На этой неделе эскперты по антивирусам
заявили о появлении новой зловредной
проги, которая маскируется под веб-страницу
или HTML письмо. Известная как Trojan.Offensive (или JS/Offensive),
прога использует дырку в Java Virtual Machine десятимесячной давности, изменяя критические
системные настройки, которые приводят к
невозможности нормального использования
Виндов. Система либо должна быть
переустановлена либо восстановлена, но
довольно мучительными способами.
Как заявляет исследователь вирусов Крейг
Шмугар, "сам вирус не вызывает потери
данных, но система практически умирает".
В текущей версии троянская коняка приходит
через мыло и представляет из себя HTML
документ со словом "Start", которое,
конечно, являет собой линк в никуда. Клик
этого линка запускает джавовый скрипт,
который, в свою очередь, пролезет в дырку в Java
Virtual Machine и начнет редактировать реестр. Эта
дырка существует во всех версиях Виндов, на
которых установлен Ослик ИЕ версии 3.0 - 5.5sp1.
Изменяя почти 50 ключей в реестре, вирь
отключает все программы, не дает Виндам
выключаться и прячет все иконки на десктопе.
А потому как все программы и приложения
отключены, то Винда не может запустить даже
антивирус, что не даст починить систему
автоматически. Несмотря на то что эта
лошадка вызывает кучу проблем, она еще не
очень сильно распространилась.
Кроме того, вирь сам не распространяется,
а делают это чьи-то шаловливые ручонки. Пока
еще очень мало статистических данных о
количестве заражений, но известная
антивирусная контора Symantec уже получила
первые сообщения о зараженьях из Японии.
"Заражений может быть и больше, просто мы
не знаем о них, а жертвы вируса не могут с
нами связаться, потому что их компьютеры не
работают. Но мы не думаем, что это программа
распространится
так же широко, как, например, какой-нибудь
вирус. Потому что это не вирус, а троян", -- говорит Мотоаки Ямамура, старший менеджер
Symantec.
По сему вирус назван очень метко (прим.
авт.,"Offensive" - противный, настырный).
Помимо того что прога гадит в реестре и не
дает системе работать, она несет еще и
расистский подтекст. При физической
перезагрузке компа вылезает следующее
сообщение: "Если у вас возникнут какие-то
проблемы, пожалуйста пишите на findlu@21cn.com.
Примечание: не для японцев, свиней и собак."
21cn.com - это китайский сайт, расположенный в
одной из провинций Китая. Сисадмина этого
сайта не удается найти по мылу.
Так как дырке уже больше 10-ти месяцев, и уже
давно был доступен патч к ней, то некоторые
бдительные юзеры, скачавшие патч, никак
не пострадают от этой коняки. "К тому же
многие люди изменили свое отношение к
электронной почте, то есть стали ей меньше
доверять. Многие пользователи сейчас
начали уделять больше внимания
безопасности своих компьютеров. Также от
трояна не пострадают люди, отключившие ActiveX
в своих браузерах", -- говорит Ямамура.
