Новая разновидность вируса LoveLetter поражает компьютерные системы мира AVP защищает Вас от этого вируса автоматически!

“Лаборатория Касперского”, российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении в живом виде вируса “NewLove” - новой разновидности печально известного компьютерного вируса “LoveLetter”. Новая разновидность “Любовных писем” существенно превзошла оригинал по разрушительному воздействию.

После рассылки своих копий по всем адресам из адресной книги MS Outlook вирус уничтожает все файлы на локальном и сетевых дисках. "Антивирус Касперского" обнаруживает “NewLove” автоматически без специальных дополнений антивирусной базы. “Мы рады сообщить пользователям AVP, что, как это ни парадоксально звучит, они были защищены от вируса “NewLove” еще до того, как этот вирус появился! Это стало возможно благодаря новому уникальному эвристическому механизму поиска неизвестных скрипт-вирусов, который предоставляет пользователям AVP Script Checker.

Программа показала свою надежность и “отловила” эту новую чрезвычайно опасную модификацию “Любовных писем” еще до того, как она успела проникнуть в компьютерные системы”, - комментирует ситуацию Евгений Касперский. “Лаборатория Касперского” выпустила внеочередное обновление антивирусной базы AVP, содержащее процедуры удаления вируса “NewLove”. Обновление доступно на сайте компании по адресу: www.- avp.ru.

Технические детали I-Worm.NewLove Общая характеристика Крайне опасный вариант вируса-червя "LoveLetter". Также, как и "LoveLetter", является VBS-файлом и написан на языке Visual Basic Sctipt. Распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook.

В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге. Червь попадает на компьютер в виде "пустого" письма (в письме нет никакого текста) с прикрепленным VBS-файлом, который, собственно, и является телом червя. Имя вложенного файла имеет длину до 30 символов и является случайным. Имя дополнено "ложным расширением", которое также выбирается случайно из вариа- нтов: Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, Txt "Настоящее" расширение имени вложения - "Vbs", например: VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp.Vbs QKUPLSXOOIBPAGNENGIVPN.Mp3.Vbs TNXSOVARRLESDJQHQJLYSQNWV.Mdb.Vbs HBLHCJOFFZS.Mdb.Vbs MGQMHOTKKEXLWCJAJ.Doc.Vbs SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb.Vbs CWGCXE.Mp3.Vbs В зависимости от настроек системы настоящее расширение вложенного файла (".Vbs") может быть не показано.

Тема письма состоит из символов "FW:" и имени вложенного файла без расширения "Vbs", например: FW: VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp FW: QKUPLSXOOIBPAGNENGIVPN.Mp3 FW: TNXSOVARRLESDJQHQJLYSQNWV.Mdb FW: HBLHCJOFFZS.Mdb FW: MGQMHOTKKEXLWCJAJ.Doc FW: SMXSNUZRRKDRCJQGPIKXRQNWU.Mdb FW: CWGCXE.Mp3 FW: ZTE.Htm Распространение При активизации (если пользователь открывает прикрепленный файл) червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией.

Разрушительное воздействие Затем червь ищет все файлы на всех доступных дисках и портит их - переименовывает с расширением "Vbs" и записывает в них свою копию (например, "COMMAND.com" -> "COMMAND.com.VBS"). Таким образом, "жизненный цикл" червя выглядит примерно следующим образом: червь попадает на компьютер, запускается пользователем (например, двойным щелчком мыши по вложенному файлу), затем рассылает свои копии по всем адресам адресной книги Outlook и уничтожает все файлы на всех доступных дисках.

Другие особенности Червь использует полиморфик-алгоритм, меняющий тело червя при каждом заражении - червь дописывает в свой текст случайные строки-комментарии. При этом количество этих строк и, соответственно, размер червя растет от "поколения к поколению", например: 110Kb, 248Kb, 403Kb, 585Kb, 805Kb, 1040Kb и т.д. При этом "чистый" код червя занимает около 5Kb. Методы защиты Защита от червей такого типа выпущена “Лабораторией Касперского” около недели назад - "AVP Script Checker".

Мы рекомендует всем пользователям скачать этот новый тип защиты от интернет-червей с Web-сайта http://www.avp.ru и установить на свой компьютер. В качестве основной профилактической меры “Лаборатория Касперского” рекомендует пользователям воздержаться от запуска любых подозрительных вложенных файлов полученных как из неизвестных источников, так и от знакомых людей. Лаборатория Касперского Тел./Факс: +7 (095) 797-8700 E-mail: info@avp.ru WWW: http://www.avp.ru

Опубликовано: 19 мая 2000 г.

Ключевые слова: нет

Извините, комментариев пока нет