Воронежские новости

16.06.99

Смертельный ZIP

"Лаборатория Касперского", ведущий российский разработчик антивирусных систем безопасности, предупреждает компьютерных пользователей о появлении в "живом виде" нового опасного "червя", получившего название I-Worm.ZippedFiles. В первый же день распространения I-Worm.ZippedFiles собрал обильный урожай: пораженными оказались многие крупные компании и организации. "Лаборатория Касперского" получила сообщения о заражении из Германии, Греции, Канады, России, Чехии и других стран.

"Червь" рассылает свои копии при помощи команд популярных почтовых программ Microsoft Outlook, Outlook Express и т.д. Зараженное сообщение электронной почты содержит вложенный зараженный файл (ZIPPED_FILES.EXE) и следующие строки:

Hi [имя получателя]!

I received your email and I shall send you a reply ASAP.

Till then, take a look at the attached zipped docs.

bye [или sincerely [имя отправителя]]

Адреса получателей этого письма "червь" "выдергивает" из полученных ранее и не прочитанных сообщений, находящихся в папке "Входящие" ("InBox") на зараженном компьютере. При запуске вложенного файла ZIPPED_FILES.EXE на экране появляется предупреждающее окно диалога с сообщением о якобы произошедшей ошибке распаковки архива. Внедряясь в систему, "червь" прописывает себя двумя путями. Или под именем EXPLORE.EXE в системный каталог Windows (c:\windows\system), или как _SETUP.EXE в каталоге Windows (c:\windows). В обоих случаях "червь" добавляет запуск этих программы в конфигурационный файл WIN.INI (команда "run="). "Червь" имеет одну характерную особенность, позволяющую легко узнать о его присутствии на компьютере. Данные о его работе присутствуют в списке задач Windows, вызываемом посредством нажатия комбинации клавиш Ctrl-Alt-Del.

При запуске ZIPPED_FILES.EXE, "червь" просматривает диски от C: до Z: и уничтожает (обнуляет) данные в файлах с расширениями DOC, XLS, PPT, ASM, C, HA.

Пользователи AVP могут получить внеочередное дополнение к антивирусной базе, содержащее процедуры обнаружения и удаления I-Worm.ZippedFiles, на корпоративном сайте "Лаборатории Касперского" по адресу www.avp.ru

Источник: Лаборатория Касперского

[Последние] [Архив]