Panda Software съобщава за появяването на Famus.B. Това е червей, който изпраща поверителни данни от заразения компютър на автора си. Данните включват пощенски акаунт, сървър, компания, потребителско име, използвана версия на Windows, име на компютъра и т.н.
Famus.B достига компютъра в съобщение с тема Ирак и престъпността (Iraq and the crime) и прикачен файл IRAQ.SCR.
Famus.B лесно се разпознава, тъй като достига компютъра в съобщение със следните характеристики:
Subject:
Iraq and the crime
Message:
what is really happening in Iraq?
the pictures of the soldiers and prisoners in Iraq
foward this message.
everybody should know the truth.
Que esta sucediendo realmente en Iraq?
Estas son las fotos de los prisioneros y los
soldados en Iraq.
Reenvia este mensaje, todo el mundo debe saber la verdad.
Attachments:
IRAQ.SCR
Освен това, показва на екрана следното съобщение.
Стратегия на заразяване:
Famus.B създава следните файлове:
- IRAQ.SCR, в системната директория на Windows и в Recycle Bin. Този файл е копие на червея.
- SMTP.OCX в системната директория на Windows. Този файл е разрешена библиотека, която включва SMTP функции, които червея използва, за да се изпраща автоматично по e-mail и да заразява други компютри.
- LIBERTAD DE EXPRESION PARA CUBA в root директорията на C: drive. Този файл е копие на червея.
- J.JPG в root директорията на C: drive. Този файл съдържа паролата за декомпресиране на приложения файл, в който Famus.B достига до компютъра.
Famus.B създава следните входове в Windows Registry:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
Sav32 = C: recycled IRAQ.scr
Така Famus.B си осигурява стартиране, заедно с това на Windows.
Забележка: Sav32 е антивирусна програма на кубинска компания.
Начин на предаване:
Famus.B се разпространява по e-mail. Следва разписанието:
Стига до компютъра в съобщение със следните характеристики:
Sender:
Famus.B не фалшифицира e-mail адреса, от който е изпратен. Използва датата на Outlook Express.
Subject:
Iraq and the crime
Message:
what is really happening in Iraq?
the pictures of the soldiers and prisoners in Iraq
foward this message.
everybody should know the truth.
Que esta sucediendo realmente en Iraq?
Estas son las fotos de los prisioneros y los
soldados en Iraq.
Reenvia este mensaje, todo el mundo debe saber la verdad.
Attachments:
IRAQ.SCR
Компютърът се заразява, когато е стартиран приложеният файл.
Famus.B търси e-mail адреси във файлове с разширения DOC, EML, HTM и HTT.
Famus.B изпраща свое копие на всички намерени адреси, като използва външна SMTP библиотека.
Въпреки че не е видим във всеки един момент, Famus.B съдържа следния текст в кода си :
Esta computadora ha sido infectada
por el virus LIBERTAD.
Como protesta por la violacion del
derecho a la libertad de expresion en
Cuba.
En estos momentos toda la informacion de
su
disco duro esta siendo borrada
El Hobbit
Заразен ли е компютърът ми?
За да сте абсолютно сигурни, че Famus.B не е заразил Вашия компютър, имате следните опции:
-Проверете дали сте получили съобщение с описаните по-горе характеристики.
-Сканирайте компютъра изцяло, използвайки антивирусен продукт на Panda, след като сте проверили дали програмата е обновила вирусните си дефиниции.
Как да премахнете Famus.B?
Преди всичко, ако сте получили съобщение с описаните по-горе характеристики, не стартирайте прикачения файл и го изтриите, включително и от папката Deleted Items.
Ако Panda Antivirus или Panda ActiveScan открие Famus.B по време на сканирането, автоматично ще Ви предложи опцията да го изтриете. Направете това, следвайки програмните инструкции.
Най-накрая възстановете оригиналната конфигурация на компютъра, като следвате инструкциите:
Изтриите вписванията на Famus.B в Windows Registry:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
Sav32 = C: recycled IRAQ.scr
Рестартирайте компютъра.
За да сте абсолютно сигурни, че Famus.B е напълно премахнат от Вашия компютър, сканирайте го изцяло, като използвате Panda Antivirus или Panda ActiveScan.
----------------------
Panda Software съобщава за появяването на Swash.A. Това е червей, който спира достъпа на заразения компютър до сайтовете на някои антивирусни компании.
Освен това прекратява процеси, протичащи към антивирусни програми, "пожарни стени" и други червеи. Оставя компютъра уязвим към атаките на друг злонамерен софтуер.
Swash.A се разпространява по e-mail, в съобщение с вариращи характеристики, и чрез няколко peer-to-peer (P2P) програми.
Swash.A трудно се разпознава, тъй като не показва съобщение или предупреждение, че е достигнал до компютъра.
Стратегия на заразяване:
Swash.A създава следните файлове в системната директория на Windows:
- LSASRV.EXE. Този файл е копие на червея.
- VERSION.INI.
Swash.A модифицира HOSTS файла, ограничавайки достъпа на потребителите до сайтовете на някои антивирусни компании.
Swash.A създава следните входове в Windows Registry:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
lsass = %sysdir% lsasrv exe
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Explorer ShellSmash
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer ShellSmash
Начин на предаване:
Swash.A spreads се разпространява:
1.- По e-mail.
Swash.A следва стъпките:
Достига до компютъра в съобщение с вариращи характеристики:
Sender:
Swash.A не измисля e-mail адреса, от който е изпратен.
Subject: някое от:
<празно>
<произволни символи>
Attention!!!
Do not reply to this email
Error
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Message: някое от:
<съставен от произволни символи>
Например:
------------------------------------------------------------------------------
Attention! New self-spreading virus!
Be careful, a new self-spreading virus called "RTSW.Smash" spreading very fast via e-mail and P2P networks. It"s about two million people infected and it will be more.
To avoid your infection by this virus and to stop it we provide you with full information how to protect yourself against it and also including free remover. Your can find it in the attachment.
Attachments:
Прикачения файл има ZIP, EXE или SCR разширение.
Компютърът се заразява при стартиране на прикачения файл.
Swash.A се саморазпространява до всички адреси, които е събрал, използвайки своя собствена SMTP engine.
Swash.A не се изпраща до адреси:
- Които съдържат някои от тези текстови стрингове в домейна: .gov, .mil, acketst, arin., avp, berkeley, borlan, bsd, example, fido, foo., fsf., gnu, google, gov., hotmail, iana, ibm.com, icrosof, ietf, inpris, isc.o, isi.e, kernel, linux, math, mit.e, mozilla, msn., mydomai, nodomai, panda, pgp, rfc-ed, ripe., ruslis, secur, sendmail, sopho, syma, tanford.e, unix, usenet и utgers.ed.
- Чието потребителско име съдържа някои от следните текстови стрингове: anyone, bugs, ca, contact, feste, gold-certs, help, info, me, no, nobody, noone, not, nothing, page, postmaster, privacy, rating, root, samples, service, site, soft, somebody, someone, submit, the.bat, webmaster, you и your.
2.-Чрез програми за обмен на файлове (file sharing).
Swash.A следва разписанието:
Създава свое копие в общите директории на програмите KaZaA, eDonkey, iMesh и LimeWire. Използва привлекателни имена за своите файлове.
Потребителите виждат и могат да достигат до тези файлове и да ги записват на компютрите си, мислейки че са полезни програми, филми, картинки и т.н. Всъщност тези файлове са копия на червея.
Когато тези файлове се стартират, Swash.A заразява компютъра.
Заразен ли е компютърът ми?
За да сте абсолютно сигурни, че Swash.A не е заразил Вашия компютър, имате следните опции:
-Проверете дали сте получили съобщение с описаните по-горе характеристики.
-Сканирайте компютъра изцяло, използвайки антивирусен продукт на Panda, след като сте проверили дали програмата е обновила вирусните си дефиниции.
- Проверете компютъра с Panda ActiveScan, безплатният online скенер на Panda Software, който бързо ще открие всички възможни вируси.
Как да премахнете Swash.A?
Преди всичко, ако сте получили съобщение с описаните по-горе характеристики, не стартирайте прикачения файл и го изтриите, включително и от папката Deleted Items.
Ако Panda Antivirus или Panda ActiveScan открие Swash.A по време на сканирането, автоматичцно ще ви предложи опцията да го изтриете. Направете това следвайки програмните интструкции.
Най-накрая възстановете оригиналната конфигурация на компютъра, като следвате инструкциите:
Изтриите вписванията на Swash.A в Windows Registry:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
lsass = %sysdir% lsasrv exe
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Explorer ShellSmash
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer ShellSmash
Panda Software съобщава за появяването на Famus.C. Това е червей, който изпраща поверителни данни от заразения компютър на автора си. Данните включват пощенски акаунт, сървър, компания, потребителско име, използвана версия на Windows, име на компютъра и т.н.
Famus.C достига компютъра в съобщение с тема Mes terrorismo este ano /More terrorism this year и прикачен файл VIDEO.SCR.
Famus.B лесно се разпознава, тъй като достига компютъра в съобщение с характеристики, описани в Начини на предаване.
Стратегия на заразяване:
Famus.B създава следните файлове:
- VIDEO.SCR, в системната директория на Windows и в Recycle Bin. Този файл е копие на червея.
- SMTP.OCX в системната директория на Windows. Този файл е разрешена библиотека, която включва SMTP функции, които червея използва, за да се изпраща автоматично по e-mail и да заразява други компютри.
- ATTCK0234.PIF в директорията DOCUMENTS AND SETTINGS <потребителско име> LOCAL CONFIGURATION TEMP.
- SVHOST.PIF в директорията DOCUMENTS AND SETTINGS <потребителско име> LOCAL CONFIGURATION TEMP.
- MICROSOFT OFFICE.PIF в директорията DOCUMENTS AND SETTINGS <потребителско име> START MENU PROGRAMS STARTUP. Този файл автоматично ще бъде стартиран с Windows.
Famus.С създава следните входове в Windows Registry:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
Sav32 = C: recycled VIDEO.scr
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
NortonUtility = C: recycled NortonRecycled.pif
Така Famus.С си осигурява стартиране, заедно с това на Windows.
Забележка: Sav32 е антивирусна програма на кубинска компания.
Начин на предаване:
Famus.С се разпространява по e-mail. Следва разписанието:
Subject:
Mes terrorismo este ano More terrorism this year
Message:
Password: "cnn"
Ultimas declaraciones de Bin Laden
Reenvme este video a todo el mundo.
Last speech from Bin Laden
Please forwards this video to everybody.
Attachments:
VIDEO.SCR
Веднъж след като е заразил компютъра, между 17-ти и 20-ти всеки месец, Famus.C показва на екрана следния текст:
Esta computadora ha sido infectada
por el virus LIBERTAD.
Como protesta por la violacion del
derecho a la libertad de expresion en
Cuba.
En estos momentos toda la informacion de
su
disco duro esta siendo borrada
El Hobbit
Заразен ли е компютърът ми?
За да сте абсолютно сигурни, че Famus.С не е заразил Вашия компютър, имате следните опции:
-Проверете дали сте получили съобщение с описаните по-горе характеристики.
Как да премахнете Famus.C?
Преди всичко, ако сте получили съобщение с описаните по-горе характеристики, не стартирайте прикачения файл и го изтриите, включително и от папката Deleted Items.
Ако Panda Antivirus или Panda ActiveScan открие Famus.C по време на сканирането, автоматично ще Ви предложи опцията да го изтриете. Направете това, следвайки програмните инструкции.
Най-накрая възстановете оригиналната конфигурация на компютъра, като следвате инструкциите:
Изтриите вписванията на Famus.C в Windows Registry:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
Sav32 = C: recycled VIDEO.scr
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
NortonUtility = C: recycled NortonRecycled.pif