Вирусы и их разновидности — страница 9

  • Просмотров 4504
  • Скачиваний 280
  • Размер файла 34
    Кб

упакованный утилитой сжатия UPX. Распространяется он по электронной почте через почтовую программу Outlook, рассылая письма со своими копиями по всем адресам из адресной книги зараженного компьютера. Вариантов оформления письма с вирусом Updater несколько. Строка "Тема" состоит из четырех частей и случайным образом формируется из следующего списка: Часть 1: "Have you ", "You Should ", "Just ", "Why Not you ", "How to ", "Re: ",

"Fwd : ", " " Часть 2: "Check ", "Check out ", "Watch out ", "Open ", "Look at " Часть 3: "this ", "my ", "For this ", "The " Часть 4: "Picture", "Program", "Patch", "Nude pic", "Report", "Documment", "Quotation", "Transaction", "Bank Account", "WTC Tragedy", "Osama Vs Bush", "Account", "Private Pic" Например: You Should Look at this Osama Vs Bush Тело письма имеет следующий вид: Hi: This is the file you ask for, Please save it to disk and open this file, it's very important. Вложенный

файл-носитель червя может иметь имена: "Setup.EXE", "install.exe", "Readme.exe", "Files.exe", "Picture.exe", "Quotation.Doc.exe", "Letter.Doc.exe", "Picture.jpg.exe" "Updater" имеет неприятное побочное действие. Он создает вредоносную скрипт-программу UPDATE.VBS, записывает ее в каталог автозагрузки Windows и запускает на выполнение. Эта программа ищет на диске файлы с расширением .EXE, .DOC и .VBS и создает для них файлы-компаньоны, содержащие копию

червя. Эти файлы-компаньоны имеют те же имена, что и оригинальные файлы плюс "второе" расширение .VBS. Например: MPLAYER.EXE.vbs REPORT.DOC.vbs Рекомендации пользователям не отличаются оригинальностью: не открывать файлов (особенно исполняемых), прикрепленных к подозрительным письмам. 6-12-2001 Internet-червь Gone удаляет антивирусные программы и распространяется как лесной пожар Антивирусные компании распространили сообщение о появлении нового

вируса-червя под названием Gone (другие названия: Pentagone и Goner). Несмотря на то, что вирус этот совсем не отличается замысловатостью, распространяется он очень быстро. Английская компания MessageLabs заявила, что ее почтовая служба блокировала уже более 23 тысяч копий этих вирусов. По данным этой компании, вчера во второй половине дня в Великобритании зараженные электронные письма приходили со скоростью 100 штук в минуту. Он приходит по

электронной почте в присоединенном к письму файле с названием Gone.scr, то есть он замаскирован под скринсейвер. В заголовке письма стоит всего одно слово: "Hi". Текст в теле письма следующий: "How are you ? When I saw this screen saver, I immediately thought about you. I am in a harry, I promise you will love it!" ("Привет, когда я увидел этот скринсейвер, я сразу же подумал о тебе. Сейчас мне некогда, но я обещаю, что он тебе понравится"). Распространяется вирус только через