Черви в паутине

UFO (ufobject@mail.ru)

Спецвыпуск Xakep, номер #015, стр. 015-068-2

Sonic

Это уже более серьезный пример. Sonic был обнаружен 30 октября во Франции и в Германии. Отличительная черта этого червя заключатся в том, что он имеет функцию самообновления. На момент обнаружения вируса он был совершенно в сыром виде, но автор виря может в любое время обновить его с помощью хак-сайта, который находится на сервере "Geocities". Червь постоянно ломится на зашитый в нем урл и пытается скачать с него свои обновления. Сам Sonic состоит из двух модулей: загрузочного и основного. Функция загрузочного модуля заключается в обновлении основного модуля. Основной модуль, в свою очередь, представляет собой троян, который безбожно прет разную секретную информацию с зараженной машины. Надо сказать, что идея скрестить троянца и червя не покидает головы вирьмейкеров уже много лет :). Выгода очевидна - троян распространяется самостоятельно!

Magistr.B

Этот интернет-червь, скорее всего, является модификацией вируса Magistr.A. Почему "скорее всего"? А понимаешь, некоторые эксперты утверждают следующее: "Magistr.B написан совершенно другим программистским почерком, чем Magistr.A. Вероятно, Magistr.B был написан с целью устроить компьютерную диверсию. Не исключено, что B-модификация червя Magistr была переслана в Европу из США". Такие предположения породили мифические свойства этого вируса - Magistr.B пока гуляет только по Европе и еще ни разу не переползал через Атлантику. Еще одна отличительная черта Magistr.A от Magistr.B в том, что B-модификация при определенных условиях может полностью очистить твой хард от файлов. Вирус размножается с помощью нескольких почтовых клиентов. В их число входят Outlook, Outlook Express, Eudora, Netscape Messenger и некоторые почтовики служб Web-почты. Вирус создает письмо, в котором и сабж, и само тело письма генерируются случайным образом. К письму могут быть приаттачены файлы с различным расширением, но сам вирус хранится в файле readme.exe.

KakWorm.d

Этот интернет-червь обладает очень оригинальным свойством - он размножается только на компах, которые находятся под управлением французской версии Windows. Для размножения червь использует дыру в IE 5.0. При прочтении зараженного письма на компьютере пользователя в папке автозапуска создается файл OUT.HTA. После передачи управления этому файлу реестр маздайки правится так, что при создании нового письма в почтовом клиенте в созданное письмо вставляется невидимый кусок с телом червя. Для того чтобы не заразиться этим вирусом, достаточно просто поставить последние заплатки для пятого IE или периодически проверяться в венерической больнице :).

Code Red

А вот этот червячок превзошел сам себя. С целью собственного размножения вирус нещадно юзал дыру в серверах, использующих Microsoft Internet Information Services (IIS). Поначалу этот вирус не заметили ни Microsoft, ни лаборатория Касперского. Заговорили же о нем только после заражения более тысячи серверов. Самое интересное заключается в том, что Code Red, сканируя сервера на предмет дыр в IIS, вывел из строя кучу DSL-маршрутизаторов производства Cisco Systems. Киски Системс пока молчат по поводу причины выхода из строя их роутеров, но разгадка не за горами.