По Сети стремительно начал распространяться новый вирус — Goner. Другое имя червя — Pentagon.
По сообщению «» червь распространяется в виде аттачмента к электронному письму. Именно так он был обнаружен, что называется, в диком виде всеми антивирусными компаниями. «Лаборатория Касперского» зафиксировала «несколько» случаев заражения вирусом Goner, компания сообщает об одной тысяче заражений на конец вторника. Почтовый сервис сообщает о 39 тысячах зараженных писем.
Червь распространяется в письме с заголовком «Hi». В теле письма содержится текст: «How are you ? When I saw this screen saver, I immediately thought about you. I am in a harry, I promise you will love it!» («Как дела? Когда я увидел этот скринсйвер, я сразу подумал о тебе. Я спешу. Обещаю, тебе он понравится!»).
Вложенный файл поименован как Gone.src. Для активизации червя пользователь должен самостоятельно раскрыть этот аттачмент. Червь функционирует только в среде Win32.
После инсталяции в систему червь рассылает себя по всем адресам из адресной книги Microsoft Outlook. Червь также пытается рассылать себя через популярный интернет-пейджер ICQ.
Помимо рассылки червь выполняет также некоторые деструктивные действия. По сообещнию CNet, после заражения системы червь пытается приостановить работу антивирусных программ крупнейших производителей, а затем пытается удалить все защитные файлы.
По сведениям компании , с функцией удаления файлов антивирусников червь справляется плохо. Так у антивирусного ПО ZoneAlarm вирусу удалось удалить только пользовательский интерфейс и «Help», основная же программа продолжала работать.
После проведения деструктивных действий червь выводит небольшое окошко, содержащее благодарности неизвестного автора всем своим друзьям.
Помимо попыток уничтожения файлов антивирусных программ, Goner-Pentagon также запускает скрытое приложение, осуществляющее DoS-атаку на сервер twisted.ma.us.dal.net, вновь и вновь заходя на IRC-канал #pentagonex под разными случайными именами.
Интенсивность эпидемии этого червя, как и всех ему подобных, «Лаборатория Касперского» в своем отчете и компания «Symantec» в интервью CNet оценивают одинаково: в первые часы такие вирусы обычно начинают очень активно распространяться, в следующие 2-3 дня наблюдается заметный рост количества зараженных сообщений, затем начинается спад, после чего эпидемия полностью сходит на нет.
Антивирусные компании и интернет-СМИ не устают говорить о необходимости ни в коем случае не открывать аттачменты неизвестного происхождения, а тем более с двойным или исполняемым расширением. Однако пользователи очень быстро забывают уроки предыдущих эпидемий и снова и снова ведутся на нехитрые призывы посмотреть на «очень интересный скринсейвер». Однако информация о новой эпидемии быстро распространяется и пользователи вновь становятся аккуратнее.
Вирус Goner написан на языке Visual Basic 6 и представляет собой исполняемый файл размером около 38 килобайт. Червь упакован утилитой UPX.
 |
|
| ССЫЛКИ ПО ТЕМЕ | |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Троян Badtrans потеснил SirCam с первого места — 27.11.01
В Сеть выпущен новый червь, способный на DDoS-атаки — 23.11.01
Майский вирус Aliz вызвал эпидемию в ноябре — 22.11.01
Первый DVD-вирус подцепили крутые девчонки — 02.11.01
Антивирус McAfee отбивает память у Outlook Express — 29.10.01
Корейский «бен Ладен» проникает и в ICQ — 25.10.01
Сибирская язва заражает компьютеры — 17.10.01
Новый троянец грабит пользователей WebMoney — 17.10.01
«Лаборатория Касперского»: активация SirCam отменяется — 16.10.01
Червь Nimda снова атакует в пятницу — 28.09.01