Новое нашествие: червь-"мертвец" пожирает файлы

4 декабря по Сети начал расползаться новый интернет-червь под кодовым названием W32/Goner.A@mm, классифицированный специалистами как "вирус с повышенной опасностью". "Мертвец" (от англ. goner) начал с успехом "пожирать" системные файлы зараженных компьютеров, изменяя их конфигурацию и затрудняя работу сетей.


• обсудить
• переслать
• распечатать




38.912-байтовый интернет-червь W32/Goner.A@mm, код которого написан в Visual Basic 6, приходит как исполняемый файл с расширением .EXE. и пытается распространять себя через e-mail как хранитель экрана Windows в форме приложения под именем GONE.SCR. Заражение происходит, когда файл GONE.SCR запускается на выполнение. Goner.A@mm записывает свою копию в системный каталог Windows под тем же именем (GONE.SCR) и регистрирует этот файл в секции автозагрузки системного реестра Windows.

"Мертвец" приходит вместе с таким сообщением электронной почты:

Subject: Hi

Text:

How are you ?

When I saw this screen saver, I immediately thought about you

I am in a harry, I promise you will love it!

Червь рассылает себя по всем контактам, которые содержатся в адресной книге Microsoft/Outlook, а также с помощью ICQ. Кроме того, Goner.A@mm содержит код, который позволяет ему находить и уничтожать определенные файлы на жестком диске зараженной машины (в то числе и антивирусные программы, к примеру, ZoneAlarm), и способен нарушить конфигурацию этого компьютера. Поэтому данный вирус, как заявляют специалисты, представляет собой повышенную опасность для пользователей: по их словам, это самая серьезная эпидемия со времени прошлогоднего "нашествия" натворившего немало бед вируса Love Letter.

Первыми пострадали от нового вируса США и Франция, Далее, как ожидается, "мертвец" прогуляется по азиатским сетям и снова возвратится в Европу. Откуда пришла в Сеть новая напасть - пока неизвестно. Алекс Шипп (Alex Shipp), представитель компании MessageLabs, выпускающей антивирусные программы, заявил, что его коллегам удалось зафиксировать 39.000 копии разосланного по электронной почте злополучного хранителя экрана. По мнению г-на Шиппа, скорее всего, вирус "побуянит" в Сети лишь первые два дня, а потом медленно "угаснет". Другая компания, занимающаяся защитой корпоративных сетей, Network Associates, сообщила о 100 тыс. зараженных машин.

Как заявили представители компании Panda Software, производителя антивирусного ПО, изгнать "мертвеца" из зараженного компьютера можно с помощью разработанной ими программы под названием PQREMOVE, которая позволяет восстановить первоначальную конфигурацию машины. Скачать программу можно здесь.

Последнее время богато на появление новых сетевых вирусов - лишь на прошлой неделе была зафиксирована массовая эпидемия интернет-червя BadtransII, уже за первые 24 часа скорость распространения которого по Сети в десятки раз превысила показатели печально известных вирусов SirCam, Melissa и I love you.Будет ли нашествие "мертвеца" столь же стремительным, или его удастся остановить, будет ясно уже в ближайшее время.