Ужасный Троян приступит к делу 3 февраля 2006 года?

[kai]

Господа!

Правда ли, что в Интернете бродит вирус (не смейтесь), который поселившись в компьютере, приступит к делу 3 февраля 2006 года?

Вопрос задаю по той причине, что мой Касперский не обновляется уже 7 дней, и соответственно меня интересует – велика ли вероятность того, что я этот вирус уже приобрел?

[AKVELON]

Он будет уничтожать все файлы Office - Exce,Word,PowerPoint,Outlook !!!!!

Но если про него зарание знают - то уже есть лекарство ! ;)

А может ето 1 апрельская шутка ?

[DIMKA-vrn]

Вредоносная программа распространяется через интернет в виде вложений в зараженные электронные письма, а также файлов, расположенных на открытых сетевых ресурсах. По данным специалистов, на данный момент количество зараженных компьютеров равно нескольким сотням тысяч. Их число продолжает расти, что заставляет говорить о серьезности масштаба распространения данной вредоносной программы.

Это делает особенно опасной характерную особенность Nyxem.e, состоящую в уничтожении хранимой на зараженном компьютере информации каждого третьего числа месяца. Таким образом, 3 февраля 2006 года может стать последним днем для сотен тысяч ПК, пораженных Nyxem.e.

Червь представляет собой исполняемый в среде Windows файл размером 95 Кб, приложенный к письму с заголовком из заранее созданного автором списка, насчитывающего около 25 позиций. При этом текст письма и наименование приложенного файла также имеют около 20 разнообразных вариантов исполнения, что затрудняет оперативное обнаружение зараженного письма пользователем.

Активизация червя производится пользователем при самостоятельном запуске зараженного файла. После запуска Nyxem.e принимает дополнительные меры для дезориентации пользователя: червь скрывает свою основную функциональность, создавая в системном каталоге Windows ZIP-архив с тем же именем, что и изначально запущенный файл, а затем открывая этот архив. При инсталляции червь копирует себя под несколькими именами в корневой и системный каталоги Windows, а также каталог автозагрузки, после чего регистрирует себя в ключе автозапуска системного реестра. Таким образом, при каждой следующей загрузке Windows автоматически запускает вредоносный процесс.

Затем Nyxem.e сканирует файловую систему пораженного компьютера и рассылает себя по всем найденным адресам электронной почты. Для отправления зараженных писем червь пытается установить прямое соединение с SMTP-сервером. Параллельно червь копирует себя в доступные с пораженного компьютера сетевые ресурсы под именем Winzip_TMP.exe, таким образом увеличивая масштаб своего распространения за счет пользователей, загрузивших данный файл.

При этом вредоносная программа прерывает процессы, осуществляющие персональную защиту компьютера, и предотвращает их повторный запуск, оставляя атакованный ПК незащищенным. Располагая полным контролем над зараженной машиной, Nyxem.e также способен самостоятельно загружать свои собственные обновления из интернета, изменяясь в зависимости от воли автора.

В дополнение к указанным выше, особую опасность представляет также содержащаяся в Nyxem.e деструктивная функция. В соответствие с ней, червь регулярно сверяется с системной датой компьютера и в случае, если она соответствует третьему числу, через 30 минут после загрузки ПК уничтожает информацию в файлах наиболее распространенных форматов, замещая ее бессмысленным набором символов.

"Судя по присутствию червя в мировом интернет-трафике и все возрастающему потоку жалоб от пользователей, заражению Nyxem.e подверглось значительное число компьютеров по всему миру, количество которых может оцениваться в сотни тысяч. Это означает только одно - 3 февраля может стать Судным днем для многих беспечных пользователей, которые могут потерять ценные данные в случае, если их компьютеры подверглись заражению Nyxem.e. Поэтому я обращаюсь ко всем пользователям компьютеров с просьбой принять простые меры для предотвращения заражения данным червем: не запускать объекты, вложенные в любые письма, получение которых не ожидалось, обновить антивирусные базы установленной на ПК антивирусной защиты и затем провести полную проверку компьютера", - сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

http://soft.mail.ru/pressrl_page.php?id=13832

Изменено 1 февраля, 2006 пользователем DIMKA-vrn

[Stolik]

kai

Не троян, а червь.

Активизация червя производится пользователем при самостоятельном запуске зараженного файла.

Если не открывал вложений к неизвестным письмам - все ОК.

[Darth Emil]

Каждую минуту появляются разные вири и трояны. Какой смысл их обсуждать?

[elsp]

Darth Emil:

Смысл уж бОльший, нежели обсуждать темы во флейме или политике.

kai:

Если у тебя пустой почтовый ящик и ты не связан по рукам и ногам супер важной информацией, к которой можно подступиться посредством майкрософтовского офиса и его приложений - тебе нечего бояться. Хоррор червя грозит лишь крупным компаниям. Это сущая пустышка, по сравнению с бластерами.

[DIMKA-vrn]

Каждую минуту появляются разные вири и трояны. Какой смысл их обсуждать?

на очень многих сайтах и форумах прошел слух о нем как о самой злой дряни 2006 вот и все бояться хотя это один из многих червей которые просто пройдут не замечеными, вот и глянем 3 числа ;)

[elsp]

DIMKA-vrn:

Да, многие считают, что не стоит пороть горячку, что это просто напросто Кашперович опять зарисовался... Но я так не думаю ) Убытки будут исчисляться миллионами, это точно, если не дойдет до 9 нулей.. что вполне возможно в США.

[GUST]

сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

Вот, видишь, к чему приводит сполошная монополия? :D

Он сказал - ВИРУС! (АТУ ЕГО!!!) И все Касперовичевские приступили к делу...

А мне жалко его! При такой светлой голове и гениальных извилин иметь (Или не иметь?) таких ТУПЫХ промоутеров!

Не бери в голову!

Пользуйся НОРТОНОМ, NOD32, и забудешь про прибабахи этого Каспидровича/Евгеньевича. :D

[Варлок]

Пришла какя-то дрянь на мыло. Без темы. С кодом внутри текста. Отправил в спам

<img src=3Dcid:a41471e76d560076288e550cee8dd2ea>------------HNEQQFFQMN2A69R1Content-Type: image/gifContent-Transfer-Encoding: base64Content-Disposition: inline; filename="uakthkk"Content-ID: <a41471e76d560076288e550cee8dd2ea>

...далее идёт код на 60 кило.

Видно шифровалось под гиф, но как-то фигово шифровалось.

Мож это это оно и было.

[ZooM]

Да, не все антивири одинаковые.

Включат ли этот вирь в базу Dr.Web? Сможет ли он его опознать в системе, если он там есть?

[GUST]

Варлок:

Это сугубо для профессионалов... 60 КБ довесок к мылу? Да ещё и .GIF?

Для вируса что-то слабовато

Для справки: полученные мылы сортируются провайдерами/серверами.

Если до меня доходят всякие гадости, то я их БЛОКИРУЮ!

Так что начни настраиваться с ПРОГИ почты и ПРОВАЙДЕРА!

Успехов! :D

[GUST]

Включат ли этот вирь в базу Dr.Web? Сможет ли он его опознать в системе, если он там есть?

Если АПДейдишься вовремя - ничего не страшно... :D Базы антивирей все взаимосвязаны, не боись.

В Инете держи прогу включеную.

Если очень беспокоишься за ОСь, периодически (смазывай!) делай СКАН другими Антивирями, Ad-Aware SE Personal и прочая...

Сосредоточься! :D

[Saule]

Да, не все антивири одинаковые.

Включат ли этот вирь в базу Dr.Web? Сможет ли он его опознать в системе, если он там есть?

Сможет Потому что несмотря на достаточно жесткую конкуренцию, антивирусные компании сотрудничают друг с другом и при появлении нового опасного быстро распространяющегося червя практически моментально оповещают своих коллег-конкурентов. Более того, примерно раз в месяц большинство антивирусных компаний рассылают друг другу, если так можно выразиться, свой месячный "улов" + постоянно идет обмен информацией в специализированных конференциях.

Вот список названий, которые были даны этому вирусу (The Blackworm, Nyxem, KamaSutra Worm) самыми известными антивирусными компаниями:

AntiVir Worm/KillAV.GR

Avast! Win32:VB-CD [Wrm]

AVG Worm/Generic.FX

BitDefender Win32.Worm.P2P.ABM

ClamAV Worm.VB-8

Command W32/Kapser.A@mm (exact)

Dr Web Win32.HLLM.Generic.391

eSafe Win32.VB.bi

eTrust-INO Win32/Blackmal.F!Worm

eTrust-VET Win32/Blackmal.F

Ewido Worm.VB.bi

F-Prot W32/Kapser.A@mm (exact)

F-Secure Email-Worm.Win32.Nyxem.e

Fortinet W32/Grew.A!wm

Ikarus Email-Worm.Win32.VB.BI

Kaspersky Email-Worm.Win32.Nyxem.e

McAfee W32/MyWife.d@MM

Nod32 Win32/VB.NEI worm

Norman W32/Small.KI

Panda W32/Tearec.A.worm

QuickHeal I-Worm.Nyxem.e

Sophos W32/Nyxem-D

Symantec W32.Blackmal.E@mm

Trend Micro WORM_GREW.A

VBA32 Email-Worm.Win32.VB.bi

VirusBuster Worm.P2P.VB.CIL

[Father]

Господа!

Правда ли, что в Интернете бродит вирус (не смейтесь), который поселившись в компьютере, приступит к делу 3 февраля 2006 года?

Вопрос задаю по той причине, что мой Касперский не обновляется уже 7 дней, и соответственно меня интересует – велика ли вероятность того, что я этот вирус уже приобрел?

Да это больше похоже на пиар под лозунгом "покупайте антивирусные программы", который разумно, с точки зрения маркетинга, запустить в начале года, когда покупательская активность традиционно несколько снижена. А Касперского все же обновляйте -- это естественная гигиена вашей машины.

[Hawk]

Kai

Ну если у вас касперский не обновляется 7 дней - это несколько подозрительно, тогда попробуйте обновить сами. Хотя это может и не означать, что вы подцепили этот червь.

Ниже приведены некоторые характеристики этого вируса и как можно от него избавиться:

"Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ.

Инсталляция

После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например:

%System%\Sample.zip

При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами:

%System%\New WinZip File.exe

%System%\scanregw.exe

%System%\Update.exe

%System%\Winzip.exe

%System%\WINZIP_TMP.EXE

%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

%Windir%\rundll16.exe

После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"ScanRegistry"="scanregw.exe /scan"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие ключи реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"WebView"="0"

"ShowSuperHidden"="0"

Распространение через emailДля поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

dbx

eml

htm

imh

mbx

msf

msg

nws

oft

txt

vc

Червь также сканирует файлы, имеющие в своем имени следующие подстроки:

content

temporary

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

*Hot Movie*

A Great Video

Arab sex DSC-00465.jpg

eBook.pdf

Fuckin Kama Sutra pics

Fw:

Fw: DSC-00465.jpg

Fw: Funny :)

Fw: Picturs

Fw: Real show

Fw: SeX.mpg

Fw: Sexy

Fwd: Crazy illegal Sex!

Fwd: image.jpg

Fwd: Photo

give me a kiss

Miss Lebanon 2006

My photos

Part 1 of 6 Video clipe

Photos

Re:

Re: Sex Video

School girl fantasies gone bad

The Best Videoclip Ever

You Must View This Videoclipe!

Текст письма:

----- forwarded message -----

>> forwarded message

forwarded message attached.

Fuckin Kama Sutra pics

hello, i send the file. Bye

Hot XXX Yahoo Groups

how are you? i send the details.

i attached the details. Thank you.

i just any one see my photos. It's Free :)

Note: forwarded message attached. You Must View This Videoclip!

Please see the file.

Re: Sex Video

ready to be FUCKED

The Best Videoclip Ever

VIDEOS! FREE! (US$ 0,00)

What?

Имя файла-вложения:

007.pif

04.pif

3.92315089702606E02.UUE

677.pif

Attachments[001].B64

document.pif

DSC-00465.Pif

DSC-00465.pIf

eBook.PIF

eBook.Uu

image04.pif

New_Document_file.pif

Original Message.B64

photo.pif

School.pif

SeX.mim

WinZip.BHX

Word_Document.hqx

Word_Document.uu

Распространение через открытые сетевые ресурсы

Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe:

ADMIN$

C$

Прочее

В случае обнаружения на зараженном компьютере червь удаляет следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

"APVXDWIN"

"avast!"

"AVG_CC"

"AVG7_CC"

"AVG7_EMC"

"AVG7_Run"

"Avgserv9.exe"

"AVGW"

"BearShare"

"ccApp"

"CleanUp"

"defwatch"

"DownloadAccelerator"

"kaspersky"

"KAVPersonal50"

"McAfeeVirusScanService"

"MCAgentExe"

"McRegWiz"

"MCUpdateExe"

"McVsRte"

"MPFExe"

"MSKAGENTEXE"

"MSKDetectorExe"

"NAV Agent"

"NPROTECT"

"OfficeScanNT Monitor"

"PCCClient.exe"

"pccguide.exe"

"PCCIOMON.exe"

"PccPfw"

"Pop3trap.exe"

"rtvscn95"

"ScanInicio"

"ScriptBlocking"

"SSDPSRV"

"TM Outbreak Agent"

"tmproxy"

"Vet Alert"

"VetTray"

"VirusScan Online"

"vptray"

"VSOCheckTask"

Также червь выгружает из системы запущенные приложения, в именах которых присутствуют следующие строки:

fix

kaspersky

mcafee

norton

removal

scan

symantec

trend micro

virus

Червь удаляет все найденные файлы из следующих папок:

%ProgramFiles%\Alwil Software\Avast4\*.exe %ProgramFiles%\BearShare\*.dll

%ProgramFiles%\DAP\*.dll

%ProgramFiles%\Grisoft\AVG7\*.dll

%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe

%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl

%ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar

%ProgramFiles%\McAfee.com\Agent\*.*

%ProgramFiles%\McAfee.com\shared\*.*

%ProgramFiles%\McAfee.com\VSO\*.exe

%ProgramFiles%\Morpheus\*.dll

%ProgramFiles%\NavNT\*.exe

%ProgramFiles%\Norton AntiVirus\*.exe

%ProgramFiles%\Symantec\Common Files\Symantec Shared\*.*

%ProgramFiles%\Symantec\LiveUpdate\*.*

%ProgramFiles%\Trend Micro\Internet Security\*.exe

%ProgramFiles%\Trend Micro\OfficeScan Client\*.exe

%ProgramFiles%\TREND MICRO\OfficeScan\*.dll

%ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe

%ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe

Все перечисленные действия червя делают систему более уязвимой для последующих атак.

Также червь может загружать из интернета свои обновления без ведома пользователя.

Также на зараженном компьютере червь может блокировать работу мыши и клавиатуры.

Третьего числа каждого месяца через 30 минут после загрузки зараженного компьютера червь перезаписывает файлы, имеющие следующие расширения:

dmp

doc

mdb

mde

pdf

pps

ppt

psd

rar

xls

zip

Испорченные файлы содержат следующий текст:

DATA Error [47 0F 94 93 F4 F5]

Рекомендации по удалению1. Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).

2. В диспетчере задач найдите процесс с одним из следующих имен:

3. New WinZip File.exe

4. rundll16.exe

5. scanregw.exe

6. Update.exe

7. Winzip.exe

8. WINZIP_TMP.EXE

WinZip Quick Pick.exe

Если обнаружите такой процесс — завершите его.

9. Вручную удалите следующие файлы из корневого и системного каталогов Windows и каталога автозагрузки:

10. %System%\New WinZip File.exe

11. %System%\scanregw.exe

12. %System%\Update.exe

13. %System%\Winzip.exe

14. %System%\WINZIP_TMP.EXE

15. %User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

%Windir%\rundll16.exe

16. Удалите из системного реестра следующую запись:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"ScanRegistry"="scanregw.exe /scan"

17. Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.

18. В случае если были повреждены ваши персональные программы (в большинстве случаев это антивирусные программы и межсетевые экраны), заново установите требуемое программное обеспечение. "

[DIMKA-vrn]

Да это больше похоже на пиар под лозунгом "покупайте антивирусные программы", который разумно, с точки зрения маркетинга, запустить в начале года, когда покупательская активность традиционно несколько снижена. А Касперского все же обновляйте -- это естественная гигиена вашей машины.

конечно это касперский его и создал чтобы раскрутить свою прогу жутко глючную типо смотрите наш анитвирь самый лучший и все , у мнея нету никаких антивирей и файрволов и все норма никаких червей нету :sm(100):

Изменено 2 февраля, 2006 пользователем DIMKA-vrn

[alancor]

Вот пройдёт 3-е февраля, и что.... и про этот топик можно будет забыть, как некчомный, а вот ежель задать этот вопрос в похожем топике про вирусы, но куда сливают всю информацию про них вот тогда, заходя туда обязательно при прочитке народ натыкался бы на эти разъяснения, наверняка есть объёмные топы про вирусы :sm(100):

Изменено 2 февраля, 2006 пользователем alancor

[Тролль]

DIMKA-vrn:

у мнея нету никаких антивирей и файрволов и все норма никаких червей нету

Ты для интереса все же проверь комп каким-нибудь свежим антивирусом и программой вроде Ad-Aware. Если проверишь, для интереса отпишись. Хотя встроенный файерволл Windows XP, если ты его не отключал, работает неплохо. А вот если нет... тут один товарищ тоже жил припеваючи, а при проверке нашел, что в компьютере проживает 141 нечисть. И все было прекрасно. Естественно, кто же рубит сук, на котором сидит? Только злобные извращенцы вроде обсуждаемого вируса.

[Saule]

Специальный сканер, созданный для обнаружения и удаления именно этого вида червя:

http://securityresponse.symantec.com/avcenter/FixBmalE.exe

Если кому-то все-таки страшно, провертесь :(

Нужно скачать и запустить.

Если что-то найдет, то имейте в виду, что в Windows XP или Me необходимо предварительно отключить функцию System Restore.

В случае, если что-либо начнет сопротивляться при удалении, то повторите сканирование в безопасном режиме.

[DIMKA-vrn]

DIMKA-vrn: Ты для интереса все же проверь комп каким-нибудь свежим антивирусом и программой вроде Ad-Aware. Если проверишь, для интереса отпишись. Хотя встроенный файерволл Windows XP, если ты его не отключал, работает неплохо. А вот если нет... тут один товарищ тоже жил припеваючи, а при проверке нашел, что в компьютере проживает 141 нечисть. И все было прекрасно. Естественно, кто же рубит сук, на котором сидит? Только злобные извращенцы вроде обсуждаемого вируса.

ладно чего нибудь поставлю и проверю, у меня стоит файрвол виндовса мне хватает а при интсалации других начанаються глюки :(

[Le$Hk@]

«Лаборатория Касперского» напоминает, что в пятницу, 3 февраля, впервые активизируются деструктивные функции червя Nyxem.e.

Червь проверяет системное время и 3 числа каждого месяца уничтожает содержимое файлов со следующими расширениями:

dmpdocmdbmdepdfppspptpsdrarxlszip

Восстановить уничтоженные червем данные будет невозможно.

Червь также пытается противодействовать работе антивирусных программ.

«Лаборатория Касперского» рекомендует пользователям произвести резервное копирование важных для них файлов до полуночи с четверга на пятницу.

Детектирование Nyxem.e было добавлено в базы данных Антивируса Касперского 16 января. Для надежной защиты от этого червя пользователям Антивируса Касперского необходимо скачать новейшие антивирусные базы.

Если ваш компьютер уже заражен и как следствие вы не можете запустить свой антивирус, то воспользуйтесь инструкциями по ручному удалению Nyxem.e.

http://www.viruslist.com/ru/viruses/encycl...sid=109064#doc2

[DIMKA-vrn]

2Le$Hk@ круто :D :) вчера видел по ящику репортаж об этом вирусе, все ринулись скупать антивири в магазинах очереди, вирус типо страшный :) караул берегись, этот вирус придумали те кто по идее должен их же и лечить типо касперский и прочии компании чтобы их антивири покупали потому что спрос на них упал :D и даже сказали что потери от него могут составить милиард долларов :D

2Тролль постоавил касперского проверил нету ничего :)

[Тургеневская барышня]

видела сегодня репортаж о вирусе - истерия полная творится

ну а в сибири всё спокойно....

[pinmix]

Народ, а вы уверены что это шутка?!

Вот мой ком сегодня не работает!

Запускается только в безопасном режиме...(т.е. без загрузки всякой фигни! в т.ч. может и вируса этого)

В общем вставил я диск с виндой да запустил востановление...

Комп вроде заработал, но у меня вопрос помогло ли это ему, или это временно?

Ведь утром мой комп работал, а после перезагрузки - все, Писец!

Ваши варианты?

Кстати система может перезагрузиться просто так, и антивирь выдает ошибку при попытке сканирования... :)