Дамы и господа! Уважаемые мои заказчики!
Как сегодня стало известно, в сети Интернет начал распространяться новый вирус I-Worm.Plexus.a. Распространяется он как через электронную почту, так и непосредственно через Интернет, используя уязвимости тех экземпляров Windows, обновления которых не были своевременно установлены.
Кроме всяких пакостей этот вирус-червь блокирует обновление баз антивирусных программ, затрудняя борьбу с ним. Поэтому пока не поздно срочно обновите свои антивирусные программы – лаборатория Касперского уже выпустила срочное обновление.
А тем пользователям Windows XP, 2000, NT, которые давно не обновляли свой Windows (последнее обновление от Microsoft было 10 мая) через Интернет предлагаю срочно это сделать. Традиционным путем: Пуск -> (Все программы) -> Windows Update -> Установить все критические обновления.
Ниже привожу сообщение лаборатории Касперского.
P.S. Две недели назад у меня полностью вышел из строя жесткий диск и было утеряно много информации. Эта рассылка создана на основании копии моей адресной книги, сохраненной в феврале.
I-Worm.Plexus.a
"Лаборатория Касперского" сообщает об обнаружении нового сетевого червя I-Worm.Plexus.a, распространяющегося по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети, а также через уязвимости в службах LSASS и RPC DCOM Microsoft Windows.
Создан на основании исходного кода сетевого червя I-Worm.Mydoom.
Написан на языке Microsoft Visual C++. Упакован FSG. Размер в запакованном виде – 16208 байт, в распакованном – 57856. Основная текстовая информация внутри файла зашифрована.
Инсталляция
При запуске копирует себя в каталог "Windows\System32" с именем "upu.exe".
Регистрирует себя в ключе автозагрузки системного реестра:
------------------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"NvClipRsv"=[путь к исполняемому файлу]
------------------------------Также червь создает уникальный идентификатор "Expletus" для определения своего присутствия в системе.
Червь противодействует обновлению антивирусных баз Антивируса Касперского. Для этого он заменяет содержимое файла "hosts" в каталоге Windows "Windows\System32\drivers\etc\hosts" следующими данными:
------------------------------
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
------------------------------Червь открывает на прослушивание порт 1250, предоставляя возможность проводить загрузку файлов на машину-жертву с их последующим запуском.
Выпущено срочное обновление баз Антивируса Касперского, содержащее процедуры защиты от I-Worm.Plexus.a. Чтобы скачать обновление баз с зараженного червем компьютера, пользователю необходимо удалить файл "hosts" из папки "Windows\System32\drivers\etc\hosts".
Полную версию данного предупреждения Вы можете прочитать на сайте Viruslist.com: http://www.viruslist.com/alert.html?id=145268581.
Более детальное описание червя будет опубликовано в "Вирусной энциклопедии" в течение сегодняшнего дня.
[3 июня 2004 г.]
Автор текстов на сайте (кроме блоков курсивом) Андрей Нартов
Нажимая на кнопку «Опубликовать», вы принимаете соглашение Об обработке ваших персональных данных.