Ответить | Перейти к списку сообщений | Предыдущее сообщение | Следующее сообщение | Предыдущее в ветке | Следующее в ветке |
Cavers Mailing List № 1532
!Virus alert!
Автор: Pavel Gulchouck
Дата: 18 Jan 2000
Hi!
Файл happy99.exe НЕ ЗАПУСКАТЬ! Это вирус.
Sorry, что не успел его остановить.
Если кто был не в курсе и запустил, ниже информация о том, что это
и как лечить. В первую очередь это, конечно, относится к Юрию
Евдокимову.
???????????????????????????????????????????????????????????????????????????????
ИHФОРМАЦИОHHЫЙ ЦЕHТР "ЕЛЕКТРОHHI ВIСТI"
=======================================================
1) ЗАРАЗHЫЕ ПИСЬМА
Финская фирма Data Fellows Inc., специализирующаяся на производстве ПО
для повышения безопасности коммуникаций в Интернете, обнаружила новый
вирус, который распространяется по электронной почте.
Вирус действует следующим образом. При запуске вложенной в электронное
сообщение программы Happy99.exe она показывает небольшую заставку, а
затем изменяет файл winsock32.dll, отвечающий в Windows 9x за сетевые
протоколы. В отличие от троянских коней эта программа является
вирусом, т.к. после запуска она рассылает свои копии по тем адресам,
которые указывает в своих письмах пользователь инфицированного
компьютера.
Вирус не содержит никаких деструктивных функций и легко поддается
лечению вручную, т.к. сохраняет на диске старую копию winsock32. Кроме
того, инфицированные письма нетрудно отличить по заголовку "X-Spanska:
YES". Вирус не проверяет атрибуты файла winsock32, поэтому, установив
этот файл доступным только для чтения, можно легко защитить свой
компьютер от атаки. Data Fellows уже встроила в свои антивирусные
программы средства обнаружения и удаления этого вируса.
Компьютерный еженедельник "Компьютерра"
28/01/99
???????????????????????????????????????????????????????????????????????????????
2) ПО СЕТИ РАСПОЛЗАЕТСЯ ЧЕРВЬ HАРРY99.ЕХЕ
Боб Сулливан (Bob Sullivan), MSNBC
27 января 1999 г.
[INLINE] В Интернете завелся компьютерный червь, получивший прозвище
Happy99.exe. Он распространяет сотни своих собственных копий во
вложениях электронной почты и статьях для новостных групп.
Финская фирма Data Fellows (Хельсинки), специализирующаяся на защите
информации, предупредила, что пока червь злобствует в Европе, но, по
всей вероятности, быстро окажется в Америке. Он не пытается разрушать
файлы на зараженных машинах, зато без ведома жертвы рассылает
электронные письма и объявления для телеконференций и способен не
только снизить производительность сети, но даже вывести из строя
корпоративный сервер электронной почты. "Если у вас в сети 100 ПК, и
каждый пользователь просматривает письма в 9 утра, эта гадость
начинает расползаться и неизбежно замедлит работу сети, - говорит
старший инженер Data Fellows по обслуживанию ПО Дон Таката (Dan
Takata). - Я не удивлюсь, если она забьет почтовый сервер".
Червь, называемый так за свою способность к самовоспроизведению в
сети, впервые был выявлен примерно неделю назад, и с тех пор на него
поступили сотни жалоб от ведущих телеконференций. Как и большинство
компьютерных паразитов, он заводится в машинах тогда, когда их
пользователи открывают приложения к электронным посланиям. Пока жертва
наблюдает окно с изображением фейерверка, за сценой злобное "животное"
подменяет файл winsock32.dll, который служит компьютеру калиткой в
Интернет. После этого всякий раз, когда пользователь входит в
программу электронной почты или телеконференции, Happy99 отправляет
свои копии по указываемым пользователем адресам. Любой вид операций
через порты 25 или 119 запускают программу спэма. Кроме того, червь
ведет список почтовых адресов и телеконференций, по которым разосланы
его потомки, и хранит его в отдельном файле LISTE.SKA.
Целебное средство
Так как оригинальная версия winsock32.dll сохраняется в виде резервной
копии WSOCK32.SKA, ее можно без особого труда восстановить. Data
Fellows предлагает средство диагностики червя. Так как заголовок его
электронных писем содержит текст: "MOUT-MOUT Hybrid (c) Spanska
1999.", можно предположить, что автор Happy99 написал также серию
вирусов, называемых spanska viruses, которые произвольно выводят на
экран политические лозунги типа: "Помните тех, кто погиб за Мадрид".
Первые сообщения о них появились в сентябре 1997 года.
ZDNet и Algorithm Media.
=======================================================
--
Lucky carrier,
Паша.
Ответить | Перейти к списку сообщений | Предыдущее сообщение | Следующее сообщение | Предыдущее в ветке | Следующее в ветке |
CML archive browser created by Pavel Gulchouck