Trend Micro ostrzega: destrukcyjny wirus zainfekował setki tysięcy komputerów
Firma Trend Micro ostrzega przed nowym wirusem, który w ciągu ostatniego tygodnia zdążył zainfekować setki tysięcy komputerów na całym świecie. Twórcy wirusa zaprogramowali go tak, aby 3 lutego 2006 zaatakował jednocześnie wszystkie systemy, a następnie 3 dnia każdego miesiąca. Robak znany jest także jako Nyxem, BlackMal, Mywife, oraz CME-24.
Wirus jest niezwykle groźny ze względu na niszczycielskie działanie: w momencie aktywacji wyszukuje on wszystkie dostępne w systemie pliki o popularnych rozszerzeniach, w tym .DOC, .XLS, .PPT, .PDF i .ZIP i nadpisuje je, czyniąc je bezużytecznymi. Oprócz zniszczenia ogromnej ilości danych wirus unieruchamia klawiaturę i mysz, co uniemożliwia wykonanie jakichkolwiek działań naprawczych.
Podobnie jak większość robaków, GREW.A rozprzestrzenia się poprzez załączniki do wiadomości e-mail oraz poprzez sieć, włączając w to sieci wymiany plików P2P. Także sposób zachęcania użytkownika do otworzenia załącznika e-maila nie różni się od typowych metod wykorzystywanych dotąd przez autorów wirusów, począwszy od obietnicy zobaczenia ciekawego zdjęcia a na pornografii kończąc.
Dobrą wiadomością jest to, że wirus został już wykryty i większość programów antywirusowych (w tym Trend Micro) potrafi odnaleźć i usunąć robaka. Dlatego firma Trend Micro zaleca przeskanowanie systemu antywirusem. Osoby, które nie posiadają oprogramowania antywirusowego zainstalowanego w komputerze mogą skorzystać z darmowego skanera online firmy Trend Micro: http://housecall.trendmicro.com/
Szczegółowe informacje o wirusie można znaleźć na stronie:
http://www.trendmicro.com/vinfo/virusen ... EA&VSect=P.
-------------------------------------------------------------------------
Kamasutra zaatakuje 3 lutego
31.01.2006
Robak e-mailowy Kamasutra, zwany też Nyxem.E, 3 lutego uruchomi procedury destrukcyjne.
Rezultatem może być skasowanie wszystkich dokumentów, plików Excela i prezentacji. Konieczne jest posiadanie zaktualizowanego programu antywirusowego - poinformował PAP w poniedziałek główny inżynier systemowy w polskim oddziale firmy Symantec, Andrzej Kontkiewicz
Kamasutra lub Nyxem.E znany jest w internecie po wieloma nazwami m.in. » W32.Blackmal.E@mm, W32/Nyxem-D, Win32/Blackmal.F czy Tearec.A. Według ekspertów IronPort, zajmujących się bezpieczeństwem informatycznym, wirus ten jest jednym z niewielu, posiadających wbudowane procedury destrukcyjne.
Zdaniem analityków, napisany w języku Visual Basic, robak rozsyła się na dwa sposoby. Pierwszym jest e-mail. Wysyła się jako załącznik fałszywej wiadomości, o kilkunastu różnych nagłówkach np. The Best Videoclip Ever, School girl fantasies gone bad, A Great Video, [beeeep eng.] Kama Sutra pics, give me a kiss, *Hot Movie*, Fw: Funny
, Fwd: Photo, Word file, eBook.pdf, You Must View This Videoclip!, Part 1 of 6 Video clip, My photos, the file.
Załączniki w wiadomościach o tym temacie zawierają robaka Kamasutra. Robak następnie zbiera wszystkie adresy z książki adresowej programu pocztowego (nie musi to być Microsoft Outlook), tworzy fałszywe wiadomości i rozsyła się pod znalezione adresy, usiłując zainfekować inne komputery. Jak twierdzą analitycy z IronPort, załączniki, w których znajduje się wirus są na tyle nietypowe, iż zwykłe programy do blokowania złośliwego kodu w poczcie elektronicznej ich nie rozpoznają i nie zatrzymują.
Jeśli robak trafi do jednego z komputerów w sieci, szuka współdzielonych przez wszystkie komputery folderów i próbuje się do nich kopiować, aby zakażać wszystkie komputery w sieci.
"Wirus ten został wykryty 16 stycznia tego roku i aby się go pozbyć, trzeba mieć aktualny program antywirusowy, tj. ze zaktualizowaną bazą wirusów. Nie ma przy tym w jego rozprzestrzenianiu się żadnej różnicy między Polską a resztą świata; Internet traktuje wszystkich bardzo demokratycznie, więc takie samo zagrożenie jest wszędzie. Kamasutra lub Nyxem.E jest o tyle niebezpieczny, że poza tym co robią zwykłe robaki tj. rozsyłaniem się i zakażaniem innych komputerów, rozchodzi się także metodą typowych ataków hackerskich i posiada procedury destrukcyjne" - powiedział PAP Andrzej Kontkiewicz.
Jak dodał, procedury destrukcyjne robaka, polegają na tym, że każdego trzeciego dnia miesiąca jest uruchamiane kasowanie plików Worda, Excela, PowerPointa, Adobe Acrobat, .zip, .rar, .mdb,.mde. Kasowanie jest prowadzone na wszystkich dostępnych dyskach komputerze czy w sieci. Zawartość pliku jest zastępowana przez komunikat "DATA Error [47 0F 94 93 F4 K5]".
Jak twierdzi organizacja bezpieczeństwa CERT Polska, obecnie zakażonych Kamasutrą jest 700 tys. komputerów, ale ich liczba rośnie codziennie.
Według analityków z F-Secure, jeszcze w czwartek, 26 stycznia, Nyxem.E był odpowiedzialny za 21,7 proc. wszystkich infekcji zgłoszonych tego dnia, co dawało mu miejsce w ścisłej czołówce działających wirusów.
Analitycy bezpieczeństwa obawiają się także, iż rosnąca ilość infekcji tym robakiem na niezabezpieczonych programem antywirusowym komputerach, spowoduje problemy z serwerami poczty w niektórych firmach. Serwery te mogą być zatkane wirusowymi wiadomościami, co znacznie utrudnia działanie poczty elektronicznej.
