» ВИРУС!! Предупреждение. Насколько это серьёзно?

Собственно, отсюда.

http://www.pravda.ru/science/technolgies/i...207-blackworm-0

Насколько это важно и серьёзно - судить вам.



В конце этой недели - в пятницу - миллионы компьютерных пользователей навсегда распрощаются со своими курсовыми, дипломными работами, диссертациями, любимыми книгами и важными документами: вирус Blackworm, если он уже сидит в вашем компьютере, обязательно их сотрет.

По прогнозам специалистов, как только вирус Blackworm активизируется (это случится 3 февраля), будут уничтожены глобальные объемы информации

http://www.kaspersky.ru/news?id=178700284
Цитата:

Nyxem.e: 3 февраля может стать Судным днем для сотен тысяч компьютеров
«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о серьезной опасности, которую представляет недавно обнаруженный почтовый червь Email-Worm.Win32.Nyxem.e. Вредоносная программа распространяется через интернет в виде вложений в зараженные электронные письма, а также файлов, расположенных на открытых сетевых ресурсах. По данным специалистов, на данный момент количество зараженных компьютеров равно нескольким сотням тысяч. Их число продолжает расти, что заставляет говорить о серьезности масштаба распространения данной вредоносной программы.

Это делает особенно опасной характерную особенность Nyxem.e, состоящую в частичном уничтожении хранимой на зараженном компьютере информации каждого третьего числа месяца. Таким образом, 3 февраля 2006 года может стать последним днем для сотен тысяч ПК, пораженных Nyxem.e.

Червь представляет собой исполняемый в среде Windows файл размером 95 Кб, приложенный к письму с заголовком из заранее созданного автором списка, насчитывающего около 25 позиций. При этом текст письма и наименование приложенного файла также имеют около 20 разнообразных вариантов исполнения, что затрудняет оперативное обнаружение зараженного письма пользователем.

Активизация червя производится пользователем при самостоятельном запуске зараженного файла. После запуска Nyxem.e принимает дополнительные меры для дезориентации пользователя: червь скрывает свою основную функциональность, создавая в системном каталоге Windows ZIP-архив с тем же именем, что и изначально запущенный файл, а затем открывая этот архив. При инсталляции червь копирует себя под несколькими именами в корневой и системный каталоги Windows, а также каталог автозагрузки, после чего регистрирует себя в ключе автозапуска системного реестра. Таким образом, при каждой следующей загрузке Windows автоматически запускает вредоносный процесс.

Затем Nyxem.e сканирует файловую систему пораженного компьютера и рассылает себя по всем найденным адресам электронной почты. Для отправления зараженных писем червь пытается установить прямое соединение с SMTP-сервером. Параллельно червь копирует себя в доступные с пораженного компьютера сетевые ресурсы под именем Winzip_TMP.exe, таким образом увеличивая масштаб своего распространения за счет пользователей, загрузивших данный файл.

При этом вредоносная программа прерывает процессы, осуществляющие персональную защиту компьютера, и предотвращает их повторный запуск, оставляя атакованный ПК незащищенным. Располагая полным контролем над зараженной машиной, Nyxem.e также способен самостоятельно загружать свои собственные обновления из интернета, изменяясь в зависимости от воли автора.

В дополнение к указанным выше, особую опасность представляет также содержащаяся в Nyxem.e деструктивная функция. В соответствие с ней, червь регулярно сверяется с системной датой компьютера и в случае, если она соответствует третьему числу, через 30 минут после загрузки ПК уничтожает информацию в файлах наиболее распространенных форматов, замещая ее бессмысленным набором символов.

«Судя по присутствию червя в мировом интернет-трафике и все возрастающему потоку жалоб от пользователей, заражению Nyxem.e подверглось значительное число компьютеров по всему миру, количество которых может оцениваться в сотни тысяч. Это означает только одно – 3 февраля может стать Судным днем для многих беспечных пользователей, которые могут потерять ценные данные в случае, если их компьютеры подверглись заражению Nyxem.e. Поэтому я обращаюсь ко всем пользователям компьютеров с просьбой принять простые меры для предотвращения заражения данным червем: не запускать объекты, вложенные в любые письма, получение которых не ожидалось, обновить антивирусные базы установленной на ПК антивирусной защиты и затем провести полную проверку компьютера», - сказал Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского».

Процедуры защиты от Email-Worm.Win32.Nyxem.e уже добавлены в базу данных Антивируса Касперского®. Более подробная информация о данной вредоносной программе доступна в Вирусной энциклопедии Касперского .

http://www.viruslist.com/ru/viruses/encyclopedia?virusid=109064
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=57431

Цитата:

Процедуры защиты от Email-Worm.Win32.Nyxem.e уже добавлены в базу данных Антивируса Касперского®. Более подробная информация о данной вредоносной программе доступна в Вирусной энциклопедии Касперского .

А в отношении DrWeb?

Цитата:

Процедуры защиты от Email-Worm.Win32.Nyxem.e уже добавлены в базу данных Антивируса Касперского®.

ну и все - можно не беспокоиться... а шуму-то наделали.

Цитата:

А в отношении DrWeb?

У Данилова вирус классифицирован как Win32.HLLM.Generic.282 и модификации. Наверное тоже меры приняты. Просто на сайте не увидел возможности поиска сведений по конкретным словам. В списках первой десятки есть какой-то Win32.HLLM.Generic.391, но без линька

Цитата:

Руководитель антивирусных исследований "Лаборатории Касперского" Евгений Касперский рисует еще более апокалиптическую картину. "Современный Интернет находится на завершающей стадии своего жизненного цикла, еще немного - и он просто умрет", - говорит Касперский.

Надо же им как-то деньги зарабатывать

Перевел календарь компьютера на 3 февраля, ничего не случилось, в документах абракадабры не наблюдается, разрушения их тоже не замечено Могу перевести еще на 3 марта, но хватит страдать фигней. Это не вирус, это дешевая самореклама его автора. Ничего не будет 3 февраля.

А у кого-нибудь есть экземпляр этого вируса? Хотелось бы проверить антивирус на предмет его обнаружения...

какой ужас
какой ужас то
3 февраля как тока все офисные крысы закончат "работать" вирус проникнет на компы и уничтожит все их "документы"

какой ужас...

GhostOld

Цитата:

Надо же им как-то деньги зарабатывать

Неужели все действительно так хорошо?
Я понимаю, Касперский с Даниловым, Макафи с Нортоном и еще несколько производителей антивирусов воюют за место в мозгах и кошельках потребителей софта.
Но ведь все равно остаются малолетки (не обязательно в физическом плане, скорее - в плане личностной зрелости и неоправданной самооценки), которые вместо секса самоутверждаются посредством вирусописания. Вот им надо бы физию надраить. Отдельным экземплярам - с наждаком или пемзой.

У меня давным -давно 03 февраля. Сейчас 08 часов 39 минут местного времени.

Пока вирус ничего у меня не уничтожил.
Правда проверку сделал на наличие шпионов
Ad-Avare
Spybot

на наличие вирусов

DrWeb и NOD32

Вычистил ненужные файлы твикерами и почистил реестр (всё на автомате)

Вроде ничего не случилось пока.

Добавлено:
Всё сделал до наступления 03 февраля.

Трахните себя в голову и расслабтесь.
Времена Чернобыля прошли. Все.

Вот и третье настало, пока полёт норм$#%_+@|#~;]1>4(

очередной бред, имхо, даже внимание не стоит обращать

Цитата:

3 февраля может стать Судным днем для сотен тысяч компьютеров

честно говоря, достали уже вопли разных гуру о надвигающемся конце света.

Добавлено:
каждый год одно и то же.
ни года без пугала.

А мне этот бред только в помощь
Систематизировал данные, сделал резервную копию, сохранил
Сколько раз по беспечности и халатности терял данные!!!!
Нужно что бы хотя бы раз в полгода выпускали такие страшилки - для таких ленивых как я!!!


Кстати по ящику утром (3 февраля) тоже про какой-то вирус упоминали...

Ну что, есть пострадавшие ?

Полностью согласен со всем что выше сказано, действительно раздули из мухи слона, видно реклама каму-то на руку, вот только почему после нового года по сегодня молча около 47 вирусов таких как (W32.IRCbot.I, Trojan.Mancsyn, W32.Imav.A и т.д) выкинули в сеть. И из них 15 таких как сегодняшний (Win32.Nyxem.e) даже фактически ему и не уступают(W32.Antinny.AX, W32.feebs.j, W32.Loxbot.D…….). Если СМИ не сообщил то некто бы и не знал и работал бы как все 33 дня в этом году.

Цитата:

Если СМИ не сообщил то некто бы и не знал и работал бы как все 33 дня в этом году

Caspper

Раз не заметмли, что же, защита хорошая.

Добавлено:
Источник: http://www.viruslist.com/ru/viruses/encycl...?virusid=109064

Более подобробная информация о вирусе:


Цитата
Email-Worm.Win32.Nyxem.e
Другие версии: .a
Детектирование добавлено 17 янв 2006
Описание опубликовано 20 янв 2006
Поведение Email-Worm, почтовый червь


Технические детали
Рекомендации по удалению
Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ.

Инсталляция
После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например:

%System%\Sample.zip
При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами:

%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry"="scanregw.exe /scan"
При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие ключи реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"WebView"="0"
"ShowSuperHidden"="0"
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

dbx
eml
htm
imh
mbx
msf
msg
nws
oft
txt
vc
Червь также сканирует файлы, имеющие в своем имени следующие подстроки:

content
temporary
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем
Тема письма:
*Hot Movie*
A Great Video
Arab sex DSC-00465.jpg
eBook.pdf
Fuckin Kama Sutra pics
Fw:
Fw: DSC-00465.jpg
Fw: Funny
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
Re: Sex Video
School girl fantasies gone bad
The Best Videoclip Ever
You Must View This Videoclipe!
Текст письма:
----- forwarded message -----
>> forwarded message
forwarded message attached.
Fuckin Kama Sutra pics
hello, i send the file. Bye
Hot XXX Yahoo Groups
how are you? i send the details.
i attached the details. Thank you.
i just any one see my photos. It's Free
Note: forwarded message attached. You Must View This Videoclip!
Please see the file.
Re: Sex Video
ready to be FUCKED
The Best Videoclip Ever
VIDEOS! FREE! (US$ 0,00)
What?
Имя файла-вложения:
007.pif
04.pif
3.92315089702606E02.UUE
677.pif
Attachments[001].B64
docu_ment.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.PIF
eBook.Uu
image04.pif
New_Document_file.pif
Original Message.B64
photo.pif
School.pif
SeX.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu
Распространение через открытые сетевые ресурсы
Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe:

ADMIN$
C$

Прочее

В случае обнаружения на зараженном компьютере червь удаляет следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"APVXDWIN"
"avast!"
"AVG_CC"
"AVG7_CC"
"AVG7_EMC"
"AVG7_Run"
"Avgserv9.exe"
"AVGW"
"BearShare"
"ccApp"
"CleanUp"
"defwatch"
"DownloadAccelerator"
"kaspersky"
"KAVPersonal50"
"McAfeeVirusScanService"
"MCAgentExe"
"McRegWiz"
"MCUpdateExe"
"McVsRte"
"MPFExe"
"MSKAGENTEXE"
"MSKDetectorExe"
"NAV Agent"
"NPROTECT"
"OfficeScanNT Monitor"
"PCCClient.exe"
"pccguide.exe"
"PCCIOMON.exe"
"PccPfw"
"Pop3trap.exe"
"rtvscn95"
"ScanInicio"
"ScriptBlocking"
"SSDPSRV"
"TM Outbreak Agent"
"tmproxy"
"Vet Alert"
"VetTray"
"VirusScan Online"
"vptray"
"VSOCheckTask"
Также червь выгружает из системы запущенные приложения, в именах которых присутствуют следующие строки:

fix
kaspersky
mcafee
norton
removal
scan
symantec
trend micro
virus
Червь удаляет все найденные файлы из следующих папок:

%ProgramFiles%\Alwil Software\Avast4\*.exe %ProgramFiles%\BearShare\*.dll
%ProgramFiles%\DAP\*.dll
%ProgramFiles%\Grisoft\AVG7\*.dll
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
%ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar
%ProgramFiles%\McAfee.com\Agent\*.*
%ProgramFiles%\McAfee.com\shared\*.*
%ProgramFiles%\McAfee.com\VSO\*.exe
%ProgramFiles%\Morpheus\*.dll
%ProgramFiles%\NavNT\*.exe
%ProgramFiles%\Norton AntiVirus\*.exe
%ProgramFiles%\Symantec\Common Files\Symantec Shared\*.*
%ProgramFiles%\Symantec\LiveUpdate\*.*
%ProgramFiles%\Trend Micro\Internet Security\*.exe
%ProgramFiles%\Trend Micro\OfficeScan Client\*.exe
%ProgramFiles%\TREND MICRO\OfficeScan\*.dll
%ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe
%ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe

Все перечисленные действия червя делают систему более уязвимой для последующих атак.

Также червь может загружать из интернета свои обновления без ведома пользователя.

Также на зараженном компьютере червь может блокировать работу мыши и клавиатуры.

Третьего числа каждого месяца через 30 минут после загрузки зараженного компьютера червь перезаписывает файлы, имеющие следующие расширения:

dmp
doc
mdb
mde
pdf
pps
ppt
psd
rar
xls
zip
Испорченные файлы содержат следующий текст:

DATA Error [47 0F 94 93 F4 F5]
Рекомендации по удалению

Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
В диспетчере задач найдите процесс с одним из следующих имен:
New WinZip File.exe
rundll16.exe
scanregw.exe
Update.exe
Winzip.exe
WINZIP_TMP.EXE
WinZip Quick Pick.exe
Если обнаружите такой процесс — завершите его.
Вручную удалите следующие файлы из корневого и системного каталогов Windows и каталога автозагрузки:
%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe
Удалите из системного реестра следующую запись:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry"="scanregw.exe /scan"
Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.
В случае если были повреждены ваши персональные программы (в большинстве случаев это антивирусные программы и межсетевые экраны), заново установите требуемое программное обеспечение.
Произведите полную проверку компьютера Антивирусом Касперского (скачать пробную версию).

Цитата:

Источник: http://www.viruslist.com/ru/viruses/encycl...?virusid=109064

вот им не в падлу-то по клаве стучать и набивать это все

Цитата:

Произведите полную проверку компьютера Антивирусом Касперского (скачать пробную версию).

маркетологи рулят

Ежели кто-то все таки схватил этот триппер, вот бесплатная лечилка от
Symantec

То что именно каспер волну гонит, было ясно с самого начала. Та еще контора. Нашу фирму окучивали летом через сеть подставных контор, типа какой у вас антивир, ответте на несколько вопросов типа... и т.д. А потом стали зловредные екзешники засылать. Вырусы самописные. По тем адресам, что им были оставлены. Так сказать спешали фор ас. Вот мол ваш антивир пропустил, наш купите. И ведь не объяснишь людам, что валятся сервера от их продукта, что тормозит он систему дико, что траблы с ним жуткие. Вы попробуйте и все тут. Аргумент типа пробовали - не устраивает, не катит для них. До чего же можно опустится.

ой поздно заметил тему.

где то там писали что вирь спамит себя с темой "FREE PORNO" и тд
вот порнушники нахватали поди.

не стал дожидаться 3 февраля, поставил 2 февраля 23:59 и перегрузил посмотрел.
никокого армагедеца не случилось.

вывод - нехрен шляться по порносцайтам

Добавлено:
Ici Chacal
так там у каспера и хацкерье сидит, пишут трояны а потом тут как тут с нимбом каспер "купите у нас".

Цитата:

"Судный день" отменяется
3.02.2006 20:06 | СМИ.ru
Несколько дней назад специалисты в области разработки антивирусного программного обеспечения предрекали, что 3 февраля станет "судным днем" для тысяч беспечных компьютерных пользователей. Именно в этот день новый вирус Nyxem.e должен был начать удалять на зараженных компьютерах все файлы, созданные в Word, Excel, Acrobat и других распространенных приложениях. Однако реальность оказалась куда менее драматичной, нежели прогнозы...

http://www.rambler.ru/db/news/msg.html?mid=7287028

У меня 4 февраля и всё работает. Про концы света и т.д... Бредятина это полная, разумный человек это понимает, а те, кто штампует статьи об этом просто хотят заработать.

PEDKA

Цитата:

У меня 4 февраля и всё работает. Про концы света и т.д... Бредятина это полная, разумный человек это понимает, а те, кто штампует статьи об этом просто хотят заработать.

Да, ладно. Хорошо, что у мало-мальских сведущих людей защита есть.
А я, когда первый раз в Интернет вышел (без какой-лтбо защиты) сразу нахватал.
Трояны так и летели, как мухи на мёд.

Что таких мало сейчас?

1dimir

Цитата:

Что таких мало сейчас?

Нет, таких людей не мало, но так пугать их (что придёт судный день), мягко говоря, не хорошо!

мой тупой отец который чуть ли не сутками сидит и ковыряет линух
прибежал и грит типа ты там у себя антивирусы поставь
вот вирус тут будет
а сам с довольной мордой
типа а вот в линухе нет вирусов

тупая мать начиталась газеты и теперь ходит выключает все вилки из розеток и удлинителей на которых отдельный выключатель стоит
а еще кто то там пощитал и пернул
че телик когда выключен тоже потребляет енергии в год на 25 евров

просил показать кто как и по каким формулам пощитал и че за телик был
так сразу гавно полилось
типа люди умнее меня

надо будет как нить замерить таки ток в стендбае
аж самому интересно стало

а вы все
кто поверит кто поверит...
да лохов полно и они вокруг и рядом с нами

Вот уже 4 все работает прекрасно, даже 02.02 создал левый ящик, и подписался в ряд порно слайдов, но всякая ерунда приходит! Результат ноль. Вообще кто-нибудь знает человека у кого "Судный день" все-таки был?