ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, сообщает об обнаружении нового сетевого червя "Mandragore", использующего для своего распространения популярную сеть обмена файлами Gnutella, работающей по технологии Peer-to-Peer (- P2P).
✐ место для Вашей рекламы Возможность существования подобных червей была открыта еще в мае 2000 Сетом МакГэном, опубликовавшем свое исследование в популярной электрон- ной конференции BugTraq.
Несмотря на это, до сих пор не было зарегистрировано ни единого случая появления подобных вредоносных программ. Сейчас, по некоторым данным, зарегистрировано несколько десятков зараженных компьютер- ов. "Mandragore" представляет собой EXE-файл, написанный на языке программирования Ассемблер и имеющего длину 8192 байта. При запуске этого файла, червь регистрирует себя как активный узел сети Gnutella и отслеживает все сетевые запросы на поиск файлов.
При обнаружении запросов, в- не зависимости от наличия искомых файлов на зараженной системе, "Ma- ndragore" возвращает положительный результат поиска и предлагает пользоват- елю загрузить их. Для маскировки он переименовывает свою копию в соответствии с полученным запросом. Таким образом, если пользователь послал запрос на поиск файла "How to become a millionaire", то зараженная система предложит ему загрузить файл "How to become a millionaire.exe".
Важно отметить, что червь абсолютно неработоспособен, если на Вашем компьютере не установлен один из клиентов, поддерживающий стандарт обмена данных Gnutella, таких - как Gnotella, BearShare, LimeWire или ToadNode. При заражении компьютера червь копирует себя в каталог автозапуска программ Windows для текущего пользователя. Копируется червь под именем "GSPOT.EXE" и устанавливает на свою копию атрибуты "скрытый" и "системный".
При следующей загрузке Windows червь автоматически активизируется и остается в памяти как активный процесс (под Windows 9x он регистрируется как скрытый п- роцесс). "Данный червь не имеет побочных действий, кроме незначительного - увеличения потока исходящих данных. Его главная опасность - не уничтожение - важных файлов или разглашение конфиденциальной информации, а огромный у- щерб репутации компаний и частных лиц, подвергшихся заражению.
Вряд ли сам факт присутствия вредоносных кодов в компьютерных системах может спос- обствовать налаживанию новых деловых связей и привлечению новых клиентов", - - комментирует Денис Зенкин, руководитель информационной службы "Л- аборатории Касперского". Методы защиты и удаления Для предотвращения проникновения "Mandragore" на компьютер нельзя ни в коем случае запускать EXE-файлы длиной 8192 байта, которые могут Вам - предложены для загрузки через сеть Gnutella.
Мы также рекомендуем постоянно- использовать антивирусный монитор, входящий в поставку Антивирус- а Касперского. Он эффективно заблокирует внедрение червя в систему даже если Вы нечаянно запустили зараженный файл. В случае, если компьютер все же подвергся заражению червем, Лабо- ратория Касперского рекомендует удалить файл GSPOT.EXE в каталоге автоза- пуска программ для текущего пользователя и перезагрузить компьютер.
Процедуры защиты от "Mandragore" уже добавлены в ежедневное обно- вление антивирусной базы Антивируса КасперскогоT. Более подробная информация о данном черве доступна в Вирусной Энциклопедии Касперского.
Опубликовано: 28 февраля 2001 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
