Обладающая мощным потенциалом группа добровольцев-экспертов по безопасности рассылает “срочное предупреждение” о теоретически разрушительном черве, распространяющемся с помощью электронной почты. Группа предостерегает, что червь способен уничтожать важные документы, хранящиеся на зараженном компьютере.
В качестве приманки червь использует картинки из “Кама-Сутры”, чтобы побудить пользователей открыть вложенный файл. А запрограммирован он таким образом, чтобы рассылать свой вредоносный код в третий день каждого месяца.
Накануне 3-го февраля участники научно-практического электронного форума MWP (Malicious Web sites and Phishing — форум по вредоносным веб-сайтам и фишингу) создали рабочую группу, которая следит за распространением угрозы и помогает интернет-провайдерам выявлять инфицированных пользователей в своих сегментах сети. Гейди Эврон из министерства финансов Израиля координирует предпринимаемые в отрасли усилия по обновлению сигнатур вирусов, используемых антивирусными программами, чтобы помешать распространению червя.
“Может оказаться, что риск ничтожен и что бы ни случилось, Интернет не умрет. Но независимо от того, насколько это будет эффективно, мы предлагаем пользователям обновить свои антивирусные сигнатуры как можно скорее и просканировать свои компьютеры и сети”, — пишет Эврон в своём призыве, направленном на сайт SecuriTeam.
Согласно счетчику, используемому автором червя, по состоянию на 24 января им было заражено больше 700 тыс. компьютеров.
Трудности усугубились тем, что разные производители антивирусного ПО используют различные названия для обозначения червя. Наряду с “Кама-Сутрой” его именовали также Blackworm, Blackmal, MyWife и Nyxem.
По словам Алексея Подрезова, исследователя вирусов из компании F-Secure, наряду с массовой рассылкой червь пытается распространяться также через механизм дистанционного доступа. После заражения компьютера он отключает антивирусное ПО, прежде чем запустить программу, уничтожающую файлы определенных типов.
После запуска червем файла update.exe он уничтожает все файлы с расширениями .doc, .xls, .ppt, .pdf, .zip и .psd на всех доступных дисках.
“Червь вызывает довольно мощный разрушительный эффект. Под его воздействием несколько сотен тысяч пользователей могут утратить свои данные. Это довольно серьезные потери”, — сказал Алекс Эклбери, президент антивирусной компании Sunbelt Software. Он сообщил, что чистка после заражения сопряжена с трудностями из-за того способа, которым червь отключает все антивирусные программы. “Когда он уничтожает данные, вы не можете открыть корзину для мусора и восстановить их. Он полностью разрушает всю информацию”, — подчеркнул Эклбери.
Группа LURHQ Threat Intelligence выпустила сигнатуры для системы обнаружения вторжений Snort, чтобы помочь предприятиям выявлять зараженных пользователей.
Кроме того, LURHQ рекомендует блокировать исполняемые файлы и файлы неизвестного типа на шлюзе электронной почты, и таким образом предотвращая попадание червя в сеть. Рассылаемые им файлы могут иметь следующие расширения: .pif, .scr, .mim, .uue, .hqx, .bhx, .b64, .uu.
Типы файлов, которые могут пострадать от червя
.doc | .mde | .zip | .psd |
.xls | .ppt | .rar | .dmp |
.mdb | .pps |
“На этот раз мы, используя нашу систему обнаружения вторжений и эти сигнатуры, практически не выявили заражения своих клиентов. Сети, в которых на всех компьютерах установлены свежие антивирусы, не должны столкнуться с какими-либо проблемами.
Однако червь пытается отключить антивирус и ПО безопасности. Поэтому будет уместно рекомендовать пользователям протестировать свои антивирусные программы. Если антивирус не запускается, это может служить указанием на заражение тем или иным червем”, — говорится в рекомендациях LURHQ.
“Важно отметить, что хотя червь попадает в сеть через файл, вложенный в почтовое сообщение, заразив компьютер, он попытается создать свою копию на открытом диске C -- в сети Microsoft или в административном разделе под названием winzip_tmp.exe. Поэтому зараженными могут оказаться даже компьютеры, не имеющие доступа к электронной почте”, — отмечается в рекомендациях.
“Если в вашей сети открыт доступ к одному из этих разделов, то для того чтобы выяснить, не подвергся ли какой-то компьютер заражению, имеет смысл поискать имя этого файла в разделах, которые используются коллективно”, — гласят рекомендации.
РАЙАН НЕЙРИН