NOMAD (Номад) - новости Казахстана




КАЗАХСТАН: Самрук | Нурбанкгейт | Аблязовгейт | Январская трагедия | правительство Бектенова | правительство Смаилова | Казахстан-2050 | RSS | кадровые перестановки | дни рождения | бестселлеры | Каталог сайтов Казахстана | Реклама на Номаде | аналитика | политика и общество | экономика | оборона и безопасность | семья | экология и здоровье | творчество | юмор | интервью | скандалы | сенсации | криминал и коррупция | культура и спорт | история | календарь | наука и техника | американский империализм | трагедии и ЧП | акционеры | праздники | опросы | анекдоты | архив сайта | Фото Казахстан-2050











Поиск  
Четверг 28.03.2024 18:59 ast
16:59 msk

Что такое Sobig и как с ним бороться
Последние данные сервис-провайдеров e-mail указывают на то, что эпидемия, вызванная новейшим вариантом вируса Sobig, стала самой крупной за всю историю компьютерных программ массовой почтовой рассылки
23.08.2003 / наука и техника

Валентин КОМАРОВ, Утро.Ру, 22 августа

"Yтро" уже писало о Sobig - самом опасном на сегодняшний день вирусе. Последние данные сервис-провайдеров e-mail указывают на то, что эпидемия, вызванная его новейшим вариантом, стала самой крупной за всю историю компьютерных программ массовой почтовой рассылки, поэтому мы решили подробнее рассказать об этой напасти и средствах борьбы с ней.

Например, компания MessageLabs, специализирующаяся на фильтрации электронной почты, во вторник перехватила свыше миллиона сообщений, несущих в себе этот вирус, а конкурирующая фирма Postini выловила за одни сутки 2,6 млн зараженных писем. "Это самый быстрый вирус из всех, какие мы видели", - заявил вице-президент Postini Скотт Петри. Обычно компания, по его словам, регистрирует гораздо меньше писем с вирусами - около 500 тыс. в сутки.

Во вторник и в среду новый вирус так наводнил корпоративные системы e-mail, что каждое сообщение приходилось дезинфицировать, прежде чем допустить в компьютер получателя. MessageLabs подсчитала, что вирус Sobig содержало почти каждое 17-е сообщение: это гораздо больше соотношений 1:275 и 1:138, отмечавшихся во время самой страшной до сих пор эпидемии вируса Klez.H.

Sobig.F, как и предыдущие версии вируса, в качестве подложного адреса отправителя рассылаемых им сообщений использует адрес e-mail, отличный от адреса жертвы. Многие антивирусные системы сигнализируют владельцу этого адреса, что его компьютер инфицирован, даже если известно, что злоумышленник изменил исходный адрес. В результате интернет-артерии засоряются еще больше. "Мы решили не реагировать на спам или вирусы, так как это быстро приводит к перегрузке сети", - говорит Петри.

Крупнейшему североамериканскому провайдеру America Online тоже пришлось бороться с лавиной электронных сообщений. В обычные дни этот интернет-сервис-провайдер получает примерно 11 млн писем с вложениями, которые нужно проверять. Во вторник в компанию поступило около 31 млн таких сообщений, почти 11,5 млн из которых несли в себе Sobig.F. С момента появления вируса, 18 августа, AOL удалось уничтожить более 23 млн его копий. Вирус добавил работы и системным администраторам Массачусетского технологического института, Министерства обороны США, а также многих других организаций. Расслабиться они смогут только через 20 дней - как и предыдущие его версии, Sobig.F имеет встроенную дату отключения. Данный вариант настроен на прекращение распространения 10 сентября.

Однако этот факт, вместо того чтобы успокоить администраторов ISP, наводит их на мысль, что с каждым новым вариантом авторы семейства вирусов Sobig еще больше совершенствуются в своем черном деле. "Раз автор вируса Sobig использует встроенную дату дезактивации, значит, он обдумывает новые, усовершенствованные версии, - говорится в заявлении главного технолога MessageLabs Марка Саннера. - Каждый из известных вариантов Sobig превосходил предыдущий по скорости распространения и оказываемому эффекту в период первоначального окна активности".

Также, по его мнению, в начале следующей недели эпидемия вируса Sobig.F может разгореться с новой силой. "Могу предсказать, что настоящий скачок мы увидим в понедельник", - сказал он в интервью CNN/Money. В этот день множество американцев вернется из отпусков. Они впервые откроют свои ящики, где их уже ждут десятки, а то и сотни зараженных писем. И никаких средств для борьбы с Sobig.F у них еще нет. "Мы ожидали, что темпы распространения червя упадут на второй день, но этого не случилось", - рассказывает Саннер.

А по мнению представителя антивирусной компании F-Secure Микко Хиппонена, этот вирус, четвертый день терроризирующий почтовые ящики всего Интернета, был написан спамерами. Он считает, что с помощью вируса некто пытается пробиться через противоспамовые фильтры. "Мы имеем ясный мотив для написания вируса - деньги", - сказал он корреспонденту BBC.

"Лаборатория Касперского" отмечает, что размах эпидемии Sobig.F вызывает ряд вопросов и предположений. Прежде всего, удивляет скорость распространения червя, использующего самые обычные методики заражения. Этот червь не атакует бреши в системах безопасности. Пользователь должен самостоятельно запустить присланный по электронной почте вложенный файл, чтобы Sobig.F смог проникнуть в компьютер. Большая часть интернет-сообщества прекрасно осведомлена о такой опасности. Поэтому, скорее всего, автор червя снова прибег к использованию спам-технологий для массовой рассылки этой вредоносной программы. Вследствие этого копии червя получили сразу несколько миллионов получателей, среди которых оказалось много неосторожных пользователей. По мнению специалистов, это крупнейшая эпидемия почтового червя за последние полтора года.

Вложенный файл с кодом вируса может иметь одно из следующих имен: movie0045.pif, wicked_scr.scr, application.pif, document_9446.pif, details.pif, your_details.pif, thank_you.pif, document_all.pif, your_document.pif. Размер упакованного файла вируса - около 70 Кб, распакованного - около 100 Кб. Число тем сообщения также ограничено: Re: That movie, Re: Wicked screensaver, Re: Your application, Re: Approved, Re: Re: My details, Re: Details, Your details, Thank you!, Re: Thank you!

В теле письма присутствует строка "See the attached file for details" или "Please see the attached file for details." В случае, если пользователь запустит вложенный файл, вирус копирует себя в каталог Windows под именем winppr32.exe и регистрирует этот файл в системном реестре, обеспечивая запуск вредоносного кода после перезагрузки системы. Во всех папках на локальных дисках червь ищет файлы с расширениями *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP. В этих файлах производится поиск адресов электронной почты.

После этого червь с помощью встроенного smtp-сервера рассылает сообщения по обнаруженным адресам. Поле отправителя сообщения подделывается - в него может быть подставлен один из обнаруженных электронных адресов, либо адрес [email protected]". Кроме того, вирус создает файл winstt32.dat в системной папке Windows, в который помещаются все обнаруженные адреса электронной почты. Помимо "работы" на локальных дисках, вирус сканирует все доступные папки в локальной сети и копирует в них себя со случайным именем и расширением .EXE.

Деструктивных функций у червя нет, но он посылает UDP-пакеты на определенные IP-адреса на порт 8998 и ждет команд из сети. По полученной таким образом ссылке, червь может скачать файл и запустить его на выполнение. Таким образом, теоретически возможна установка и запуск новой версии вируса или установка троянской программы.

Первая версия вируса Sobig была обнаружена 9 января 2003 года. Несмотря на то, что код вируса практически не менялся, появление каждой новой версии вызывало довольно большое число заражений. В версии червя Sobig.D, появившейся в июне, также было предусмотрено прекращение работы в определенный день. Вирус Sobig.C отличался от других модификаций тем, что зараженные файлы распространялись с адресом Билла Гейтса ([email protected]) в поле отправителя. Вирус Sobig.E рассылал зараженный файл в ZIP-архиве.

Компания Network Associates сообщает способ обнаружения и нейтрализации вируса Sobig.F. О его наличии в системе свидетельствуют следующие симптомы:

1. В системной папке Windows присутствует файл WINPPR32.EXE. Тот же файл упомянут в списке запущенных процессов системы (список можно увидеть, нажав клавиши Ctrl, Alt и Del).

2. В реестре Windows присутствуют следующие строки: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "TrayX" = C:WINNTWINPPR32.EXE /sinc HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun "TrayX" = C:WINNTWINPPR32.EXE /sinc

Чтобы избавиться от вируса, необходимо удалить с жесткого диска файлы вируса и стереть все записи вируса в реестре. Для этого в операционной системе Win9x/ME необходимо перезагрузиться в безопасный режим работы (Safe Mode) и удалить файлы WINPPR32.EXE и WINSTT32.DAT из системной папки Windows. В реестре необходимо удалить переменную TrayX из папок HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun и HKEY_CURRENT_USERSSOFTWAREMicrosoftWindowsCurrentVersionRun. В операционной системе Windows NT/2000/XP переходить в безопасный режим необязательно - достаточно в диспетчере задач удалить процесс WINPPR32.EXE.


Поиск  
Версия для печати
Обсуждение статьи

Еще по теме
"Казахтелекому" удалось изгнать опасный вирус 26.08.2003
Что такое Sobig и как с ним бороться 23.08.2003
Новый электронный червь разъедает почту и качает неизвестные файлы 21.08.2003
Академик Жумагулов: Вся жизнь - наука 17.08.2003
Национальный инновационный фонд поддержит развитие технопарков и экспериментально-конструкторских структур 15.08.2003
В Астане подвела итоги работы республиканская конкурсная комиссия по распределению государственных образовательных грантов и кредитов 15.08.2003
Новый вирус атакует мир и Microsoft 13.08.2003
Обещанного 10 дней ждут 08.08.2003
Свобода получить заразу 06.08.2003
Не сайтом единым 06.08.2003

Новости ЦентрАзии
Дни рождения
в Казахстане:
28.03.24 Четверг
77. САДВАКАСОВ Джаныбек
77. ТУРЕКУЛОВ Абдикарим
76. АБДАКИМОВ Абдижаппар
75. САРИЕВА Рысты
69. ШАЙМАРДАНОВ Жасулан
68. СИНГАЛИЕВА Нурия
67. АБДУЛЛАЕВ Марат
64. ЕРАЛИЕВ Абзал
64. РУСТЕМБАЕВ Базархан
63. КУТКОЖА Парасат
61. БЕЛОГРИВЫЙ Леонид
60. ДОСЖАН Ардак
58. ГАБДУЛИН Канат
55. РАХИЛЬКИН Аркадий
54. БИМЕНДИН Нуржан
...>>>
29.03.24 Пятница
83. МЕДВЕДЕВ Святослав
78. ЖУКОВ Владимир
77. ЕРЖАНОВ Сырымгали
73. НОСОНОВСКИЙ Геннадий
63. МАЗАКОВ Талгат
61. БАЙДАБЕКОВ Ауез
59. АБИШЕВ Азат
59. ЖУМАДИЛЬДАЕВА Наталья
59. ТАБЫЛДИЕВ Коктембек
57. ИМАНТАЕВ Ермек
57. ХАЛИЛИН Ерден
55. ЛАРИЧЕВ Леонид
43. АЙМАГАМБЕТОВ Лашин
43. АХМЕД-ЗАКИ Дархан
42. ХАИРОВА Камилла
...>>>
30.03.24 Суббота
79. КЕРИМБАЕВ Бигали
78. ЗАЙЦЕВА Александра
74. АМАНБАЕВ Кайрат
72. АЙТБЕКОВ Берик
69. ОРДАБАЕВ Галым
67. СЛАБКЕВИЧ Лариса
65. УТЕУЛИНА Ирина
64. ЖУНУСОВ Сарсембек
63. МОМЫНЖАНОВ Каиргали
63. СМАТЛАЕВ Бауржан
61. ПАРФЕНОВ Дмитрий
60. БЕКЕЖАНОВ Сенбай
57. САБДЕНОВ Кайрат
51. ДАРЖИБАЕВ Еренай
42. ЕСИМОВА Анара
...>>>


Каталог сайтов
Казахстана:
Ак Орда
Казахтелеком
Казинформ
Казкоммерцбанк
КазМунайГаз
Кто есть кто в Казахстане
Самрук-Казына
Tengrinews
ЦентрАзия

в каталог >>>





Copyright © Nomad
Хостинг beget
Top.Mail.Ru
zero.kz