новость Вирус Mydoom/Novarg переплюнул Sobig.F

28.01.2004

Эпидемия вируса-червя Novarg (он же Shimgapi или Mydoom) по масштабам сопоставима с прошлогодней эпидемией вируса Sobig.F, отмечают эксперты. Поскольку вирус запрограммирован с 1 по 12 февраля вести атаку "denial-of-service" на сайт корпорации SCO Group, которая преследует компании за использование ОС Linux (права на которую якобы принадлежат SCO), вирус расценивается наблюдателями как довольно неожиданное оружие сообщества линуксоидов.

Антивирусные компании повысили уровень риска, присвоенный вирусу Novarg: компания Symantec определила вирус как "угрозу уровня 4" (на 1 меньше максимальной), а F-Secure и MessageLabs полагают, что риск высочайший. По данным MessageLabs, вирус распространяется в рекордных объемах: 1 из каждых 12 электронных писем. Этот результат превзошел даже лучшие результаты вируса Sobig.F (1 из 17). За первые 27 часов эпидемии MessageLabs перехватила более 1,5 миллиона копий Novarg. К настоящему моменту его появление отмечалось в 142 странах. По данным F-Secure, за первые сутки эпидемии Novarg успел заразить около 100 тысяч компьютеров.

Novarg рассылается в письмах с заголовками "Hi", "Hello", "Mail Transaction Failed", "Mail Delivery System", "Server Report" или "Test" в виде приложения с расширениями .bat, .cmd, .exe, .pif, .scr или .zip. Письма имитируют автоматически сгенерированные технические сообщения; в некоторых говорится: "The message contains unicode characters and has been sent as a binary attachment" или "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment". При открытии файла вирус инсталлируется в системную папку Windows и копируется в директорию KaZaA, где хранятся скаченные файлы. Иногда вирус притворяется исполняемыми файлами Winamp5, icq2004-final, Activation_Crack, Strip-gril-2.0bdcom_patches, RootkitXP, Officecrack или Nuke2004 и доступен другим пользователям KaZaA. Novarg сканирует компьютер в поисках электронных адресов и с помощью встроенного SMTP-клиента рассылает сам себя по всем обнаруженным адресам, в поле "From" подставляя произвольный адрес. Также вирус создает на зараженном компьютере "черный ход" (открыв TCP-порты 3127-3198), что потенциально позволит автору вируса удаленно использовать пользовательскую машину.

Для вируса уязвимы компьютеры, где установлена ОС Windows 95, 98, ME, NT, 2000 и XP. Пользователям рекомендуется проверить, не присутствует ли в их системной директории файл shimgapi.dll, и обновить базы антивирусного ПО.

Wired News, CNET News.com, IDG, The Register, InternetNews, Slashdot

28.01.2004


новость Новости по теме