Черви в паутине

UFO (ufobject@mail.ru)

Спецвыпуск Xakep, номер #015, стр. 015-068-3

MyBabyPic

Совсем недавно появился еще один веселый вирус, который демонстрировал пользователю, запустившему его, порно-ролик со звуковым сопровождением. Вирус размножался по почте. Он генерировал письма, в сабже которых находился текст "My baby pic!!!", а сам текст письма содержал фразу "Its my animated baby picture!!". Сгенерированные письма рассылались по адресам, содержащимся в почтовом клиенте. Основная часть юзверев, к которым приходило такое письмо, думали, что это очередной спам, а мысль о заражении интернет-червем в головы им даже и не приходила :(. Мало того - те, кому понравился ролик, сами рассылали этот файл своим знакомым и коллегам. Пока ушастый юзверь наслаждался порнухой, вирь успешно располагался на его компьютере и портил кучу файлов, имеющих следующие расширения: VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H, JPG, JPEG, MP2 и MP3. Сам вирус написан на Visual Basic. Дебилизм, блин.

Nimda

Совсем недавно возникла новая эпидемия интернет-червя Nimda. Это довольно грамотно написанный червяк, который размножался не с помощью одной дыры, как предыдущие вирусы, а через несколько. Этот вирь способен прыгать по тачкам, на которых установлены Окна 9x или 2000/NT. Кроме того, Nimba поражал сервера и клиентские компы с установленным сервисом IIS. И это еще не все! Он использовал своих братьев по оружию - CodeRedII и sadmind/IIS. Он заражал тачки, на которых находились эти вирусы. Если поражалась машина с установленной Windows 9x, то вирь писал себя в автозапуск и активизировался при загрузке маздая. Если заражалась Windows 2000 или NT, то он искал HTML-файлы в каталогах с уровнем вложенности до 4 по всему компу и, найдя, модифицировал их так, что через эти файлы передавалось его тело. Если же вирь заражал какой-нибудь сервер, то удалялась главная страница паги, и, при попытке захода на нее, вирус оставался жить на машинах тех пользователей, у которых оказывались открытыми используемые вирусом дыры. При попадании на машину с установленной Windows 2000 Nimba так же пытается заразить все EXE-файлы. Размножается этот зверек способом рассылки по почте своего тела в файле readme.exe, который прикрепляется к заразительному письму. Само письмо представляет собой HTML-файл, при просмотре которого автоматически запускается приаттаченный readme.exe. Это, наверное, единственный настоящий интернет-червь по сравнению с теми червями, которые мне попадались до него. Суди сам ;).

DoS.Storm

Мда... :) Бедный, бедный Билл :). Опять его обижают, но на этот раз не пользователи его продуктов, а интернет-червь под названием DoS.Storm. Этот вирь написан совершенно криво, и его очень легко обнаружить и удалить. DoS.Storm использует многострадальную щель в сервисе IIS. А чем же этот червячок обижает Билла? А тем, что он периодически устраивает DoS-атаки серверу www.microsoft.com и посылает кучу совершенно дебильных писем на один из почтовых адресов Билла Гейтса. К всеобщему сожалению, вирус очень медленно размножается из-за своих огромных багов, а атаки на почтовый адрес Билла не приносит Гейтсу совершенно никакого вреда, так как настоящий адрес Гейтса засекречен. Вирус обречен на полное вымирание. А жаль ;).