|
 |
|
 |
< внимание !!! вирус I-Worm.SirCam >
//предохраняйся..
Украинский Антивирусный Центр информирует пользователей об эпидемии опасного
сетевого червя I-Worm.SirCam.
Особенности работы червя позволяют ему не только повредить локальные системы, но
и ПАРАЛИЗОВАТЬ РАБОТУ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ.
Украинским Антивирусным Центром выпущено обновление к программе UNA for Win32,
позволяющее полностью обезвредить червя. Всем зарегистрированным пользователям
рекомендуется обновить антивирус и протестировать свои компьютеры (для этого
необходимо обновить антивирус, а затем закрыть его и запустить снова).
ВНИМАНИЕ !!!
В связи с особенностями работы вируса при тестировании компьютера необходимо
включить опцию Лечить все инфицированные файлы, при этом антивирус корректно
удаляет все записи, оставленные червём в реестре.
Червь размножается как в глобальной сети Internet (через электронную почту), так
и по локальным вычислительным сетям, заражая открытые на запись сетевые диски.
Червь написан на языке программирования Delphi и имеет большой размер (размер
тела червя 130Kb). При размножении червь приписывает к себе тело реального
файла, взятого с зараженной машины.
Червь рассылает себя с зараженных компьютеров в виде файлов, вложенных в письма
электронной почты, которые имеют случайное имя и двойное расширение:
Name.ext1.ext2
Расширение ext2 выбирается случайно из PIF, LNK, BAT, COM. Как правило почтовые
клиенты не показывают второго расширения, таким образом пользователь видит
только имя файла и первое расширение (как правило это расширения XLS, DOC и
пр.).
После запуска (например, двойным щелчком на вложенном зараженном файле), червь
внедряется в систему, рассылает зараженные сообщения (содержащие вложенные файлы
с копией червя), заражает компьютеры, подключенные к доступной ЛВС (если в сети
существуют диски, доступные для записи), а также, в зависимости от системной
даты, выполняет встроенную деструктивную процедуру.
Червь копирует свои файлы в следующие директории:
1. Директории \RECYCLED и \WINDOWS под именем SirC32.exe, например:
C:\WINDOWS\
C:\RECYCLED\SirC32.exe
2. Системная директория Windows под именем SCam32.exe.
3. Директория Windows под именем ScMx32.exe.
4. Директория автоматического запуска Windows под именем Microsoft Internet
Office.exe.
Первые два файла червь регистрирует в секции автоматического запуска программ
системного реестра Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = %windows sytem directory%\SCam32.exe
HKCR\exefile\shell\open\command
SirC32.exe
В зависимости от текущей системной даты и времени, червь с вероятностью 5%
удаляет все файлы и поддиректории в директории Windows.
При каждой загрузке операционной системы с вероятностью 2% червь создает файл
SirCam.Sys в корневой директории текущего диска и записывает в него следующий
текст:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan
Mexico]
С каждым разом червь добавляет этот файл, тем самым постепенно поглощая
свободное место на диске. Эти и многие другие текстовые строки в теле червя
содержатся в зашифрованом виде.
Для распространения по локальной сети червь сканирует все доступные сетевые
ресурсы (ищет доступные директории на удаленных компьютерах) и копирует туда
свои файлы. В случае обнаружения на удаленном компьютере директории \recycled ,
червь записывает себя в нее под именем SirC32.exe:
\recycled\SirC32.exe
После этого червь модифицирует файл AUTOEXEC.BAT, добавляя в него следующую
команду:
@win \recycled\SirC32.exe
Если на компьютере имеется директория "\Windows", то червь изменяет имя
системного файла RUNDLL32.EXE на RUN32.EXE, а на место RUNDLL32.EXE записывает
свою копию. Как указывалось выше, все копии червя имеют атрибут "Hidden"
("Скрытый").
#!/usr/local/bin/php4
|
|
#!/usr/local/bin/php4
| Возврат назад | Главная |
ГОБЛИН
Наш адрес: ул.Героев Днепра 3a
В здании магазина "Деликатес"(5 мин.ходьбы от ст.м."Минская" или "Героев Днепра")
наш телефон: 413-4000, по которому можно забить свободный компьютер в любое время суток
ЗВОНИТЕ !!!
|
|
|
|
|
|
|
|
 |
|
|
