Descoperit un nou virus periculos, pretinzând că este o mărturisire de dragoste!
Virusul a apărut pentru prima dată în Hong Kong, joia (4 mai), în mijlocul zilei. Până în prezent, el a reușit să infecteze o mulțime de sisteme informatice în Asia, SUA și Europa: CNN raportează că în Asia, au suferit multe companii comerciale, iar în SUA - computerele Senatului SUA. Camera Reprezentanților, neașteptată "declarare a dragostei", a provocat, dimpotrivă, pagube minime, deși sute de mii de copii ale virusului au fost șterse acolo, adaugă CNN. Sistemele informatice ale Camerei Comunelor din Marea Britanie, Parlamentul European și marile companii comerciale europene au suferit de asemenea.
"Kaspersky Lab" despre noul vierme Internet LoveLetter
"Kaspersky Lab" raportează apariția în forma "live" a unui nou vierme Internet periculos, numit I-Worm.LoveLetter. În doar câteva ore, în data de 4 mai a acestui an. Acest nou vierme pe Internet a vizitat mii de utilizatori din întreaga lume. Nu a scăpat de vizita sa și de Kaspersky Lab. Atacatorii necunoscuți au trimis o "declarație de iubire" infectată în întreaga lume.
Distribuție și detectare:
Utilizatorul primește o scrisoare cu subiectul ILOVEYOU și textul verifică cu amabilitate LOVELETTER atașat de mine. În scrisoare există un atașament sub forma unui fișier LOVE-LETTER-FOR-YOU.TXT.vbs.
După deschiderea atașamentului, virusul scanează unitățile de rețea locale și mapate și încearcă să suprascrie toate fișierele cu extensiile VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP2, MP3 corpul său, și fișierele originale sunt pierdute pentru totdeauna .
Metode de protecție:
Pentru a preveni pătrunderea de vierme de Internet de pe computer este foarte recomandat să nu se deschidă litera și nu în nici un fel de a rula un fișier atașat DRAGOSTE-SCRISOARE-PENTRU-YOU.TXT.vbs.
Experții „Kaspersky Lab“ timp de 1 oră, a creat un vaccin împotriva acestui virus, a efectuat teste și incluse în actualizări zilnice regulate de anti-virus cadru AVP, care permite în timp util a proteja utilizatorii de „oaspeți nepoftiți“.
Procedurile de detectare și eliminare a virusului I Worm.LoveLetter pot fi găsite pe site-ul Kaspersky Lab.
Manifestări ale viermei
Odată lansat, viermele caută toate fișierele pe toate discurile disponibile. Pentru fișiere cu extensii diferite, viermele efectuează următoarele acțiuni:
1. VBS, VBE:
Se suprascrie.
2. JS, JSE, CSS, WSH, SCT, HTA:
Creează un fișier cu numele obiectului original și extensia VBS, scrie corpul său în acest fișier și șterge fișierul original.
3. JPG, JPEG:
Fișierele cu astfel de extensii viermele suprascrie și le redenumește, adăugând extensia .VBS (de exemplu - PIC1.JPG.VBS) la numele și extensia fișierului victimă.
4. MP2, MP3:
Creează un fișier nou cu numele și extensia fișierului victimă, adăugând extensia VBS, scrie corpul său acolo și stabilește atributul ascuns pe fișierele originale.
5. Dacă se găsește unul dintre următoarele fișiere:
MIRC32.EXE, MLINK32.EXE, script.ini, MIRC.HLP, MIRC.INI creează disc script.ini fișierul script în directorul cu IRC-client.
6. Viermele creează, de asemenea, fișiere pe discul său în directoare de sistem cu propriile sale copii.
Numele fișierelor create:
MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS
Descărcarea fișierului troian
Viermele creează, de asemenea, fișiere pe discul său în directoare de sistem cu propriile sale copii. Numele fișierelor create:
MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS
Viermele înregistrează în secțiunea pentru fișierele automate de pornire:
Modificat cheile de registry ale sistemului:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
Rulați \ MSKernel32
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \
ActualVersion \ RunServices \ Win32DLL
Viermele creează dropper-ul HTML pe discul din directorul de sistem WINDOWS:
SCRIPT.INI trimite acest dropper HTM prin canalele IRC. După lansarea fișierului HTML, browserul afișează textul:
Acest fișier HTML necesită control ActiveX
Pentru a activa pentru a citi acest fișier HTML
- Apăsați butonul "YES" pentru a activa ActiveX
Apoi, viermele creează fișierul MSKERNEL32.VBS utilizând scriptul de program și îl atribuie inițierii în registrul de sistem:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
Rulați \ MSKernel32