Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network

Вирусы-черви Irok и Kak атакуют почтовую программу Outlook



[Newsbytes] Компания F-Secure опубликовала предупреждение о появлении двух новых вирусов-червей Irok и Kak, распространяющихся по электронной почте, которые могут представлять серьезную опасность для компьютерных пользователей всего мира.

По сообщению F-Secure, эти два вируса-червя уже быстро размножаются в некоторых районах земного шара. Распространяются они аналогично печально известному вирусу Melissa, впервые появившемуся год назад.

С технической точки зрения действия вирусов Irok и Kak совершенно различны, но роднит их то, что распространяются они через программу электронной почты Microsoft Outlook, и делают они это очень быстро.

Вирус Irok приходит в письме в присоединенном файле IROK.EXE, размер которого составляет 10001 байт. Он работает на компьютерах с ОС Windows 95, 98, NT и 2000. Его дальнейшее распространение с зараженного компьютера производится только, если на нем имеется почтовая программа Microsoft Outlook (с Outlook Express вирус не работает).

При запуске на исполнение файла IROK.EXE вирус таким образом модифицирует системные файлы, что при следующей загрузке компьютера вирус рассылает себя в почтовых сообщениях по 60 адресам, найденным в адресной книге MS Outlook. Это могут быть и адреса отдельных пользователей и групповые адреса.

Сообщение, содержащее вирус выглядит следующим образом:

From: (имя пользователя уже зараженного компьютера) To: (случайно выбранный адрес из адресной книги) Subject: I thought you might like to see this.

В теле письма имеется следующий текст: "I thought you might like this. I got it from paramount pictures. It's a startrek screen saver", то есть пользователю предлагается взглянуть на прилагаемый файл с экранной заставкой. К письму прикреплен файл IROK.EXE.

Вирус также пытается найти на компьютере клиентскую программу чата mIrc, и если находит, то пытается модифицировать ее для распространения вируса по чат-каналам. Кроме того, вирус заражает на жестком диске все файлы с расширением COM и EXE. Затем он выводит на экран длинное сообщение и пытается переписать файлы на жестком диске.

Вирус Kak приходит в обычном письме без каких-либо присоединенных файлов. Он написан на Javascript и работает на компьютерах с английской и французской версиями Windows 95/98, на компьютеры с Windows NT и 2000 он не действует. Вирус Kak распространяется с зараженного компьютера дальше, только если на нем установлена почтовая программа Outlook Express 5.0, с Microsoft Outlook он не работает. Вирус использует уже известную дыру в защите Outlook Express, он автоматически запускается на исполнение при появлении первых строк письма в окне просмотра. Вирус Kak изменяет системные файлы таким образом, что при следующей загрузке компьютера стандартная подпись пользователя, используемая в почтовой программе, заменяется HTML-файлом, зараженным этим вирусом. В результате получается, что все почтовые сообщения, рассылаемые ни о чем не подозревающим пользователем, содержат вирус.

Вирус Kak активизируется в первый день каждого месяца, если компьютер запускается после 17 часов 00 мин. Тогда он выводит на экран сообщение: "Kagou-Anit-Kro$oft say not today!", после чего он закрывает Windows, но каких либо более разрушительных действий не производит.

Чтобы защититься от этого вируса, пользователям Outlook Express следует в установках дезактивировать опцию "Active Scripting".

Для защиты от этих вирусов компания F-Secure предлагает загрузить бесплатные пробные копии своего антивирусного ПО по адресу http://www.f-secure.com/gallery.

Источник: InfoArt News Agency


<== Back to main page