Вход | Регистрация

Информационные технологии ::

Метки:

Очередная эпидемия почтовых вирусов?

Я
   Vser1
 
27.01.04 - 12:07
За сегодняшний день получил четыре письма с архивами ZIP (размер 22650-22642 байт, имена файлов body.zip, document.zip, возможны другие варианты). Кашперский, с обновлениями за прошлую неделю, на них не ругается, в самих архивах различные файлы *.cmd, *.exe, *.scr, *.pif, размер вложенного файла 22528 байт.

ЗЫ: Будьте внимательны к почтовым вложениям.
 
 
   Vser1
 
1 - 27.01.04 - 12:14
Еще один прикол, получил недоставленое письмо с этим же вложением, отправлено якобы с моего адреса, а у меня даже в адресной книге такого адресата нет... Да и письмо не уходило от меня, к чему бы это?
   klon
 
2 - 27.01.04 - 12:16
"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает о обнаружении новой модификации печально известного почтового червя "Mimail" - "Mimail.Q". Новая версия отличается криптографической защитой от антивирусов и уже вызвала отдельные случаи заражения среди пользователей. "Лаборатория Касперского" прогнозирует расширение эпидемии в ближайшие дни и рекомендует пользователям немедленно обновить антивирусную программу.

"Mimail.Q" распространяется через электронную почту в письмах разнообразного содержания (несколько десятков вариантов) и произвольными названиями вложенных файлов. Червь состоит из двух частей: "дроппера" (модуль установки основной части) и носителя (основная часть).

Если пользователь имел неосторожность запустить файл, вложенный в зараженное письмо, то "дроппер" выводит на экран окно с ложным сообщением об ошибке, копирует себя в каталог Windows под именем SYS32.EXE и регистрирует в ключе автозапуска системного реестра. После этого распаковывает основную часть червя (файл OUTLOOK.EXE) и запускает ее на выполнение.

Важным отличием "Mimail.Q" является использование алгоритмов криптографии для защиты от антивирусов (полиморфность). При каждой перезагрузке зараженного компьютера червь меняет ключ шифрования таким образом, что рассылаемые копии вредоносной программы каждый раз выглядят по-разному. Это, в свою очередь, требует от установленного антивируса функции дешифрации файлов.

Основная часть червя осуществляет сразу несколько функций. Во-первых, рассылку копий "Mimail.Q". Для этого червь сканирует содержимое диска и считывает из них электронные адреса. Далее по ним проводится рассылка зараженных писем с использованием встроенного почтового механизма.

Во-вторых, основная часть открывает злоумышленникам лазейку на зараженный компьютер, используя порты 6667, 3000, 80, 1433 и 1434. Через эти порты червь получает команды от своих "хозяев" и отправляет данные о выполнении команд на анонимные почтовые ящики публичных e-mail систем.

В-третьих, "Mimail.Q", подобно предыдущим версиям, собирает информацию об установленных на компьютере счетах платежных систем PayPal и E-Gold и отсылает коды доступа к ним на те же почтовые ящики.

Наконец, в коде червя содержатся угрозы в адрес публичных почтовых систем в случае закрытия используемых "Mimail.Q" ящиков:

*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS'ed in next version. WARNING: centrum.cz will be DDoS'ed in next versions, coz they have closed my mimail-email account. Who next? ***

Процедуры защиты от Mimail.Q с использованием дешифрации уже добавлены в базу данных Антивируса КасперскогоR.
   skunk
 
3 - 27.01.04 - 12:22
сегодня уторм ложил топик, про касперского.


Список тем форума
Рекламное место пустует   Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Ветка сдана в архив. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует