По данным полученным ProUA из независимого источника, вирус BIZEX, поразивший сегодня тысячи компьютеров, использовавших интернет-пейджер ICQ, распространяется только на операционных системах WIN98. Тестирование на Windows 2000 не привело к заражению компьютера.
На сегодняшний момент большинство антивирусных программ хотя и блокирует заражение машины, но не умеет лечить компьютеры, уже зараженные этим вирусом.
Для ручного удаления вируса необходимо перезагрузить компьютер в защищенном режиме и удалить папку windows/system/sysmon, а также запустить утилиту regedit и удалить ключ автозапуска, содержащий ссылку на файл sysmon.exe.
Напомним, что сегодня «Лаборатория Касперского» заявила об обнаружении нового сетевого червя "Bizex", который вызвал первую глобальную эпидемию среди пользователей интернет-пейджера ICQ.
Как сообщает «Лаборатория Касперского», для маскировки при просмотре веб-сайта пользователю показывается содержание интернет-представительства "Joe Cartoon" - автора популярных американских мультсериалов. В это время вредоносная программа атакует компьютер сразу с двух направлений. Во-первых, используя брешь в браузере Internet Explorer. Во-вторых, через брешь в операционной системе Windows. В результате на компьютер незаметно для пользователя загружается специальный файл, который "дотаскивает" с удаленного веб-узла непосредственно файл-носитель "Bizex" (APTGETUPD.EXE) и запускает его на выполнение.
После этого "Bizex" начинает процедуру заражения компьютера. Для этого он создает папку SYSMON в системном каталоге Windows, копирует себя в нее под именем SYSMON.EXE и регистрирует этот файл в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою загрузку в память компьютера при каждом старте операционной системы.
По завершении этого процесса "Bizex" начинает процедуру дальнейшего распространения по ICQ. Червь извлекает из себя несколько системных библиотек для работы с этим интернет-пейджером и устанавливает их в системный каталог Windows. С их помощью "Bizex" получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, осуществляет самостоятельное подключение к серверу от имени владельца зараженной машины и от его имени рассылает по всем найденным контактам ссылку на указанный выше веб-сайт.
Важно отметить, что червь атакует только оригинальные ICQ клиенты (за исключением Web ICQ), в то время как альтернативные пейджеры (Miranda, Trillian) обладают иммунитетом.
"В данном случае мы имеем дело с откровенной попыткой заработать: оригинальная методика проникновения и атака на "непуганого зверя" в сочетании с широким арсеналом шпионских функций, несомненно, принесли автору червя большую выгоду. Даже несмотря на то, что вредоносный сайт был закрыт спустя всего 4 часа с момента начала эпидемии, - сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - Одновременно, мы призываем пользователей внимательно относиться к посещению сомнительных сайтов и незамедлительно установить обновления для Internet Explorer и Windows".
Смотрите также: 24.02.2004 15:08:40 Червь «Bizex» атакует пользователей ICQ
|