообщение об ошибке "Error. The file could not be opened!"

"Прородитель" нового червя — вирус MyDoom стал одним из мощнейших за всю историю интернет. В настоящий момент эта вредоносная программа, известная также под именами Novarg или Shimgapi, заняла вторую позицию в списке самых опасных компьютерных вирусов, обогнав знаменитый Klez.H.

"Укранский Антивирусный Центр"

Не забывайте присоединяться к Pravda.Ru во ВКонтакте, Telegram, Одноклассниках, Google+, Facebook, Twitter. Установи "Правду.Ру" на главную страницу "Яндекса". Мы рады новым друзьям!

Комментарии
Выяснено: почему Россия отдала Казахстану озеро на границе
Заявление Гелентнера: можно ли отрицать высадку американцев на Луну — Иван МОИСЕЕВ
Американский посол: целостность Грузии будет восстановлена
Американский посол: целостность Грузии будет восстановлена
Россияне отказались менять совесть на холодильник
Как КПРФ пытается избежать участия в избирательном цикле 2017 года
Самолет вертикального взлета: новое — это хорошо забытое старое
Закат и падение Соединенных Штатов
Заявление Гелентнера: можно ли отрицать высадку американцев на Луну — Иван МОИСЕЕВ
Литва назвала "экономическим удушением" желание России использовать свои порты
Киев намерен получать от ЕС по пять миллиардов евро ежегодно
Эрдоган призвал турецкую диаспору в Германии голосовать против партии Меркель
Киев намерен получать от ЕС по пять миллиардов евро ежегодно
Spiegel и ARD: пьяный спецназ Германии массово "зиговал" на вечеринке
Ксавье МОРО: когда нелегалы понимают, что в Европе тяжелая жизнь, они начинают террор
Киев намерен получать от ЕС по пять миллиардов евро ежегодно
Бывшему полковнику Квачкову продлили срок заключения
Россияне отказались менять совесть на холодильник
Бывшему полковнику Квачкову продлили срок заключения
Ксавье МОРО: когда нелегалы понимают, что в Европе тяжелая жизнь, они начинают террор
Пламен ПАСКОВ: проект АЭС в Белене был зарублен по политическим причинам