Хакер #305. Многошаговые SQL-инъекции
По заявлению
представителей компании Network
Associates, занимающейся производством
антивирусного программного обеспечения,
интернет-червь, распространяемый по
каналам электронной почты и маскируемый
под мультимедийный ролик, заразил более 50
американских компаний в последние часы
рабочего дня пятницы. Об этом сообщает
новостное агентство Postnet.
По информации "Лаборатории
Касперского", многочисленные случаи
заражения вредоносной программой были
зарегистрированы в конце прошлой недели в
Польше.
Вирус, названный "ProLin",
рассылается в виде вложения к письму, поле
"subject" которого читается как "A great
Shockwave Flash movie" . Вирус распространяется
путем получения доступа к адресной книге
почтовой программы Outlook, откуда он
считывает имеющиеся адреса электронной
почты и рассылает по ним сообщения с
вложенным файлом creative.exe. Именно в нем и
содержится сам червь.
После запуска этого файла,
"Prolin" регистрируется в каталоге
автозапуска Windows и посылает сообщение
автору программы на специальный адрес
электронной почты, находящийся в домене
yahoo.com.
Затем он ищет файлы с
расширениями ZIP, MP3 и JPG, перемещает их в
корневой каталог диска C и изменяет их имена,
добавляя к ним строку "change atleast now to LINUX".
По сообщению лаборатории
Касперского, червь способен работать
только под Windows 2000. Для нормального
функционирования под Windows 95/98 и Windows NT ему
необходима библиотека Visual Basic 6.0 MSVBVM60.DLL,
которая не входит в стандартную поставку
пакета. Вирус оставляет предупреждающее
сообщение о том, что он может быть
запрограммирован таким образом, что все
файлы с жесткого диска пользователя будут
удалены. Сообщение подписано неизвестным
хакером, именующим себя "The Penguin" (Пингвин).
Как известно "пингвин" является знаком,
ассоциированным с операционной системой
Linux.
По заявлению Винсента
Джулотто, директора антивирусного
подразделения Network Associates - McAfee
Avert Labs, автором вируса может быть любой
фанат Линукса. Возможно, что он
демонстрирует компаниям, занимающимся
программным обеспечением, дыры,
существующие в их защите. Джулотто добавил,
что его гипотезы - не более, чем гипотезы.
Особенно активно вирус проявил себя на
территории США, носящей название Среднего
Запада, среди фирм, связанных с
компьютерной техникой или производящих
компьютеры. Специалисты из Network Associates (конкурента
антивирусного центра Symantec)
заявили, что вирус не будет
распространяться столь стремительно, как
вирус "I love you", период максимальной
активности которого пришелся на май этого
года.
"Корпорациям не
составит труда заблокировать почтовые
клиенты от приема сообщений с
соответствующей строкой "subject" или
вложением", - заявил директор
антивирусного исследовательского центра
Symantec Винсент Вэйфер. По мнению Symantec, ProLin
может быть отнесен к вирусам средней
опасности, в то время как Network Associates относит
его к вирусам высокой опасности.
"Лаборатория
Касперского" оценивает степень
опасности данного червя как среднюю, так
как Prolin не наносит ущерба, способного
безвозвратно нарушить нормальное
функционирование компьютерных систем.
Несмотря на это, не следует запускать
зараженный файл creative.exe: в некоторых особых
случаях (наличие файлов с одинаковыми
именами в разных директориях, нехватка
места на диске, превышение количества
допустимых файлов в корневой директории)
червь может полностью уничтожить файлы, с
которыми производит манипуляции. Процедуры
защиты от интернет-червя "Prolin" и
программа, позволяющая быстро и эффективно
восстановить файлы на зараженных
компьютерах, уже добавлены в очередное
обновление Антивируса Касперского (AVP) и
доступны на сайте компании по адресу www.kaspersky.ru.