Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network

Finjan обнаруживает третий вариант вируса MiniZip 





[Newsbytes] Антивирусная компания Finjan (http://www.finjan.com) сообщила о
том, что ее специалистами обнаружен третий член семейства вирусов MiniZip, получивший название
MiniZip III. В свою очередь вирус MiniZip ведет свое происхождение от вируса ExploreZip, появившемся в июне
1999 г. Файл вируса этого семейства упакован одной из программ
архивирования. Причем в MiniZip для этого использовалась нестандартная
утилита сжатия, что позволяло обойти систему защиты обычных антивирусных
средств. В MiniZip III использована такая же уловка - вложенный в письмо
исполняемый файл dinheiro.scs.exe размером 104 Кбайт на самом деле
представляет собой самораспаковывающийся архив. 


Этот вирус может очень быстро распространяться по электронной почте. Он
разрушает все файлы с расширениями doc, ppt, xls, h, c, cpp и asm,
расположенные на жестких дисках самого компьютера, на назначенных дисках и
на всех сетевых компьютерах. Вирус может придти в письме от известного
адресата в ответ на ранее посланное сообщение. Такое письмо будет иметь и
соответствующий текст в строке "тема". В теле письма содержится следующий
текст по-португальски:

Oi "Recipient Name"!

Eu recebi essa merda da uma olhada ai falout++++ CYA!

Zuera!ALV or cya.


Если запустить на исполнение вложенный в письмо файл dinheiro.scs.exe, то
он сам распаковывается и так же как и в случае с исходным вирусом
ExploreZip на экран выводится сообщение о якобы произошедшей ошибке при
распаковке архива. С той только разницей, что сообщение написано
по-португальски:

VxDCall 00666

O programa executou uma Operacao ilegal por favor Pression O>K para

terminar o processo sem mais Error in Modulo 0000:1923 Rundll.dll

Return CODE 3455:8888 0000:01111 Redir Call IPRequest! cVxDCall 00666

(OK)



После нажатия на кнопку "OK", окно с предупреждением закрывается, а вирус
начнет свою работу. Он копирует себя в каталог Windows/System в файл с
именем "system!.exe" или "error!.exe". Затем вирус изменяет файл WIN.INI и
содержимое системного регистра таким образом, что он будет запускаться на
исполнение всякий раз при старте Windows.


Для своего распространения вирус MiniZip III использует почтовые программы
Microsoft Outlook, Outlook Express и Exchange. Он рассылает себя в ответ на
еще не прочитанные сообщения из папки "Inbox".



Источник: InfoArt News Agency

          

       
          
             <== Back to main page