http://webplanet.ru/news/lenta/2004/2/24/icq_virus.html Comments for "Первая глобальная эпидемия ICQ-червя" ru http://webplanet.ru/forum/news.html%3Fnews%3D3265#comment-68800 <p>Kak udalit etu zarazu!!!!???</p> Sun, 04 Apr 2004 19:06:43 +0400 Di comment 68800 at http://webplanet.ru http://webplanet.ru/forum/news.html%3Fnews%3D3265#comment-68215 <p>Таки я не понял... Это не касается тех у кого Мозилла + Миранда, даа? :)<br /> А если ИЕ и мирабилис, так и вы же не ходите в публичный дом без презерватива, на когож теперь пенять? :)</p> Tue, 24 Feb 2004 16:28:56 +0300 Лиман comment 68215 at http://webplanet.ru http://webplanet.ru/forum/news.html%3Fnews%3D3265#comment-68213 <p>Worm.Win32.Bizex</p> <p>Вирус-червь, распространяющийся по интернету при помощи интернет-пейджера ICQ. </p> <p>Червь рассылает пользователям ICQ сообщения с URL указывающими на файл, содержащий процедуры автоматической загрузки и исполнения на компьютере пользователя вредоносных компонент. </p> <p>Размножение<br /> При обращении к ссылке<br /> <noindex><a href="http://www.jokeworld.xxx/xxx.html" title="http://www.jokeworld.xxx/xxx.html" target="_blank" rel="nofollow">http://www.jokeworld.xxx/xxx.html</a></noindex> (где xxx - замененные нами символы)<br /> происходит использование CHM-уязвимости, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя.<br /> Данный архив содержит в себе файл "iefucker.html", представляющий собой скриптовый TrojanDropper, который извлекает из себя в различные системные каталоги файл "WinUpdate.exe". </p> <p>Для платформы Windows 2000 и Windows XP: </p> <p>"C:\Documents and Settings\All Users\Start Menu\Programs\Startup\WinUpdate.exe"<br /> Для платформы Windows 98:<br /> "c:\windows\Start Menu\Programs\Startup\WinUpdate.exe"<br /> Данный файл является троянской программой класса TrojanDownloader, которая загружает с удаленного сайта основной компонент червя и записывает его во временный каталог, с именем "aptgetupd.exe".<br /> Этот файл получает доступ к списку контактов ICQ и рассылает по всем найденным адресам вышеприведенную ссылку. </p> <p>Кроме того, данная компонента обладает функцией кражи разнообразной банковской информации. Более подробный анализ этого компонента будет доступен позже. </p> <p>Прочее<br /> При открытии ссылки, помимо использования CHM-эксплойта, происходит попытка загрузки и исполнения Java-архива, содержащего различные TrojanDownloader (детектируются как Trojan.Java.Classloader и TrojanDownloader.Java.OpenConnection), которые также пытаются загрузить на компьютер компоненты червя.</p> Tue, 24 Feb 2004 14:56:37 +0300 G12 comment 68213 at http://webplanet.ru http://webplanet.ru/forum/news.html%3Fnews%3D3265#comment-68212 <p>Что-то мне это напоминает известный анекдот про чеченский (афганский) вирус. Не фига по незнакомым ссылкам ходить.</p> Tue, 24 Feb 2004 14:41:43 +0300 Dan Nikamura comment 68212 at http://webplanet.ru http://webplanet.ru/forum/news.html%3Fnews%3D3265#comment-68210 <p>а это правда или прикол?</p> Tue, 24 Feb 2004 14:38:30 +0300 слезинка comment 68210 at http://webplanet.ru http://webplanet.ru/forum/news.html%3Fnews%3D3265#comment-68209 <p>как удалить эту дрянь?</p> Tue, 24 Feb 2004 14:30:41 +0300 tereza comment 68209 at http://webplanet.ru http://webplanet.ru/news/lenta/2004/2/24/icq_virus.html <p>Зарегистрирована первая в истории интернета глобальная эпидемия ICQ-червя. Буквально несколько минут назад «Лаборатория Касперского» распространила срочное сообщение.</p> <p><a href="http://webplanet.ru/news/lenta/2004/2/24/icq_virus.html">Далее</a></p> Архив http://webplanet.ru/news/lenta/2004/2/24/icq_virus.html#comment Tue, 24 Feb 2004 13:18:02 +0300 admin 4482 at http://webplanet.ru