 |  |
|
|
|
||
|
| |||
|
| |||||||||||||||||||||||||||||||
Hi-TechИнформация о черве Sobig.F
2:29PM Wednesday, Aug 20, 2003
Компьюлента. 20 августа 2003 года, 14:29
Некоторые подробности о вирусе Sobig.F, эпидемия которого продолжается второй день, сообщает "Лаборатория Касперского". По мнению специалистов - это крупнейшая эпидемия почтового червя за последние полтора года. Вирус Sobig.F распространяется по электронной почте и не использует уязвимости в браузере или почтовой программы для автоматического запуска вложенного в сообщение файла. Вложенный файл с кодом вируса может иметь одно из следующих имен: movie0045.pif, wicked_scr.scr, application.pif, document_9446.pif, details.pif, your_details.pif, thank_you.pif, document_all.pif, your_document.pif Размер упакованного файла вируса - около 70 Кб, распакованного - около 100 Кб. Число тем сообщения также ограничено: Re: That movie, Re: Wicked screensaver, Re: Your application, Re: Approved, Re: Re: My details, Re: Details, Your details, Thank you!, Re: Thank you! В теле письма присутствует строка "See the attached file for details" или "Please see the attached file for details." В случае, если пользователь запустит вложенный файл, вирус копирует себя в каталог Windows под именем winppr32.exe и регистрирует этот файл в системном реестре, обеспечивая запуск вредоносного кода после перезагрузки системы. Во всех папках на локальных дисках червь ищет файлы с расширениями *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP. В этих файлах производится поиск адресов электронной почты. После этого червь Sobig.F, с помощью встроенного smtp-сервера, рассылает сообщения по обнаруженным адресам. Поле отправителя сообщения подделывается - в него может быть подставлен один из обнаруженных электронных адресов, либо адрес "[email protected]". Кроме того, вирус создает файл winstt32.dat в системной папке Windows, в который помещаются все обнаруженные адреса электронной почты. Помимо "работы" на локальных дисках, вирус сканирует все доступные папки в локальной сети и копирует в них себя со случайным именем и расширением .EXE. Деструктивных функций у червя нет, но он посылает UDP-пакеты на определенные IP-адреса на порт 8998 и ждет команд из сети. По полученной таким образом ссылке, червь может скачать файл и запустить его на выполнение. Таким образом, теоретически возможна установка и запуск новой версии вируса или установка троянской программы. В вирусе запрограммировано прекращение работы до 10 сентября 2003 года. Первая версия вируса Sobig была обнаружена 9 января 2003 года. Несмотря на то, что код вируса практически не менялся, появление каждой новой версии вызывало довольно большое число заражений. В версии червя Sobig.D, появившейся в июне, также было предусмотрено прекращение работы в определенный день. Вирус Sobig.C отличался от других модификаций тем, что зараженные файлы распространялись с адресом Билла Гейтса ([email protected]) в поле отправителя. Вирус Sobig.E рассылал зараженный файл в ZIP-архиве. По материалам "Компьюленты"
Другие новости по теме
• Новая 7.1 канальная акустика от TerraTec…• В Xbox 2 будут ставить ATI… • Вышла бета-версия Windows для AMD64… • USB Flash Disk становится загрузочным… • Спрос на смартфоны растет бурными темпами… • Опубликован новый роадмап Intel… • Радиочипы, не боящиеся химчистки… • Надежность ПК проверят в космосе… • Информацию на HDD будут писать ''наоборот''…
|
Рассылки:
 Новости-почтой TV-Программа Гороскопы Job Offers Концерты Coupons Discounts Иммиграция Business News Анекдоты Многое другое... |
|||||||||||||||||||||||||||||||
 | |
| News Central Home | News Central Resources | Portal News Resources | Help | Login | |
 | |
 |
|
 
|
© 2025 RussianAMERICA Holding All Rights Reserved • Contact |
