Nyxem.e

Vitskiy · 01 февраля 2006, 23:10:36

http://soft.mail.ru/pressrl_page.php?id=13832

Вредоносная программа распространяется через интернет в виде вложений в зараженные электронные письма, а также файлов, расположенных на открытых сетевых ресурсах. По данным специалистов, на данный момент количество зараженных компьютеров равно нескольким сотням тысяч. Их число продолжает расти, что заставляет говорить о серьезности масштаба распространения данной вредоносной программы.

Это делает особенно опасной характерную особенность Nyxem.e, состоящую в уничтожении хранимой на зараженном компьютере информации каждого третьего числа месяца. Таким образом, 3 февраля 2006 года может стать последним днем для сотен тысяч ПК, пораженных Nyxem.e.

Червь представляет собой исполняемый в среде Windows файл размером 95 Кб, приложенный к письму с заголовком из заранее созданного автором списка, насчитывающего около 25 позиций. При этом текст письма и наименование приложенного файла также имеют около 20 разнообразных вариантов исполнения, что затрудняет оперативное обнаружение зараженного письма пользователем.

Активизация червя производится пользователем при самостоятельном запуске зараженного файла. После запуска Nyxem.e принимает дополнительные меры для дезориентации пользователя: червь скрывает свою основную функциональность, создавая в системном каталоге Windows ZIP-архив с тем же именем, что и изначально запущенный файл, а затем открывая этот архив. При инсталляции червь копирует себя под несколькими именами в корневой и системный каталоги Windows, а также каталог автозагрузки, после чего регистрирует себя в ключе автозапуска системного реестра. Таким образом, при каждой следующей загрузке Windows автоматически запускает вредоносный процесс.

Затем Nyxem.e сканирует файловую систему пораженного компьютера и рассылает себя по всем найденным адресам электронной почты. Для отправления зараженных писем червь пытается установить прямое соединение с SMTP-сервером. Параллельно червь копирует себя в доступные с пораженного компьютера сетевые ресурсы под именем Winzip_TMP.exe, таким образом увеличивая масштаб своего распространения за счет пользователей, загрузивших данный файл.

При этом вредоносная программа прерывает процессы, осуществляющие персональную защиту компьютера, и предотвращает их повторный запуск, оставляя атакованный ПК незащищенным. Располагая полным контролем над зараженной машиной, Nyxem.e также способен самостоятельно загружать свои собственные обновления из интернета, изменяясь в зависимости от воли автора.

В дополнение к указанным выше, особую опасность представляет также содержащаяся в Nyxem.e деструктивная функция. В соответствие с ней, червь регулярно сверяется с системной датой компьютера и в случае, если она соответствует третьему числу, через 30 минут после загрузки ПК уничтожает информацию в файлах наиболее распространенных форматов, замещая ее бессмысленным набором символов.

"Судя по присутствию червя в мировом интернет-трафике и все возрастающему потоку жалоб от пользователей, заражению Nyxem.e подверглось значительное число компьютеров по всему миру, количество которых может оцениваться в сотни тысяч. Это означает только одно - 3 февраля может стать Судным днем для многих беспечных пользователей, которые могут потерять ценные данные в случае, если их компьютеры подверглись заражению Nyxem.e. Поэтому я обращаюсь ко всем пользователям компьютеров с просьбой принять простые меры для предотвращения заражения данным червем: не запускать объекты, вложенные в любые письма, получение которых не ожидалось, обновить антивирусные базы установленной на ПК антивирусной защиты и затем провести полную проверку компьютера", - сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

M-K · 01 февраля 2006, 23:57:29

Впринципе ничего нового. Я думал услышать про вирус по умнее, если честно...

ДОБАВЛЕННО:
Тем не менее я прочитал весь текст.

Eddy · 02 февраля 2006, 18:04:23

у меня теперь никогда третьего числа не будет на компе))
только 1 и 2е

Vitskiy · 02 февраля 2006, 22:21:23

По-умнее - это к афтарам. Просто прочитал и решил выложить... =)

digger · 03 февраля 2006, 00:58:35

Доктор Веб: Что нам ждать от 3 февраля? — Alien @ 17:20

В последние дни в компанию «Доктор Веб» поступают многочисленные вопросы, связанные с ожидающейся 3 февраля так называемой «атакой компьютерного червя», грозящего уничтожить всю информацию на сотнях тысяч компьютеров. Пользователей, а также представителей средств массовой информации интересует, действительно ли опасность столь велика, как о ней говорят, и защищает ли антивирус Dr.Web от этого червя?

Служба вирусного мониторинга компании «Доктор Веб» в этой связи сообщает следующее. Действительно, в настоящее время наблюдается относительно высокое присутствие в почтовом трафике червя Win32.HLLM.Generic.391 (имя по классификации «Доктор Веб», известен также как W32/MyWife.d@MM!M24, Email-Worm.Win32.Nyxem.e, Win32.Blackmal.F, W32/Nyxem-D). В настоящее время он входит в первую десятку вирусов, постоянно обновляемую Службой вирусного мониторинга компании, занимая в ней 7 место.

Однако говорить о каких-либо ужасающих масштабах распространения этого почтового червя либо о нарастающем присутствии его в Интернете серьезных оснований нет. Более того, его присутствие за последние дни даже уменьшилось, что говорит о том, что эпидемия - даже если о ней и можно было говорить в первые два дня - явно идет на убыль. Более того, специалисты аналитической лаборатории компании «Доктор Веб» не склонны вообще говорить об эпидемии применительно к Win32.HLLM.Generic.391 - целый ряд других почтовых червей, таких как Netsky или MyDoom, представляющие не меньшую опасность, стабильно занимают более высокие места в вирусной "табели о рангах".

Распространяющийся по электронной почте Win32.HLLM.Generic.391, будучи активированным на компьютере своей жертвы, старается уничтожить файлы ряда антивирусных программ, а также - по 3 числам каждого месяца - перезаписывает найденные на локальном жестком диске файлы документов и архивные файлы, фактически уничтожая их. Таким образом, 3 февраля - ближайшее третье число месяца - может обернуться для пользователей, не позаботившихся об антивирусной защите своих компьютеров, потерей важных для них данных. Правда, для тех пользователей, у которых не установлены антивирусные программы, ожидающийся 3 февраля "Судный день", наверняка, наступил гораздо раньше - при том обилии вредоносного кода в Интернете, которое наблюдается в наши дни, стать жертвой какого-либо компьютерного вируса на не защищенном компьютере – вопрос нескольких минут. К тому же автор червя Nyxem не отличается большой изобретательностью, и возможности червя по распространению гораздо слабее, чем у тех же MyDoom или Netsky.

Следует отметить, что пользователям антивируса Dr.Web с первого момента появления этого червя какая-либо опасность не грозила – он детектировался эвристиком антивирусного ядра Dr.Web и поэтому попасть на компьютеры, где установлен этот антивирус, у него не было никаких шансов. Позднее его сигнатура была добавлена в вирусную базу Dr.Web как Win32.HLLM.Generic.391 - поскольку этот червь отнесен вирусными аналитиками компании «Доктор Веб» к семейству червей Sober.

Таким образом, широко разрекламированная "вирусная атака" 3 февраля - событие весьма заурядное на общем вирусном фоне современного Интернета. Безусловно, нельзя преуменьшать последствия вредоносных действий червя, которые наступят 3 февраля для тех, кто ранее не позаботился о своей антивирусной защите. Однако информация, поступающая в Службу вирусного мониторинга компании «Доктор Веб», говорит о том, что какого-либо существенного ущерба в глобальном масштабе эти действия не принесут. Несмотря на то, что червь явно не российского происхождения, тревогу бьют почему-то в основном в России. При этом ведущие иностранные антивирусные компании довольно низко оценивают опасность этого червя. А защититься от него можно вполне тривиально - использовать надежный антивирус. И страсти нагнетать не стоит.

Mantra · 03 февраля 2006, 13:37:11

АХТУНГ!
мне прислали письмо с такой вкладкой!!
я его снес!!!

S_H_A_D_O_W · 03 февраля 2006, 14:03:38

а еси просто бонально менять дату на компе???)
или у него свой календарь?

ЗЫ и че еси заражон будет хоть 1 комп то через сетевые ресурсы(шары) он полЮбому залезет?

nEwBe · 03 февраля 2006, 14:15:01

а меня последние 2 недели мучает вирусьняк ... торчит раз в 2 дня примерно... кашперский ловит какие то: моя_музыка.ехе, shared_docs.exe и чтото типа того =)))) откуда лезут - уже даже не знаю! все проверил, все убил. а они все лезут =))) вот бАлин ...

AntonFox · 03 февраля 2006, 23:21:48

1. Обнови антивирус
2. Отключи сеть (выдерни шнур, выдави стекло :-) )
3. Поставь фаервол (если его нету еще)
4. Запусти ПОЛНУЮ проверку ВСЕХ дисков, а еще лучше - проверь с другого компа. То есть можно например грузануца с СД или флешки и проверить диски
5. Попробуй 2-3 разных антивирусняка (Касперский, Панда, Симантек)

SleXo · 04 февраля 2006, 15:27:58

Вчера куча компов резко завируснячили(мне рассказывали...) и всё из-за этого вируса!Вот действительно полезная тема. :x: :x:

M-K · 04 февраля 2006, 15:50:19

Цитироватьа меня последние 2 недели мучает вирусьняк ... торчит раз в 2 дня примерно... кашперский ловит какие то: моя_музыка.ехе, shared_docs.exe и чтото типа того =)))) откуда лезут - уже даже не знаю! все проверил, все убил. а они все лезут =))) вот бАлин ...

Описанные тобой симптомы я еще давно наблюдал на шАрах. Теперь Аутпост фаервол мне не дает видеть такие шары. Вобще ни какие не видит

Там вирус делает себе имя такое, в каком каталоге он сам находится.

То есть бонально:
MP3.exe
clips.exe
images.exe

Наверное, чтобы все думали, что это заархивированная папка.

Nyxem.e

Vitskiy

Vitskiy