Перейти к содержанию
AM_Bot

Чеврь Email-Worm.Win32.Nyxem.e уничтожит все документы...

Recommended Posts

AM_Bot

Лаборатория Касперского сообщает о росте числа заражений опасным интернет-червем Email-Worm.Win32.Nyxem.e. Особенно много сообщений о заражении поступает из Западной Европы и США.

...

Прочитать всю новость »

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот аналогичное предупреждение от Panda Software.

***********************************

Несколько дней назад лаборатория PandaLabs сообщила о появлении нового червя, которому было присвоено имя Tearec.A. Этот червь отключает защитные функции некоторых антивирусных программ, и пытается удалить файлы в системе. Вдобавок к высокому количеству зараженных компьютеров, третьего числа каждого месяца Tearec.A удаляет файлы, начиная с 3-го февраля. Когда мы видим вирусы, активирующиеся по определенным датам, в памяти всплывают призраки вирусов прошлого, от доисторических Friday 13 и Michelangelo до недавних, таких как некоторые версии Netsky.

Еще одной функцией этого червя является подсчет заражаемых компьютеров с помощью счетчика, размещенного на определенной веб-странице. Цифры на этом счетчике впечатляют. На время написания этой статьи Tearec.A нанес визит более 700 тысячам компьютеров, что вызвало значительный переполох.

Однако большая часть этих волнений и тревог необоснованна. Несмотря на то, что Tearec.A действительно проник на тысячи компьютеров, что подтверждается счетчиком, это не означает, что он дожидается 3-го февраля на всех этих компьютерах, чтобы начать уничтожать документы пользователя. Это лишь означает, что он проник в них. Во многих случаях пользователи обнаружили и уничтожили этот вредоносный код вовремя. Несмотря на то, что компьютер зарегистрирован в счетчике как зараженный, пользователь мог вылечить свою систему и 3 февраля не пострадает от Tearec.A.

Основной опасностью таких ИТ-угроз, как Tearec.A является не то, что они могут уничтожить хранимую в системах информацию в определенную дату. Что действительно тревожит, так это то, что они делают с информацией в тот день, когда они заражают компьютер. Если бы на месте такого простого червя, как Tearec.A оказался бы, скажем, бот, его создатель в течение недели получил бы контроль над 700 тысячами компьютеров, обладая свободой принятия ряда действий, от простых – таких как рассылка спама, до прочей, возможно криминальной, активности, такой как атаки отказа в обслуживании против других компьютеров, фишинг, кража паролей и т.д.

http://www.viruslab.ru/press/virusnews/detail.1374.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А вот комментарии этого события со стороны Доктора Веба :-)

1 февраля 2006 года

В последние дни в компанию Доктор Веб поступают многочисленные вопросы, связанные с ожидающейся 3 февраля так называемой атакой компьютерного червя., грозящего уничтожить всю информацию на сотнях тысяч компьютеров. Пользователей, а также представителей средств массовой информации интересует, действительно ли опасность столь велика, как о ней говорят, и защищает ли антивирус Dr.Web от этого червя?

Служба вирусного мониторинга компании .Доктор Веб. в этой связи сообщает следующее. Действительно, в настоящее время наблюдается относительно высокое присутствие в почтовом трафике червя Win32.HLLM.Generic.391 (описание вируса доступно по адресу http://info.drweb.com/virus/?virus=473) (имя по классификации .Доктор Веб., известен также как W32/[email protected]!M24,

Email-Worm.Win32.Nyxem.e, Win32.Blackmal.F, W32/Nyxem-D). В настоящее время он входит в первую десятку вирусов, постоянно обновляемую Службой вирусного мониторинга компании, занимая в ней 7 место.

Однако говорить о каких-либо ужасающих масштабах распространения этого почтового червя либо о нарастающем присутствии его в интернете серьезных оснований нет. Более того, его присутствие за последние дни даже уменьшилось, что говорит о том, что эпидемия - даже если о ней и можно было говорить в первые два дня - явно идет на убыль. Более того, специалисты аналитической лаборатории компании .Доктор Веб. не склонны вообще говорить об эпидемии применительно к Win32.HLLM.Generic.391 - целый ряд других почтовых червей, таких как Netsky или MyDoom, представляющие не меньшую опасность, стабильно занимают более высокие места в вирусной "табели о рангах".

Распространяющийся по электронной почте Win32.HLLM.Generic.391, будучи активированным на компьютере своей жертвы, старается уничтожить файлы ряда антивирусных программ, а также - по 3 числам каждого месяца - перезаписывает найденные на локальном жестком диске файлы документов и архивные файлы, фактически уничтожая их. Таким образом, 3 февраля - ближайшее третье число месяца - может обернуться для пользователей, не позаботившихся об антивирусной защите своих компьютеров, потерей важных для них данных. Правда, для тех пользователей, у которых не установлены антивирусные программы, ожидающийся 3 февраля "Судный день" наверняка наступил гораздо раньше - при том обилии вредоносного кода в интернете, которое наблюдается в наши дни, стать жертвой

какого-либо компьютерного вируса на не защищенном компьютере - вопрос нескольких минут. К тому же автор червя Nyxem не отличается большой изобретательностью, и возможности червя по распространению гораздо слабее, чем у тех же MyDoom или Netsky.

Следует отметить, что пользователям антивируса Dr.Web с первого момента появления этого червя какая-либо опасность не грозила - он детектировался эвристиком антивирусного ядра Dr.Web и поэтому попасть на компьютеры, где установлен этот антивирус, у него не было никаких шансов. Позднее его сигнатура была добавлена в вирусную базу Dr.Web как Win32.HLLM.Generic.391 - поскольку этот червь отнесен вирусными аналитиками компании .Доктор Веб. к семейству червей Sober.

Таким образом, широко разрекламированная "вирусная атака" 3 февраля - событие весьма заурядное на общем вирусном фоне современного интернета. Безусловно, нельзя преуменьшать последствия вредоносных действий червя, которые наступят 3 февраля для тех, кто ранее не позаботился о своей антивирусной защите. Однако информация,поступающая в Службу вирусного мониторинга компании .Доктор Веб., говорит о том, что какого-либо существенного ущерба в глобальном масштабе эти действия не принесут. Несмотря на то, что червь явно не российского происхождения, тревогу бьют почему-то в основном в России. При этом ведущие иностранные антивирусные компании довольно низко оценивают опасность этого червя. А защититься от него можно вполне тривиально - использовать надежный антивирус. И страсти нагнетать не стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

всем паникёрам я предложил сменить дату на компьютере..

ПОМОГЛО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
всем паникёрам я предложил сменить дату на компьютере..

ПОМОГЛО.

И так делать каждый месяц, 2-го числа сразу на 4-е переводить :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

сразу на третье :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот комментарии компании StarForce по поводу возникшей угрозы:

******************************

Паника бродит по всемирной паутине! Пользователи в ужасе ждут 3-е февраля. В Интернете объявилась ужасающая вредоносная программа, поразившая уже сотни тысяч ПК и при этом набирающая обороты…

Согласно различным источникам, деятельность зловредного червя Nyxem.e (он же Tearec.A и мн. др.) грозит катастрофическими последствиями: 3-го числа уничтожить информацию, содержащуюся в файлах самых распространенных форматов, обезвредить защиту, установленную на ПК, разослать себя по всему списку найденных в компьютере адресов, откопироваться на всех доступных с ПК сетевых ресурсах и при всем том периодически загружать свои обновления из сети! Неплохой набор. Судя по количеству таких предупреждений в Интернете можно подумать, что все пропало. Так ли это?

Мнение разработчиков проактивной системы защиты Safe’n’Sec от компании StarForce

На дворе уже не то что конец XX-го века, а уже XXI-й, а у нас все по классике - одна пара валенок на двоих! К сожалению, практически все персональные пользователи, а иногда и руководители предприятий, до сих пор не осознают того, что защищать как отдельные ПК и корпоративные сети от вредоносных программ и несанкционированного проникновения не просто нужно, а жизненно необходимо! Причин сотни – от персональных данных, номеров счетов и кредитных карт до информации грандиозной коммерческой важности, на миллиарды долларов! И защищать не чем-нибудь и как-нибудь, а КАЧЕСТВЕННО.

Понятное дело, понимание качества у всех разное: чем плоха, например, антивирусная программа?! Ну, подумаешь, вирус, червь, шпион или другая вредоносная программа засядет в системе, испортит документы, сворует номера кредиток, пароли, пины, балансы, отчеты и разошлет по всей паутине?! Мы потом это дело «полечим» антивирусом, что-то восстановим, что-то нет. Подумаешь!.. Мы же богатые! И по традиции получается следующее: появляется в Интернете новый вирус/червь/троян и тут же начинается паника, лихорадочное обновление антивирусов для противостояния программе, которая уже сотни раз поменяла свою модификацию и существует в стольких же вариантах, а значит, обновление сигнатур мягко говоря ЗАПАЗДЫВАЕТ. Традиционные виды защиты на сегодня не способны справиться с лавиной новых, все более изощренных видов угроз. Выход из ситуации видится в применении передовых проактивных (они же превентивные) технологий, основанных на анализе поведения программ в системе. Они останавливают опасные действия, ПРЕЖДЕ чем последние смогут нанести какой-либо вред системе и работающим приложениям. Без превентивных технологий сегодня немыслима безопасность ПК и компьютерных сетей. Когда пользователи, наконец, поймут, что защита должна быть предупреждающей, опережать угрозу, а не «лечить» последствия, тогда и не будет ни паники, ни мыслей типа «скоро судный день».

Когда же это будет? Когда мы станем умнее!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.9
      ---------------------------------------------------------
       o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
         Только для Windows 8.1/Windows Server 2012 R2 и старше.  o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.  o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.  
    • PR55.RP55
      https://habr.com/ru/post/214953/ На подобное событие антивирус также может реагировать - если сервер будет в чёрном списке. Да и уязвимости...  
    • demkd
      а вот это странно, надо будет почитать может еще что-то отключать надо
    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions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hcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
×