WINDOWS ВИРУСЫ Win32.HLLW.Showgame ИНТЕРНЕТ-ЧЕРВИ I-Worm.DragonBall VBS.Mcon.b I-Worm.Challenge I-Worm.Rastam I-Worm.Xanax LINUX ВИРУСЫ Linux.Satyr WINDOWS ВИРУСЫ Win32.HLLW.Showgame Опасный резидентный Win32-вирус. Не заражает файлов, а передается "как есть" - в виде 70-килобайтного EXE-файла...
WINDOWS ВИРУСЫ
ИНТЕРНЕТ-ЧЕРВИ
LINUX ВИРУСЫ
WINDOWS ВИРУСЫ
Win32.HLLW.Showgame
Опасный резидентный Win32-вирус. Не заражает файлов, а передается "как есть" - в виде 70-килобайтного EXE-файла Windows.
По 26-м числам ежемесячно вирус уничтожает содержимое файлов в корне диска C: При этом сами файлы остаются на месте, но имеют нулевую длину.
На русской версии Windows по субботам вирус выводит на экран белый эллипс:
[ Подробнее... ]
ИНТЕРНЕТ-ЧЕРВИ
I-Worm.DragonBall
Интернет-червь представляет собой скрипт, написанный на VBS, и рассылается в письмах электронной почты и по каналам IRC. Для этого он использует MS Outlook и IRC. Червь содержит несколько фатальных ошибок, из-за чего он не может распространяться.
При запуске скрипта он создает свои копии в системных каталогах, а также создает три скрипта в каталоге, где установлен IRC.
Скрипты для IRC призваны для того, чтобы червь мог рассылать себя по каналам IRC. Поскольку имена каталогов "C:\Windows" и "C:\mIRC" прописаны в теле червя, он не сможет выполнить эти процедуры, если операционная система и IRC установлены в другие каталоги.
Для активизации процедуры собственного распространения по электронной почте червь открывает адресную книгу MS Outlook и для каждого встреченного адреса создает письмо следующего содержания:
Тема: Hello ;]
Текст: Hi , check out this game that j sent you (funny game from the net:]).
Вложение: dragonball.vbs
К каждому письму червь пытается приклеить файл со своим телом. Ввиду того, что в теле червя содержатся ошибки, процедура рассылки неработоспособна, и поэтому червь не может распространяться по электронной почте.
В завершение всего червь выводит дилоговое окно:
![Dragon Ball Z by YuP Thank you,and bye bye DragonWorld!!! [ OK ]](https://www.kaspersky.ru/content/ru-ru/images/repository/pr/dragonball-4153.gif)
[ Подробнее... ]
VBS.Mcon.b
Этот сетевой червь распространяется, создавая свои копии на локальных и сетевых дисках, а также сканируя сети на предмет досупных IP-адресов.
Будучи запущеным (пользователем либо автоматически - из каталога автозагрузки) червь копирует себя в каталог шрифтов Windows (каталог "Fonts"). Затем он прописывает скопированный файл в системном реестре таким образом, чтобы этот файл автоматически запускался при каждом старте Windows. Если червь был запущен из каталога отличного от "Fonts" и "Startup", он завершает работу имитируя системную ошибку сообщением:
ERROR
FILE I/O ERROR
Если же червь был запущен из каталога "Fonts" (при старте Windows), он запускает процедуру распространения.
Эта процедура сканирует локальные и сетевые диски компьютера и в каждом каталоге создает копию файла червя. Имя файла выбирается следующим образом: из списка последних используемых пользователем файлов (Recent files) случайным образом выбирается файл, затем к его имени добавляется больше сотни пробелов и лишь затем расширение ".vbs". Таким образом настоящее расширение файла ".vbs" спрятано пробелами и не отображается в проводнике.
[ Подробнее... ]
I-Worm.Challenge
Для своего распространения червь использует MS Outlook Express 5. В отличие от большинства червей этого класса он не прикрепляет к заражаемому письму дополнительный файл-вложение, а встраивает свое тело в письмо как скрипт.
Червь полностью работоспособен только в системах с установленным MS Outlook Express. В MS Outlook червь также активизируется и заражает систему, но распространяться дальше не может. Под другими почтовыми системами работоспособность червя зависит от возможностей данной почтовой системы.
Принцип работы червя в общем аналогичен известному червю "KakWorm", за исключением того, что данный червь не зависит от версии Windows и ее языка (KakWorm работает на английской и французской версиях Windows 95/98).
Периодическое сканирование дисков антивирусными сканерами не обеспечивает защиту от этой разновидности червей: каждый раз, когда открывается зараженное сообщение, вирус снова заражает систему. Кроме того, если включен предварительный просмотр сообщения, то достаточно просто выбрать зараженное сообщение в списке сообщений - и вирус опять активизируется.
[ Подробнее... ]
I-Worm.Rastam
Интернет-червь, распространяющийся в письмах электронной почты. Для размножения использует почтового клиента Eudora.
На компьютер попадает в виде письма с текстом "Help us go back to home!" в конце основного сообщения и прикрепленным DOS COM-файлом "www.back2afrika.com" (вирус прячется под видом адреса Интернет-страницы).
Известная версия червя содержит ошибку и неспособна к распространению.
[ Подробнее... ]
I-Worm.Xanax
Этот интернет червь был обнаружен в середине марта 2001. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook.
Червь также рассылает себя в IRC-каналы и заражает EXE-файлы в каталоге Windows.
Червь написан на языке C++ и откомпилирован Microsoft Visual C++. Размер червя около 60K, однако он был обнаружен в упакованном виде (сжат утилитой ASPack) с размер зараженного файла около 34K.
Для рассылки зараженных писем червь создает дополнительный VBS-файл и записывает в него скрипт-программу, которая получает доступ к MS Outlook, открывает адресную книгу, достает оттуда по 1000 адресов из каждого списка адресов и рассылает по ним письма с прикрепленной к ним копией червя. Тема, содержимое письма и имя прикрепленного файла выглядят следующим образом:
Тема сообщения: Stressed? Try Xanax!
Тело сообщения:Hi there! Are you so stressed that it makes you ill? You're not alone!
Many people suffer from stress, these days. Maybe you find Prozac too
strong? Then you NEED to try Xanax, it's milder. Still not convinced?
Check out the medical details in the attached file. Xanax might change
your life!Вложение: xanax.exe
Червь заражает все EXE-файлы в каталоге Windows, кроме файлов, имена которых начинаются с букв: E, P, R, S, T или W. При заражении червь "сдвигает" тело файла-жертвы вниз, а сам записывается в начало файла.
[ Подробнее... ]
LINUX ВИРУСЫ
Linux.Satyr
Неопасный нерезидентный Linux-вирус. Является выполняемым файлом Linux (ELF-файлом). Ищет прочие ELF-файлы и записывается в их начало. Файлы заражаются в каталогах:
- в текущем каталоге
- в родительском каталоге
- ~/ (корневой каталог пользователя)
- ~/bin (каталог /bin пользователя)
- ~/sbin (каталог /sbin пользователя)
- /bin
- /sbin
- /usr/bin
- /usr/local/bin
- /usr/bin/X11
Вирус никак себя не проявляет. Содержит строку-копирайт:
unix.satyr version 1.0 (c)oded jan-2001 by Shitdown [MIONS], http://shitdown.sf.cz
