Архив форума buh-info.ee

Компьюлента

22 августа 2003 года, 10:39
В начале следующей недели эпидемия вируса Sobig.F, которую уже называют крупнейшей эпидемией почтового червя в истории, может разгореться с новой силой. Так считает технический директор компании MessageLabs Марк Саннер. "Могу предсказать, что настоящий скачок мы увидим в понедельник", - сказал он в интервью CNN/Money. В этот день множество американцев вернётся из отпусков. Они впервые откроют свои ящики, где их уже ждут десятки, а то и сотни заражённых писем. И никаких средств для борьбы с Sobig.F у них ещё нет. Червь распространяется по интернету с понедельника. "Мы ожидали, что темпы распространения червя упадут на второй день, но так и не дождались", - рассказывает Саннер.

Как избавиться от вируса Sobig.F
20 августа 2003 года, 16:08

Чтобы избавиться от вируса, необходимо удалить с жесткого диска файлы вируса и стереть все записи вируса в реестре. Для этого в операционной системе Win9x/ME необходимо перезагрузиться в безопасный режим работы (Safe Mode) и удалить файлы WINPPR32.EXE и WINSTT32.DAT из системной папки Windows.
В реестре необходимо удалить переменную TrayX из папок HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
и
HKEY_CURRENT_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
В операционной системе Windows NT/2000/XP перезагружаться в безопасный режим необязательно - достаточно в диспетчере задач удалить процесс WINPPR32.EXE.

А еще советую проверить свой компьютер:
"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, представляет бесплатную утилиту для нейтрализации сетевого червя "Lovesan".
Данная программа обнаруживает активную копию червя в памяти компьютера, деактивирует ее, удаляет зараженные файлы с жесткого и сетевых дисков, также восстанавливает системный реестр Windows. По сути дела, данная утилита полностью восстанавливает компьютер и удаляет все следы заражения червем.
http://freesoft.ru/?id=9274

Поздние новости о Lovesan. Это уже было в новостях...

I-Worm.Sobig.f

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, и по сетевым ресурсам.
Червь является приложением Windows (PE EXE-файл), написан на Microsoft Visual C++, упакован утилитой TeLock, размер упакованного файла около 70КB, распакованного - около 100КB.
В письмах червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). При запуске зараженного файла червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция
При инсталляции червь копирует себя с именем winppr32.exe в каталог Windows и регистрирует этот файл в ключах автозапуска системного реестра:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
TrayX = %WindowsDir%winppr32.exe /sinc

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
TrayX = %WindowsDir%winppr32.exe /sinc


Рассылка писем
Червь ищет файлы *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP во всех каталогах на доступных локальных дисках, выделяет из них строки, являющиеся адресами электронной почты, и рассылает по этим адресами заражённые письма.

Поле "От:" подделывается (в него вставляется какой-либо ещё электронный адрес, обнаруженный на зараженном компьютере) или содержит адрес admin @ internet.com.

Возможны следующие варианты Заголовка писем, Текста и Имени вложения:

Заголовок:

Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!
Текст:
See the attached file for details
Please see the attached file for details.

Вложение:
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif

Червь также создаёт файл winstt32.dat в каталоге Windows и записывает в него обнаруженные адреса электронной почты, по которым ведется рассылка заражённых писем.

Распространение по сети
Червь перебирает все доступные сетевые ресурсы (другие компьютеры в сети) и копирует себя в них со случайными именами и расширением EXE.

Загрузка дополнительных файлов
Червь посылает UDP-пакеты по определённым IP-адресам на порт 8998 и в ответ ждёт команд "хозяина". Данные команды содержат в себе адреса Web-сайтов, с которых червь затем скачивает файлы и запускает их на выполнение. Таким образом червь в состоянии скачивать и запускать свои более "свежие" версии или устанавливать в систему дополнительные компоненты (троянские программы).

Прочее
Червь полностью работоспособен только в том случае, если текущая дата на зараженном компьютере меньше 10 сентября 2003 года.


PS: Информация о вирусе с сайта viruslist.com

Если кто чего понял из обьяснения - сделайте соответствующие выводы. Добавлю что информация - больше для "продвинутых", но некоторые вещи так же будут понятны и простым пользователям.

PS: Вот только не понятно, почему admin{a}internet.com выделило как e-mail адрес в сообщении ...

By, я слышала, что этот вирус для 98 вроде как не страшен, он направлен больше на ХР и 2000.
так ли это???

я слышала, что этот вирус для 98 вроде как не страшен, он направлен больше на ХР и 2000.
так ли это??? [/quote]


Ну это зря! Так как Windows XP новее и защищёнее, чем 98 и 95. Мне так кажеться.

Нет, Марат, речь идёт о двух самых крупных последних атаках вирусов - Lovesan и Sobig.f
Первый (у него много имён: "Lovesan", "Lovsan", "Blaster", "Msblast", "Poza") действительно опасен только для Windows NT, Windows 2000, Windows XP, второй опасен для всех.

Оба лечатся вовремя сделанным upgrade, на который я давал ссылки и Kaspersky предлагает свои варианты лечения:
http://www.kaspersky.ru/news.html?id=1319264
http://www.kaspersky.ru/news.html?id=1322983

Новость вам всем - по сети ходит вирус Welcha (его Symantec так зовёт)... сильно очень нагружает сети, создавая приличный трафик (платящие за мегабайты трафика - меня сразу поймут). У Symantec есть пилюлька для лечения данного вируса.

Для проверки своего компьютера на вирус, можно скачать бесплатную программу по адресу http://www.avast.com в разделе download