Вирус на имя Sobig.f

В течение суток мне в почтовый ящик (электронной, конечно же) поступило свыше полторы сотни писем, в атачменте содержали вирус Sobig.f. На почтовый ящик отдела новостей раньше таких писем поступило более шести сотен. И самое главное мы нашли картинки на рабочий стол машины и хотели их установить. А тут такая досада!

Что же, вирусные эпидемии в течение последних четырех лет (после катастрофы, вызванной Win95.CIH) обходили меня стороной. Даже всякие хитрые черви, как вот то, что всем подряд признавался в любви, не наносили какой-то страшной беды. Все сводилось к лечению двух-трех машин какой-то программкой от наших компьютерных докторов. По сравнению с симптомами серьезной эпидемии, когда каждый *.exe-файл большинства редакционных компьютеров был заражен червем, который в конце концов вызвал потерю большинства цифровых архивов, все вирусные атаки отбивались админами, как говорится, одной левой. Может это и стало причиной беды.

Две недели назад мы уже писал о досадное создании на имя Sobig.f. Тогда большинство читателей (да и, честно говоря, я) воспринимали эту инфу просто как интересное чтиво. Когда же почтовые клиенты начали визжать дурными голосами, любое желание смеяться пропало. На этот раз, как и предыдущих, я надеялся, что пользователи отличаются от всех остальных. В позитивном смысле этого слова. Оказалось, что продвинутыми юзерами есть горстка тех, кто читает наш сайт. Их адреса в сообщениях-носителях досадного червя почти не появляются.

Давайте вспомним себе в способ распространяется червь. Выглядит это так: вам приходит письмо. Часто — вам знакомой адреса. Хотя, на самом деле, это не означает, что почтовый аккаунт с таким названием это письмо отсылал.

Стоит обратить внимание на то, что только один вариант атачмента имеет расширение, известное большинству пользователей — *.scr (экранная заставка). Ни скринсейвера, конечно же, в этом файле нет. Пользователь должен запустить файл для того, чтобы заразить свой компьютер. Это очень важно. Прошу это запомнить.

После того, как червь поселился на инфицированной машине, он ищет во всяких файлах адреса электронной почты, по которым затем и рассылается. В то же время, он обычно не указывает настоящий адрес отправителя. Это и усложняет узнать адресат отправителя.

На этом неприятности жертвы не заканчиваются. Червь, кроме бешеного трафика, что временами даже делает невозможным пользование интернетом, составляет все найденные адреса в файл winstt32.dat в системный каталог (обычно c:windows) и ежечасно сверяет время с NTP-серверами. Эти серверы — интернетовская служба точного времени.

Каждую пятницу и воскресенье от 19.00 до 23.00 червь обращается к определенным веб-ресурсам для того, чтобы взыскать еще какие-то нелепые выдумки. Правда, антивирусные лаборатории уверяют нас в том, что эти ресурсы давно блокированы, только вот насколько это правда — неизвестно. Если червю таки удастся вытащить такую неприятную штуку, она запускается на выполнение.

Правда, если антивирусные компании все-таки заблокировали серверы, с которых червь может себе взыскать обновления, вся эта история должна была бы прекратиться 10 сентября: в этот день червь должен был бы заснуть и больше не проснуться.

А теперь подведем итоги. Для того, чтобы избежать эпидемии, системным администраторам стоило сделать несколько простых шагов. Во-первых: запретить почтовым серверам получать аттачменты с расширениями *.pif и *.scr. Или, если уж быть тщательнейшим, с упомянутыми именами. Во-вторых: обеспечить безопасность компьютеров установкой на почтовые серверы или ґейти антивирусного программного обеспечения (когда уже жалко денег на отдельные рабочие станции). И в-третьих: научить пользователей, какие файлы следует открывать, а какие — нет. Когда же у вас администратор идиот, другого совета, как читать наш сайт нет.

Вирус на имя Sobig.f Вирус на имя Sobig.f Reviewed by ollbiz.com on июля 24, 2013 Rating: 5
Технологии Blogger.