Борьба с вирусами

Возвращаясь к заметке о вирусе Nyxem, он же MyWife и Kama-Sutra. А так ли уж всё страшно как нам преподносят это средства массовой информации (читать 1, 2, 3)? Ладно журналисты, чего с них взять, они на таких вот скандальных новостях зарабатывают деньги и популярность своего издания. Но вот больше всего раздражает, так это заявления таких, казалось бы, авторитетных и знающих в области защиты информации компаний, как "Лаборатория Касперского". Я уже давно обратил внимание, что периодически "Лаборатория Касперского" выступает вот с такими заявлениями. Последние пару-тройку лет "Лаборатория Касперского" любит пугать простых обывателей (пишут в газетах, выступают по телевизору) "очередной вирусной угрозой", которая полностью выведет из строя компьютер пользователя, если... А вот если пользователь купит у компании их супер-пупер продукт, то никакие вирусы будут ни почём. Ничем не прикрытая реклама , скажу больше, не очень хорошего товара. О работе антивируса Касперского (в народе – Каспер) уже ходят легенды. Я сам неоднократно становился свидетелем, как после установки это программы система начинала тормозить, а это современный компьютер с мощным процессором, большим жестким диском и большим объёмом памяти. В итоге пользователь просто удалял антивирус Касперского и просил установить какой-нибудь другой антивирус, который кроме нахождения, лечения и удаления вирусов ещё бы давал поработать за компьютером.

Хватит про Касперского, возвращаюсь к нашим баранам... э-э-э, к нашему вирусу. Более сдержано и не так эмоционально написали компании DrWeb и Panda Software. А ведь действительно ничего такого из ряда вон выходящего в этом вирусе нет. Банальный червь, рассчитанный на пользователей, которые на задумываясь открывают (запускают) вложения в письма, в надежде, что там действительно будут фотографии голой Анны Курниковой, например. Аналогичные вирусы уже не раз рассылались и удалялись установленной на компьютере пользователя антивирусной программой. Тут, конечно, ещё один факт, который ещё больше раздувают газетчики и "Лаборатория Касперского". Это уничтожение всех документов на пользовательском компьютере. Мне вот интересно, а разве другие вирусы не уничтожают (заражают) файлы или это у нас только один такой уникум?

Если у вас стоит антивирус, который ежедневно обновляет свои базы, если у вас есть голова на плечах и вы не открываете без разбора все вложения в письмах, вам бояться нечего.

Тут на работе в конце января случай произошёл. Как поднялась шумиха вокруг этого вируса, все вдруг начали интересоваться наличием в компьютере установленного антивируса. На несколько компьютерах антивирус действительно не был установлен. Послали студента установить антивирус и проверить компьютер на наличие вирусов. Установить-то он его установил и даже запустил проверку, но вот дальше... Антивирусная программа обнаружила в нескольких (75 штук) файлах вордовский макровирус WM97, который известен и лечиться достаточно давно любыми антивирусами. Так вот, когда программа обнаружила этот макровирус, то естественно задала вопрос "Что делать с заражённым файлом?": "лечить, удалить, переименовать, отправить в карантин". Наверное в этот самый момент в космосе произошли какие-то изменения, потому что студент ответил "Удалить всё", рассудив, что раз найдет вирус, то и нечего с ним церемониться.

Результат плачевен, нас лишили премии, а то подразделение потеряло достаточное количество очень важных документов. Поэтому прежде, прежде чем что-то сделать надо всегда думать о возможных последствиях и осознавать свои действия.

UPD: тем кто всё же подхватил эту гадость, вот инструкция как найти эту заразу и уничтожить. 

В интернете новое нашествие клонов червя Sober

"Лаборатория Касперского" сообщает об обнаружении трех новых модификаций известного сетевого червя "Email-Worm.Win32.Sober". По классификации "Лаборатории Касперского" им были присвоены индексы "u", "v" и "w". Все новые варианты червя представляют собой различные варианты паковки одной и той же вредоносной программы. Многочисленные случаи обнаружения в почтовом трафике новых модификаций Sober подтверждают информацию о том, что данная эпидемия вызвана цепью спам-рассылок зараженных червем писем.

Новые варианты Sober были разосланы через электронную почту в виде вложений в электронные письма. Размер приложенного файла, который и содержит тело червя, составляет около 130 Кб. Несмотря на то, что заголовок и текст зараженного письма произвольны либо отсутствуют, распознать опасное сообщение позволяет ограниченность набора названий приложенного файла. Они могут быть следующими:

  • Exceltab-packed_List.exe
  • Liste.zip
  • Reg-List-Dat_Packer2.exe
  • reg_text.zip
  • Word-Text.zip
  • Word-Text_packedList.exe
  • Word-Text_packedList.zip

Процедура запуска новых версий вредоносной программы стандартна для семейства Sober. Активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: "WinZip Self-Extractor. WinZip_Data_Module is missing ~Error".

Затем новые версии "Sober" копируют себя в системный каталог Windows и регистрируют себя в ключе автозапуска системного реестра. Помимо этого, они создают несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге Windows. Для своего размножения черви сканируют файловую систему пораженного компьютера в поисках адресов электронной почты и рассылают себя по обнаруженному списку адресатов.

"Лаборатория Касперского" предупреждает всех пользователей о появлении опасной вредоносной программы и рекомендует соблюдать максимальную осторожность при работе с электронной корреспонденцией.

Источник: kaspersky.ru