Новый опасный червь обнаружен в "диком" виде

07.08.2002 | 15:26
Антивирусная компания Sophos сообщает о появлении новой модификации интернет червя W32/Chir-B. Пока что компания получила всего одно сообщение о появлении этого вируса в "диком" виде.

W32/Chir-B - это почтовый червь, отсылающий свои копии по всем адресам, найденным в адресной книге Windows, а также файлах *.adc, *r.db, *.doc, и *.xls.

Червь использует Iframe и MIME уязвимости, вследствие чего проникает в систему лишь при просмотре зараженного письма.

Червь вносит изменения в системный реестр, обеспечивающие его запуск при загрузке ОС, и в дальнейшем следит за тем, чтоб внесенная им запись не была удалена или модифицирована.

Затем W32/Chir-B ищет HTM и HTML файлы как в локальной системе, так и на сетевых дисках и заражает их. Заражение заключается в том, что в папку, содержащую указанные файлы, добавляется файл readme.eml, а в HTML код найденных страниц добавляется скрипт, который запускает readme.eml, содержащий копию червя.

Интересен тот факт, что вирус не заражает файлы, находящиеся в папках с именами "wind*" или "winn*".

Деструктивная функция червя заключается в том, что в начале месяца он перезаписывает первые 1234 байта всех найденных *.adc, *r.db, *.doc и *.xls файлов мусором.

Следует также отметить, что при попытке пользователя удалить процесс, запущенный червем, W32/Chir-B его восстановит.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.sophos.com
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код