Алексей Рерих
По Сети стремительно начал распространяться новый вирус – Goner. Другое имя червя – Pentagon.
По сообщению “” червь распространяется в виде аттачмента к электронному письму. Именно так он был обнаружен, что называется, в диком виде всеми антивирусными компаниями. “Лаборатория Касперского” зафиксировала “несколько” случаев заражения вирусом Goner, компания сообщает об одной тысяче заражений на конец вторника. Почтовый сервис сообщает о 39 тысячах зараженных писем.
Червь распространяется в письме с заголовком “Hi”. В теле письма содержится текст: “How are you ? When I saw this screen saver, I immediately thought about you. I am in a harry, I promise you will love it!” (“Как дела? Когда я увидел этот скринсйвер, я сразу подумал о тебе. Я спешу. Обещаю, тебе он понравится!”).
Вложенный файл поименован как Gone.src. Для активизации червя пользователь должен самостоятельно раскрыть этот аттачмент. Червь функционирует только в среде Win32.
После инсталяции в систему червь рассылает себя по всем адресам из адресной книги Microsoft Outlook. Червь также пытается рассылать себя через популярный интернет-пейджер ICQ.
Помимо рассылки червь выполняет также некоторые деструктивные действия. По сообещнию CNet, после заражения системы червь пытается приостановить работу антивирусных программ крупнейших производителей, а затем пытается удалить все защитные файлы.
По сведениям компании , с функцией удаления файлов антивирусников червь справляется плохо. Так у антивирусного ПО ZoneAlarm вирусу удалось удалить только пользовательский интерфейс и “Help”, основная же программа продолжала работать.
После проведения деструктивных действий червь выводит небольшое окошко, содержащее благодарности неизвестного автора всем своим друзьям.
Помимо попыток уничтожения файлов антивирусных программ, Goner-Pentagon также запускает скрытое приложение, осуществляющее DoS-атаку на сервер twisted.ma.us.dal.net, вновь и вновь заходя на IRC-канал #pentagonex под разными случайными именами.
Интенсивность эпидемии этого червя, как и всех ему подобных, “Лаборатория Касперского” в своем отчете и компания “Symantec” в интервью CNet оценивают одинаково: в первые часы такие вирусы обычно начинают очень активно распространяться, в следующие 2-3 дня наблюдается заметный рост количества зараженных сообщений, затем начинается спад, после чего эпидемия полностью сходит на нет.
Антивирусные компании и интернет-СМИ не устают говорить о необходимости ни в коем случае не открывать аттачменты неизвестного происхождения, а тем более с двойным или исполняемым расширением. Однако пользователи очень быстро забывают уроки предыдущих эпидемий и снова и снова ведутся на нехитрые призывы посмотреть на “очень интересный скринсейвер”. Однако информация о новой эпидемии быстро распространяется и пользователи вновь становятся аккуратнее.
Вирус Goner написан на языке Visual Basic 6 и представляет собой исполняемый файл размером около 38 килобайт. Червь упакован утилитой UPX.
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Троян Badtrans потеснил SirCam с первого места – 27.11.01
В Сеть выпущен новый червь, способный на DDoS-атаки – 23.11.01
Майский вирус Aliz вызвал эпидемию в ноябре – 22.11.01
Первый DVD-вирус подцепили крутые девчонки – 02.11.01
Антивирус McAfee отбивает память у Outlook Express – 29.10.01
Корейский “бен Ладен” проникает и в ICQ – 25.10.01
Сибирская язва заражает компьютеры – 17.10.01
Новый троянец грабит пользователей WebMoney – 17.10.01
“Лаборатория Касперского”: активация SirCam отменяется – 16.10.01
Червь Nimda снова атакует в пятницу – 28.09.01