В понедельник вирус Sobig.f переживет второе рождение

22 августа 2003 года

В начале следующей недели эпидемия вируса Sobig.f, которую уже называют крупнейшей эпидемией почтового червя в истории, может разгореться с новой силой, сообщает Компьюлента.

Так считает технический директор компании MessageLabs Марк Саннер, занимающейся борьбой с компьютерными вирусами. "Могу предсказать, что настоящий скачок мы увидим в понедельник", - сказал он в интервью CNN/Money. В этот день множество американцев вернется из отпусков. Они впервые откроют свои ящики, где их уже ждут десятки, а то и сотни зараженных писем. И никаких средств для борьбы с Sobig.f у них еще нет. Червь распространяется по интернету с понедельника. "Мы ожидали, что темпы распространения червя упадут на второй день, но так и не дождались", - рассказывает Саннер.

Первые сигналы о появлении новой версии компьютерного "червя" Sobig.f появились на этой неделе в США. Этот вирус может приходить с адресов компаний IBM и Microsoft. Заголовки писем, содержащих вирус, могут выглядеть как "Re: Thank You" ("Ответ: спасибо") или "Re: approved" ("Ответ: принято").

Файлы, прикрепленные к письмам с вирусом, могут иметь расширения .scr или .pif и названия вроде "your documents" ("ваши документы"), "details" ("подробности") или "thank you" ("спасибо"). Попав в компьютер пользователя, вирус заражает Windows.

Новый вирус не парализует полностью работу компьютера, но может поражать отдельные программы, замедлять работу приложений Windows.

Вирус обладает невероятной способностью к распространению в интернете. Он уже заразил сотни тысяч компьютеров по всему миру. Так, крупнейший мировой оператор интернета компания AOL сообщила, что за последние четыре дня смогла выявить в своих сетях до 12 млн копий Sobig.f. Подобно огородному сорняку, новый супервирус обладает невероятной способность к самовоспроизводству и тиражированию.

Особенность Sobig.f состоит в том, что он может изменять содержание текстов электронных посланий и атаковать через электронную почту каждый отдельный компьютер десятками и даже сотнями различных сообщений.

Службы контроля интернета предупреждают, что сейчас следует быть очень осмотрительным в случае, если на ваш электронный адрес пришло неожиданно большое количество посланий. Не исключено, что это попытка Sobig.f прорваться в ваш компьютер.

Отправитель "компьютерного червя" может не только заполучить практически полный контроль над компьютером, но и завладеть конфиденциальными данными.

По данным на четверг, вирус Sobig.f был зафиксирован в 134 странах мира, где вывел из строя множество e-mail-систем и посеял панику среди пользователей.

В вирусе запрограммировано прекращение работы до 10 сентября 2003 года.

Как избавиться от вируса Sobig.f

Компания Network Associates сообщает способ обнаружения и нейтрализации вируса Sobig.f. О наличии вируса в системе свидетельствуют следующие симптомы:

1. В системной папке Windows присутствует файл WINPPR32.EXE. Тот же файл упомянут в списке запущенных процессов системы (список можно увидеть, нажав клавиши Ctrl, Alt и Del).

2. В реестре Windows присутствуют следующие строки: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sincЧтобы избавиться от вируса, необходимо удалить с жесткого диска файлы вируса и стереть все записи вируса в реестре. Для этого в операционной системе Win9x/ME необходимо перезагрузиться в безопасный режим работы (Safe Mode) и удалить файлы WINPPR32.EXE и WINSTT32.DAT из системной папки Windows. В реестре необходимо удалить переменную TrayX из папок HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В операционной системе Windows NT/2000/XP перезагружаться в безопасный режим необязательно - достаточно в диспетчере задач удалить процесс WINPPR32.EXE.

"Лаборатория Касперского" рекомендует не выходить в интернет без обновления антивирусных программ

Подробности о вирусе Sobig.f, эпидемия которого продолжается второй день, сообщает "Лаборатория Касперского". По мнению специалистов - это крупнейшая эпидемия почтового червя за последние полтора года.

Анализ почтового трафика "Лаборатории Касперского" показывает, что Sobig.f уверенно лидирует среди общего числа сообщаемых технической поддержке компании вирусных инцидентов: доля этого червя составляет более 92%, число пораженных систем оценивается в несколько сотен тысяч.

В свете распространения опасных компьютерных вирусов специалисты рекомендуют пользователям не выходить в интернет, не имея антивирусных программ с последними обновлениями, как заявил руководитель информационной службы "Лаборатории Касперского" Денис Зенкин. "Если вы выходите в интернет без антивирусной программы, то буквально через минуту компьютер будет завален", - подчеркнул Зенкин.

Вирус написали "спамеры"

Эксперт назвал вирус Sobig.f достаточно опасным. Вирус распространяется по электронной почте в виде вложенного файла. После запуска этого файла вирус внедряется в компьютер, "прописывает" себя в системном реестре Windows и, таким образом, обеспечивает себе активизацию при каждом запуске операционной системы. После этого вирус сканирует жесткие диски компьютера, находит там файлы с определенными расширениями, проверяетих, находит строки, которые похожи на адреса электронной почты, забирает их оттуда и записывает в свой специальный файл, чтобы потом незаметно для владельца компьютера рассылать свои копии по этим адресам, рассказал Зенкин.

В результате вирус не только дискредитирует владельца зараженного компьютера, но и модифицирует систему Windows, из-за чего нормальное функционирование компьютера может быть нарушено. Кроме того, на компьютер загружается "троянская программа", благодаря которой автор получает, по существу, полный контроль над системой и может загружать, удалять файлы, а также использовать компьютер, как спам-машину, заметил специалист. Вирус достаточно сложно распознать, так как он использует подставные адреса отправителей и постоянно меняет темы и тексты сообщения и вложенных файлов,отметил Зенкин.

По мнению представителя антивирусной компании F-Secure Микко Хиппонена, вирус Sobig.f, третий день терроризирующий почтовые ящики всего интернета, был написан спамерами. Он считает, что с помощью вируса некто пытается пробиться через противоспамовые фильтры. "Мы имеем ясный мотив для написания вируса - деньги", - сказал он корреспонденту BBC.

Такого же мнения придерживаются и в "Лаборатории Касперского": специалисты считают, что, cкорее всего, для рассылки зараженных писем автор червя прибег к становящимся в последнее время особенно популярными и среди вирусописателей спам-технологиям.

Наиболее надежный способ борьбы с вирусом - установка на компьютерантивирусных программ с последними обновлениями.

Первая версия вируса Sobig была обнаружена 9 января 2003 года. Несмотря на то что код вируса практически не менялся, появление каждой новой версии вызывало довольно большое число заражений. В версии червя Sobig.d, появившейся в июне, также было предусмотрено прекращение работы в определенный день. Вирус Sobig.c отличался от других модификаций тем, что зараженные файлы распространялись с адресом Билла Гейтса (bill@microsoft.com) в поле отправителя. Вирус Sobig.e рассылал зараженный файл в ZIP-архиве.