Что за вирус sobig

Например, компания MessageLabs, специализирующаяся на фильтрации электронной почты, во вторник перехватила свыше миллиона сообщений, несущих в себе этот вирус, а конкурирующая фирма Postini выловила за одни сутки 2,6 млн зараженных писем. "Это самый быстрый вирус из всех, какие мы видели", - заявил вице-президент Postini Скотт Петри. Обычно компания, по его словам, регистрирует гораздо меньше писем с вирусами - около 500 тыс. в сутки.

Во вторник и в среду новый вирус так наводнил корпоративные системы e-mail, что каждое сообщение приходилось дезинфицировать, прежде чем допустить в компьютер получателя. MessageLabs подсчитала, что вирус Sobig содержало почти каждое 17-е сообщение: это гораздо больше соотношений 1:275 и 1:138, отмечавшихся во время самой страшной до сих пор эпидемии вируса Klez.H.

Sobig.F, как и предыдущие версии вируса, в качестве подложного адреса отправителя рассылаемых им сообщений использует адрес e-mail, отличный от адреса жертвы. Многие антивирусные системы сигнализируют владельцу этого адреса, что его компьютер инфицирован, даже если известно, что злоумышленник изменил исходный адрес. В результате интернет-артерии засоряются еще больше. "Мы решили не реагировать на спам или вирусы, так как это быстро приводит к перегрузке сети", - говорит Петри.

Крупнейшему североамериканскому провайдеру America Online тоже пришлось бороться с лавиной электронных сообщений. В обычные дни этот интернет-сервис-провайдер получает примерно 11 млн писем с вложениями, которые нужно проверять. Во вторник в компанию поступило около 31 млн таких сообщений, почти 11,5 млн из которых несли в себе Sobig.F. С момента появления вируса, 18 августа, AOL удалось уничтожить более 23 млн его копий. Вирус добавил работы и системным администраторам Массачусетского технологического института, Министерства обороны США, а также многих других организаций. Расслабиться они смогут только через 20 дней - как и предыдущие его версии, Sobig.F имеет встроенную дату отключения. Данный вариант настроен на прекращение распространения 10 сентября.

Однако этот факт, вместо того чтобы успокоить администраторов ISP, наводит их на мысль, что с каждым новым вариантом авторы семейства вирусов Sobig еще больше совершенствуются в своем черном деле. "Раз автор вируса Sobig использует встроенную дату дезактивации, значит, он обдумывает новые, усовершенствованные версии, - говорится в заявлении главного технолога MessageLabs Марка Саннера. - Каждый из известных вариантов Sobig превосходил предыдущий по скорости распространения и оказываемому эффекту в период первоначального окна активности".

Также, по его мнению, в начале следующей недели эпидемия вируса Sobig.F может разгореться с новой силой. "Могу предсказать, что настоящий скачок мы увидим в понедельник", - сказал он в интервью CNN/Money. В этот день множество американцев вернется из отпусков. Они впервые откроют свои ящики, где их уже ждут десятки, а то и сотни зараженных писем. И никаких средств для борьбы с Sobig.F у них еще нет. "Мы ожидали, что темпы распространения червя упадут на второй день, но этого не случилось", - рассказывает Саннер.

А по мнению представителя антивирусной компании F-Secure Микко Хиппонена, этот вирус, четвертый день терроризирующий почтовые ящики всего Интернета, был написан спамерами. Он считает, что с помощью вируса некто пытается пробиться через противоспамовые фильтры. "Мы имеем ясный мотив для написания вируса - деньги", - сказал он корреспонденту BBC.

"Лаборатория Касперского" отмечает, что размах эпидемии Sobig.F вызывает ряд вопросов и предположений. Прежде всего, удивляет скорость распространения червя, использующего самые обычные методики заражения. Этот червь не атакует бреши в системах безопасности. Пользователь должен самостоятельно запустить присланный по электронной почте вложенный файл, чтобы Sobig.F смог проникнуть в компьютер. Большая часть интернет-сообщества прекрасно осведомлена о такой опасности. Поэтому, скорее всего, автор червя снова прибег к использованию спам-технологий для массовой рассылки этой вредоносной программы. Вследствие этого копии червя получили сразу несколько миллионов получателей, среди которых оказалось много неосторожных пользователей. По мнению специалистов, это крупнейшая эпидемия почтового червя за последние полтора года.

Вложенный файл с кодом вируса может иметь одно из следующих имен: movie0045.pif, wicked_scr.scr, application.pif, document_9446.pif, details.pif, your_details.pif, thank_you.pif, document_all.pif, your_document.pif. Размер упакованного файла вируса - около 70 Кб, распакованного - около 100 Кб. Число тем сообщения также ограничено: Re: That movie, Re: Wicked screensaver, Re: Your application, Re: Approved, Re: Re: My details, Re: Details, Your details, Thank you!, Re: Thank you!

В теле письма присутствует строка "See the attached file for details" или "Please see the attached file for details." В случае, если пользователь запустит вложенный файл, вирус копирует себя в каталог Windows под именем winppr32.exe и регистрирует этот файл в системном реестре, обеспечивая запуск вредоносного кода после перезагрузки системы. Во всех папках на локальных дисках червь ищет файлы с расширениями *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP. В этих файлах производится поиск адресов электронной почты.

После этого червь с помощью встроенного smtp-сервера рассылает сообщения по обнаруженным адресам. Поле отправителя сообщения подделывается - в него может быть подставлен один из обнаруженных электронных адресов, либо адрес admin@internet.com". Кроме того, вирус создает файл winstt32.dat в системной папке Windows, в который помещаются все обнаруженные адреса электронной почты. Помимо "работы" на локальных дисках, вирус сканирует все доступные папки в локальной сети и копирует в них себя со случайным именем и расширением .EXE.

Деструктивных функций у червя нет, но он посылает UDP-пакеты на определенные IP-адреса на порт 8998 и ждет команд из сети. По полученной таким образом ссылке, червь может скачать файл и запустить его на выполнение. Таким образом, теоретически возможна установка и запуск новой версии вируса или установка троянской программы.

Первая версия вируса Sobig была обнаружена 9 января 2003 года. Несмотря на то, что код вируса практически не менялся, появление каждой новой версии вызывало довольно большое число заражений. В версии червя Sobig.D, появившейся в июне, также было предусмотрено прекращение работы в определенный день. Вирус Sobig.C отличался от других модификаций тем, что зараженные файлы распространялись с адресом Билла Гейтса (bill@microsoft.com) в поле отправителя. Вирус Sobig.E рассылал зараженный файл в ZIP-архиве.

Компания Network Associates сообщает способ обнаружения и нейтрализации вируса Sobig.F. О его наличии в системе свидетельствуют следующие симптомы:

1. В системной папке Windows присутствует файл WINPPR32.EXE. Тот же файл упомянут в списке запущенных процессов системы (список можно увидеть, нажав клавиши Ctrl, Alt и Del).

2. В реестре Windows присутствуют следующие строки: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "TrayX" = C:WINNTWINPPR32.EXE /sinc HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun "TrayX" = C:WINNTWINPPR32.EXE /sinc

Чтобы избавиться от вируса, необходимо удалить с жесткого диска файлы вируса и стереть все записи вируса в реестре. Для этого в операционной системе Win9x/ME необходимо перезагрузиться в безопасный режим работы (Safe Mode) и удалить файлы WINPPR32.EXE и WINSTT32.DAT из системной папки Windows. В реестре необходимо удалить переменную TrayX из папок HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun и HKEY_CURRENT_USERSSOFTWAREMicrosoftWindowsCurrentVersionRun. В операционной системе Windows NT/2000/XP переходить в безопасный режим необязательно - достаточно в диспетчере задач удалить процесс WINPPR32.EXE.

5 место: SLAMMER

Slammer — это червь, который появился в 2003 году. Как и многие другие вирусы, Slammer имел несколько названий. Он стал известен также как SQL Slammer, Saphire, WORM_SQLP1434.A, SQL Hell или Helkern.

• Slammer инфицировал около 200 000 компьютеров. Ущерб, который он причинил, оценивается в 1,2 млрд долларов США.
• Целью стали серверы баз данных, на которых был установлен Microsoft SQL Server 2000. Собственно говоря, распространения этого вредителя можно было бы избежать. Компания Microsoft уже выпустила патч для устранения уязвимости — вот только многие не стали его инсталлировать.
• Slammer отправлял непрерывный поток данных и тем самым существенно замедлял доступ к интернету. Из-за этого некоторые хосты совсем застопорились. Также пострадал сервер одной из американских АЭС — система безопасности была парализована.

4 место: CODE RED

Это тоже червь, уже одно только название которого выглядит угрожающе. В 2001 году он прокрался через уязвимость в Internet Information Server компании Microsoft и стал распространяться от одного веб-сервера к другому.

• Цель червя заключалась в том, чтобы изменять содержимое веб-страниц.
• Кроме того, в направлении определенных IP-адресов им была инициирована так называемая DDoS-атака. DDoS-атаки должны делать серверы недоступными. Самой известной жертвой подобной атаки со стороны CODE RED стал сервер Белого дома.
• Code Red инфицировал 400 000 серверов в течение всего одной недели. В общей сложности червем были затронуты около 1 млн ПК, а причиненный ущерб составил приблизительно 2,6 млрд долларов США.

3 место: ILOVEYOU

• Затем вирус приступал к самораспространению: он отправлял себя по почте контактам из адресной книги.
• Loveletter перезаписывал графические файлы и похищал пароли с компьютеров.
• Единственное, что было хорошего в ILOVEYOU, так это то, что именно с появлением данного червя пользователи впервые массово обратили действительно серьезное внимание на вредоносные программы и осознали важность использования антивирусного программного обеспечения.
• Данный червь инфицировал более 3 млн компьютеров, ему удалось нанести ущерб, оцениваемый аж в 15 млрд долларов США. Предполагаемым местом происхождения ILOVEYOU считаются Филиппины. Там подозревали даже трех конкретных людей. Однако для предполагаемых авторов вируса последствий в любом случае не последовало: в те времена на Филиппинах попросту не существовало законов, предусматривающих ответственность за распространение вредоносных программ.

2 место: SOBIG.F

SOBIG.F — это одновременно и самокопирующийся червь и троянец, а появился он в августе 2003 года.

1 место: MYDOOM

Вне конкуренции: червь Stuxnet

Не присутствует в нашем рейтинге, но, тем не менее, достоин отдельного упоминания — компьютерный червь Stuxnet. Он действительно впечатляюще демонстрирует, что может натворить вредоносная программа и для чего она может быть использована — а именно в качестве оружия в кибер-войне. Скорее всего, червь был запрограммирован в стенах некой государственной организации. Под подозрением находятся США и Израиль.

• Stuxnet тоже использует уязвимости в Microsoft Windows, чтобы проникнуть в систему. Когда в июне 2010 года червь был обнаружен, он уже, по сути дела, выполнил свое предназначение.
• Система управления, производимая компанией Siemens, которая отвечала за обороты турбины в иранской атомной электростанции, попала под сторонние манипуляции через Stuxnet. Как следствие, турбины вращались то слишком быстро, то слишком медленно, из-за чего в итоге вышли из строя.

Актуальная угроза: WannaCry

Весной на продажу выставили ноутбук Samsung NC10-14GB, выпущенный в 2008 году, с установленной на нем Windows XP SP3. Однако интерес вызывал не сам компьютер, а то, что у него внутри — шесть вирусов: ILOVEYOU, MyDoom, SoBig, WannaCry, DarkTequila и BlackEnergy, которые нанесли прямой и косвенный ущерб почти на $100 млрд.

Содержание

ILOVEYOU

ILOVEYOU начал свой путь с Филиппин, вирус рассылал свои копии по адресным книгам, поэтому единственный пользователь с обширной базой адресатов заражал огромное количество машин.

Предполагается, что авторы вируса, Онел Де Гузман и Реонэл Рамонес с Филиппин, которые якобы хотели проверить гипотезы дипломной работы, не ожидали случившейся бури. Позже молодых людей задержали (помог анализ кода оригинальной версии ILOVEYOU), но после расследования отпустили.

Вирус использовал уязвимость в операционной системе Windows и программе Outlook в частности, которая по умолчанию разрешала обработку скриптов. Причиной эпидемии называют то, что разработчики из MS в то время не считали скриптовые языки угрозой, поэтому эффективной защиты от нее не предусмотрели. Кроме того, авторы ILOVEYOU намеренно или по незнанию выпустили в мир не только инструмент для уничтожения — они предоставили конструктор, который можно изменять под свои нужды. Это привело к появлению десятков модификаций вредоноса.

Как следует из рассказов представителей компаний, которые занимались обеспечением информационной безопасности, вокруг творилась истерика, телефоны звонили безостановочно. Распространению вируса способствовала социальная инженерия: модифицированные его версии поступали от имени друзей, предлагающих встретиться, письма якобы содержали информацию о том, как получить подарок, предлагали почитать анекдоты и так далее. Знакомая классика.

Все было так плохо, что некоторые крупные военные ведомства (тот же Пентагон) и компании были вынуждены полностью остановить почтовые сервисы. Позже источники называли разные цифры, отражающие количество зараженных компьютеров, — от сотен тысяч до десятков миллионов.

Что делал ILOVEYOU? Червь, получив доступ к системе после своего запуска (куда уж без участия пользователя), всего-то изменял и уничтожал файлы. А бэкапов тогда практически никто не делал.

Sobig

Вирус Sobig впервые заметили в 2002 году. Считается, что он заразил миллионы компьютеров по всему миру, действуя вначале под другим названием. По некоторым данным, экономический ущерб от его действий превысил $35 млрд, однако, как и в остальных случаях, подсчеты носят приблизительный и отчасти гипотетический характер.

Ну а дальше дело за вложениями с двойными (например, .mpeg.pif) или обычными расширениями (просто .pif или .scr) — пользователь сам инфицировал систему.

Microsoft пыталась бороться с вирусом, выпустив патч, позволяющий блокировать некоторые типы файлов, но .zip среди них не было, чем и воспользовались хакеры. Потом софтверная корпорация предложила награду в четверть миллиона долларов за голову автора (не за голову, за имя, конечно), но его так и не нашли. По одной из гипотез, автором червя является программист Руслан Ибрагимов, но он с этим не согласен.

Mydoom

Mydoom, который появился в 2004 году, побил рекорды ILOVEYOU и Sobig по скорости распространения. А также рекорд Sobig по нанесенному экономическому ущербу — якобы более $38 млрд.

По данным Symantec, в ней было реализовано два триггера. Один был ответственным за организацию DoS-атак начиная с 1 февраля 2004 года, второй останавливал распространение вируса 12 февраля того же года, но бэкдоры оставались активными. Правда, это касалось одной из версий, последующие имели более поздние сроки запуска и отключения. Так что никаких совестливых хакеров.

Основной целью вируса, вероятно, была организация DoS-атак, а также рассылка нежелательной почты. Побочным эффектом стало повсеместное снижение скорости доступа в интернет, рост объемов спама, ограничение доступа к некоторым ресурсам и блокировка работы антивирусного ПО.

В начале следующей недели эпидемия вируса Sobig.f, которую уже называют крупнейшей эпидемией почтового червя в истории, может разгореться с новой силой, сообщает Компьюлента.

Так считает технический директор компании MessageLabs Марк Саннер, занимающейся борьбой с компьютерными вирусами. "Могу предсказать, что настоящий скачок мы увидим в понедельник", - сказал он в интервью CNN/Money. В этот день множество американцев вернется из отпусков. Они впервые откроют свои ящики, где их уже ждут десятки, а то и сотни зараженных писем. И никаких средств для борьбы с Sobig.f у них еще нет. Червь распространяется по интернету с понедельника. "Мы ожидали, что темпы распространения червя упадут на второй день, но так и не дождались", - рассказывает Саннер.

Первые сигналы о появлении новой версии компьютерного "червя" Sobig.f появились на этой неделе в США. Этот вирус может приходить с адресов компаний IBM и Microsoft. Заголовки писем, содержащих вирус, могут выглядеть как "Re: Thank You" ("Ответ: спасибо") или "Re: approved" ("Ответ: принято").

Файлы, прикрепленные к письмам с вирусом, могут иметь расширения .scr или .pif и названия вроде "your documents" ("ваши документы"), "details" ("подробности") или "thank you" ("спасибо"). Попав в компьютер пользователя, вирус заражает Windows.

Новый вирус не парализует полностью работу компьютера, но может поражать отдельные программы, замедлять работу приложений Windows.

Вирус обладает невероятной способностью к распространению в интернете. Он уже заразил сотни тысяч компьютеров по всему миру. Так, крупнейший мировой оператор интернета компания AOL сообщила, что за последние четыре дня смогла выявить в своих сетях до 12 млн копий Sobig.f. Подобно огородному сорняку, новый супервирус обладает невероятной способность к самовоспроизводству и тиражированию.

Особенность Sobig.f состоит в том, что он может изменять содержание текстов электронных посланий и атаковать через электронную почту каждый отдельный компьютер десятками и даже сотнями различных сообщений.

Службы контроля интернета предупреждают, что сейчас следует быть очень осмотрительным в случае, если на ваш электронный адрес пришло неожиданно большое количество посланий. Не исключено, что это попытка Sobig.f прорваться в ваш компьютер.

Отправитель "компьютерного червя" может не только заполучить практически полный контроль над компьютером, но и завладеть конфиденциальными данными.

По данным на четверг, вирус Sobig.f был зафиксирован в 134 странах мира, где вывел из строя множество e-mail-систем и посеял панику среди пользователей.

В вирусе запрограммировано прекращение работы до 10 сентября 2003 года.

Как избавиться от вируса Sobig.f

Компания Network Associates сообщает способ обнаружения и нейтрализации вируса Sobig.f. О наличии вируса в системе свидетельствуют следующие симптомы:

1. В системной папке Windows присутствует файл WINPPR32.EXE. Тот же файл упомянут в списке запущенных процессов системы (список можно увидеть, нажав клавиши Ctrl, Alt и Del).

2. В реестре Windows присутствуют следующие строки: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc Чтобы избавиться от вируса, необходимо удалить с жесткого диска файлы вируса и стереть все записи вируса в реестре. Для этого в операционной системе Win9x/ME необходимо перезагрузиться в безопасный режим работы (Safe Mode) и удалить файлы WINPPR32.EXE и WINSTT32.DAT из системной папки Windows. В реестре необходимо удалить переменную TrayX из папок HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В операционной системе Windows NT/2000/XP перезагружаться в безопасный режим необязательно - достаточно в диспетчере задач удалить процесс WINPPR32.EXE.

"Лаборатория Касперского" рекомендует не выходить в интернет без обновления антивирусных программ

Подробности о вирусе Sobig.f, эпидемия которого продолжается второй день, сообщает "Лаборатория Касперского". По мнению специалистов - это крупнейшая эпидемия почтового червя за последние полтора года.

Анализ почтового трафика "Лаборатории Касперского" показывает, что Sobig.f уверенно лидирует среди общего числа сообщаемых технической поддержке компании вирусных инцидентов: доля этого червя составляет более 92%, число пораженных систем оценивается в несколько сотен тысяч.

В свете распространения опасных компьютерных вирусов специалисты рекомендуют пользователям не выходить в интернет, не имея антивирусных программ с последними обновлениями, как заявил руководитель информационной службы "Лаборатории Касперского" Денис Зенкин. "Если вы выходите в интернет без антивирусной программы, то буквально через минуту компьютер будет завален", - подчеркнул Зенкин.

Вирус написали "спамеры"

Эксперт назвал вирус Sobig.f достаточно опасным. Вирус распространяется по электронной почте в виде вложенного файла. После запуска этого файла вирус внедряется в компьютер, "прописывает" себя в системном реестре Windows и, таким образом, обеспечивает себе активизацию при каждом запуске операционной системы. После этого вирус сканирует жесткие диски компьютера, находит там файлы с определенными расширениями, проверяет их, находит строки, которые похожи на адреса электронной почты, забирает их оттуда и записывает в свой специальный файл, чтобы потом незаметно для владельца компьютера рассылать свои копии по этим адресам, рассказал Зенкин.

В результате вирус не только дискредитирует владельца зараженного компьютера, но и модифицирует систему Windows, из-за чего нормальное функционирование компьютера может быть нарушено. Кроме того, на компьютер загружается "троянская программа", благодаря которой автор получает, по существу, полный контроль над системой и может загружать, удалять файлы, а также использовать компьютер, как спам-машину, заметил специалист. Вирус достаточно сложно распознать, так как он использует подставные адреса отправителей и постоянно меняет темы и тексты сообщения и вложенных файлов, отметил Зенкин.

По мнению представителя антивирусной компании F-Secure Микко Хиппонена, вирус Sobig.f, третий день терроризирующий почтовые ящики всего интернета, был написан спамерами. Он считает, что с помощью вируса некто пытается пробиться через противоспамовые фильтры. "Мы имеем ясный мотив для написания вируса - деньги", - сказал он корреспонденту BBC.

Такого же мнения придерживаются и в "Лаборатории Касперского": специалисты считают, что, cкорее всего, для рассылки зараженных писем автор червя прибег к становящимся в последнее время особенно популярными и среди вирусописателей спам-технологиям.

Наиболее надежный способ борьбы с вирусом - установка на компьютер антивирусных программ с последними обновлениями.

Читайте также:

• Почему гепатит а называют болезнью боткина
• Домашние тесты на вирусные гепатиты
• Вирус не могу дождаться
• Квинс парк ле жардин вирус коксаки
• Будет ли эпидемия вируса в россии

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.