1-й мега-вирус года настигнет Россию завтра

http://www.cnews.ru/news/top/index.s...6/01/31/195246

Новая глобальная вирусная эпидемия, вызванная почтовым червем Nyxem.e, пока что слабо затронула Россию. Однако вскоре ожидается новая волна заражений: вирус активизируется в конце этой недели – 3 февраля.

Почтовый червь Email-Worm.Win32.Nyxem.e, известный также как Blackmal, BlackWorm, MyWife, Kama Sutra, Grew и CME-24, впервые дал о себе знать 16 января текущего года. Вирус попадает на компьютер при открытии вложения к письму, где размещены ссылки на сайты порнографической и эротической направленности, а также через файлы, расположенные в открытом сетевом доступе. В течение считанного времени вирус стирает информацию на жестком диске, поражая файлы в 11 различных форматах, включая Word, Excel, Powerpoint, Acrobat, Access, замещая информацию бессмысленным набором символов. Характерно, что данный вирус активизируется третьего числа каждого месяца. Вирус способен выводить из строя установленную антивирусную систему, а также периодически обновляться. Происхождение вируса пока что точно не установлено.

Червь представляет собой файл размером 95 КБ. При этом вирус начинает сам рассылать себя по почте. Активировать вирус может только сам пользователь, запустив зараженный файл. После запуска Nyxem.e создает в системном каталоге Windows архив с тем же именем, что и запущенный файл. В дальнейшем запуск вируса происходит из этого архива. После запуска червь копирует себя под несколькими именами в корневой и системный каталоги Windows, а также каталог автозагрузки, и регистрирует себя в ключе автозапуска системного реестра. Затем вирус рассылает свои копии по всем найденным адресам электронной почты и копирует себя в доступные сетевые ресурсы под именем Winzip_TMP.exe, таким образом увеличивая масштаб своего распространения за счет пользователей, загрузивших данный файл, сообщаются специалисты «Лаборатории Касперского».

В настоящее время реальный масштаб ущерба, нанесенного вирусом, оценить достаточно сложно. В некоторых источниках речь шла о миллионах компьютеров, подвергшихся нападению Nyxem.е, однако, по всей видимости, данная цифра значительно завышена. В среднем называется цифра в 300 тыс. компьютеров, пострадавших от почтового червя. По прогнозам «Лаборатории Касперского», число пораженных компьютеров будет расти.

По данным антивирусной компании LURHQ, в числе стран, где количество компьютеров, зараженных Nyxem.e, достигло наиболее внушительных масштабов, лидируют Индия (79610 зараженных машин на 26 января), Перу (54878), Италия (22710) и США (15270). При этом количество зараженных Nyxem.e компьютеров, определяется как регистрируемое интернет-провайдерами число запросов червя. Таким образом, данные по странам отображают точное число запросов зараженных червем машин на 26 января. В России эпидемия не достигла пока что серьезных масштабов. По оценкам LURHQ, лишь 312 компьютеров (из около 300 тыс.) оказалось пораженными Nyxem.e. Отметим, что этот показатель ниже, чем в ряде европейских стран: Австрии, Франции, Германии, Великобритании, Швеции, Испании, Польше, Нидерландах.

"Nyxem.e сильно выделяется из множества современных вирусов. Вредоносных программ подобного типа не наблюдалось достаточно давно. Во-первых, в последнее время хакеры все реже прибегают к глобальным атакам, предпочитая более эффективные локальные целевые атаки. Здесь же мы столкнулись с глобальной эпидемией, чего не было относительно давно, — рассказал CNews менеджер по корпоративным коммуникациям «Лаборатории Касперского» Алексей Зернов. — Однако данный вирус по масштабности и нанесенному ущербу пока что уступает своим предшественникам, таким, как, например, MyDoom. Кроме того, в данном случае вирус имеет не только криминальную мотивацию: контроль над зараженным компьютером, направленный, в первую очередь, на получение определенной информации при периодическом обновлении вредоносной программы, но и чисто хулиганскую — нацеленную на выведение компьютера из строя. В нашей компании видят три основных механизма борьбы с рассматриваемым вирусом: не открывать нежданных писем, в том числе и от знакомых, загружать обновление установленных антивирусных программ, осуществлять полную проверку компьютера".

[Jungle]

Служба вирусного мониторинга компании «Доктор Веб» предлагает свое мнение относительно зарождения новой вирусной эпидемии.




В последние дни в компанию «Доктор Веб» поступают многочисленные вопросы, связанные с ожидающейся 3 февраля так называемой «атакой компьютерного червя», грозящего уничтожить всю информацию на сотнях тысяч компьютеров. Пользователей, а также представителей средств массовой информации интересует, действительно ли опасность столь велика, как о ней говорят, и защищает ли антивирус Dr.Web от этого червя?

Служба вирусного мониторинга компании «Доктор Веб» в этой связи сообщает следующее. Действительно, в настоящее время наблюдается относительно высокое присутствие в почтовом трафике червя Win32.HLLM.Generic.391 (описание вируса доступно по адресу http://info.drweb.com/virus/?virus=473) (имя по классификации «Доктор Веб», известен также как W32/MyWife.d@MM!M24, Email-Worm.Win32.Nyxem.e, Win32.Blackmal.F, W32/Nyxem-D). В настоящее время он входит в первую десятку вирусов, постоянно обновляемую Службой вирусного мониторинга компании, занимая в ней 7 место.

Однако говорить о каких-либо ужасающих масштабах распространения этого почтового червя либо о нарастающем присутствии его в интернете серьезных оснований нет. Более того, его присутствие за последние дни даже уменьшилось, что говорит о том, что эпидемия - даже если о ней и можно было говорить в первые два дня - явно идет на убыль. Более того, специалисты аналитической лаборатории компании «Доктор Веб» не склонны вообще говорить об эпидемии применительно к Win32.HLLM.Generic.391 - целый ряд других почтовых червей, таких как Netsky или MyDoom, представляющие не меньшую опасность, стабильно занимают более высокие места в вирусной "табели о рангах".

Распространяющийся по электронной почте Win32.HLLM.Generic.391, будучи активированным на компьютере своей жертвы, старается уничтожить файлы ряда антивирусных программ, а также - по 3 числам каждого месяца - перезаписывает найденные на локальном жестком диске файлы документов и архивные файлы, фактически уничтожая их. Таким образом, 3 февраля - ближайшее третье число месяца - может обернуться для пользователей, не позаботившихся об антивирусной защите своих компьютеров, потерей важных для них данных. Правда, для тех пользователей, у которых не установлены антивирусные программы, ожидающийся 3 февраля "Судный день" наверняка наступил гораздо раньше - при том обилии вредоносного кода в интернете, которое наблюдается в наши дни, стать жертвой какого-либо компьютерного вируса на не защищенном компьютере - вопрос нескольких минут. К тому же автор червя Nyxem не отличается большой изобретательностью, и возможности червя по распространению гораздо слабее, чем у тех же MyDoom или Netsky.

Следует отметить, что пользователям антивируса Dr.Web с первого момента появления этого червя какая-либо опасность не грозила - он детектировался эвристиком антивирусного ядра Dr.Web и поэтому попасть на компьютеры, где установлен этот антивирус, у него не было никаких шансов. Позднее его сигнатура была добавлена в вирусную базу Dr.Web как Win32.HLLM.Generic.391 - поскольку этот червь отнесен вирусными аналитиками компании «Доктор Веб» к семейству червей Sober.

Таким образом, широко разрекламированная "вирусная атака" 3 февраля - событие весьма заурядное на общем вирусном фоне современного интернета. Безусловно, нельзя преуменьшать последствия вредоносных действий червя, которые наступят 3 февраля для тех, кто ранее не позаботился о своей антивирусной защите. Однако информация, поступающая в Службу вирусного мониторинга компании «Доктор Веб», говорит о том, что какого-либо существенного ущерба в глобальном масштабе эти действия не принесут. Несмотря на то, что червь явно не российского происхождения, тревогу бьют почему-то в основном в России. При этом ведущие иностранные антивирусные компании довольно низко оценивают опасность этого червя. А защититься от него можно вполне тривиально - использовать надежный антивирус. И страсти нагнетать не стоит.