Win32.HLLM.Graz или просто Graz представляет собой достаточно молодой почтовый вирус массовой рассылки.

Одной из особенностей данного вируса является его достаточно серьезная направленность на борьбу с антивирусными средствами компьютера.

Способы заражения:

Существует два способа заразится вирусом Graz. Во-первых данный вирус распространяется по электронной почте в виде письма с вложенным файлом. Как правило, в качестве отправителя письма указывается администрация почтовых служб hotmail.com, gmail.com, aol.com, msn.com или yahoo.com.

К письму прикрепляется один из следующих файлов: msg.zip, message.zip, data.zip, mail.zip. При этом в письме прилагается логин и пароль, что бы заинтриговать адресата. В архиве - файл hta, содержащий зашифрованное тело вируса. Имя этого файла составляется из двух случайно выбранных строк. Первая строка может быть "Encrypted", "Protected", "Secure" или "Extended", а вторая - "Mail", "E_Mail", "Message" или "Html".

При открытии этого файла в корень диска C: сбрасывается файл с именем COMMAND.EXE и запускается. В это же время появляется окно, предлагающее ввести ID и Password.

Пример зараженного письма:

Вирус так же распространяется при помощи ICQ. Graz получает на зараженной машине логин и пароль владельца ICQ и рассылает сообщения всем из списка контактов с просьбой зайти на сайт и скачать универсальный ключ для какой-либо игры (который само собой является ни чем иным как вирусом).

Заражение машины:

При запуске вируса он копирует свое тело в системную папку %SystemRoot%\System32 под именем ms??.exe и сбрасывает в эту же папку файл ms??32.dll. Для обеспечения автозапуска своей копии прописывает сброшенный dll-файл в ветку реестра HKLM\Windows\CurrentVersion\ShellServiceObjectDelayLoad.

Вирус отслеживает траффик портов и извлекает пароли telnet, smtp, pop3, ftp, icq, irc и других служб, которые нужны ему для распространения. Также Graz содержит функцию управления программой WebMoney Keeper.

Первые действия Graz направлены на блокировку антивирусных средств компьютера. Вирус удаляет файлы, содержащие в именах подстроки ipcserver, aws, iamapp, armorwall, xfilter, ipatrol, kavpf, keypatrol и т.п. файлы, которые относятся к сервисным службам, призванным защищать компьютер от несанкцированных действий и вирусных атак, а также блокирует доступ к сайтам антивирусных компаний.

Способы лечения:

1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).

2. Просканировать память и локальные диски компьютера сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT!. Действие для найденных файлов - удалить .

Если вы еще не успели открыть архив с вирусом, то нет ничего проще, чем просто удалить письмо из ящика и корзины почтовой программы.

Прошедший год стал годом вируса Netsky, эпидемия которого началась в феврале 2004 г. и не закончилась до сих пор. Это первый в истории червь, который распространялся более чем в 30-ти модификациях.

Таким образом, один немецкий тинейджер 19-летний Свен Яшан ответственен более чем за половину всех случаев заражения в мире в 2005 году. Именно он считается виновным в написании вирусов Netsky и Sasser, за что и был арестован в мае 2004 г. и приговорен в июле прошлого года к почти двум годам условного лишения свободы с испытательным сроком в 3 года. Так что же он в конце концов натворил?

Классический представитель почтовых червей.

Практически все модификации червя Netsky распространяются через электронную почту и рассылают свои копии по всем найденым на компьютере пользователя электронным адресам.

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. В зависимости от модификации вируса размер вложенного файла с вирусом может колебатся в пределах 20-30 Кб в упакованом виде. Вирус написан на любимом языке вирусописателей Microsoft Visual C++.

После инсталяции вирус копирует себя в корневой каталог Windows в виде exe программы (так, для модификации NetSky.x данным файлом является приложение VisualGuard.exe), а также создает в реестре уникальный идентификатор для определения своего присутствия в системе.

Распространение через Email.

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения: adb, asp, cgi, dbx, dhtm, doc, eml, htm, html, jsp, msg, oft, php, pl, rtf, sht, shtm, tbb, txt, uin, vbs, wab, wsh, xml. Червь рассылает себя по всем найденным в файлах с расширениями из приведенного выше списка адресам электронной почты. Для отправки писем червь использует собственную SMTP-библиотеку.

Вредоносные действия Netsky.

В зависимости от модификации вирус Netsky выполняет различные вредные действия. Одним из побочных действий вируса является атака всех зараженных компьютеров, направленная на какой-либо объект. Например, 1 марта 2004 года появилась модификация вируса Netsky D главной целью которой было заразить компьютеры и с их помощью атаковать сайт компании ЗАО "Лаборатории Касперского".

Некоторые модификации вируса существенно замедляют работу компьютера, что негативно сказывается на оперативности работы пользователей и приносит дополнительные убытки.

Монополия на вирус.

Очень любопытным фактом 2004 года стала развернувшаяся в феврале-марте кибербитва между соперничающими вирусописателями. Вирус Netsky не просто заражал компьютеры — он также удалял с машин любые экземпляры вирусов Mydoom, Bagle и Mimail. В довершение ко всему, авторы вируса Netsky объявили войну авторам Bagle. На пике такой «войны» каждый день появлялось несколько экземпляров обоих червей, содержавших в своем теле угрозы в адрес недругов.

VBS.Redlof является одним из самых известных зашифрованных полиморфный вирусов. Вирус VBS.Redlof написан на языке Visual Basic Script (VBS) и зашифрован при помощи VBE (Visual Basic encoded script).

Вирус поражает компьютеры под управлением Windows 95/98/Me/NT/2000/XP и заражает файлы с расширениями .asp, .htm, .html , .htt, .jsp, .php и .vbs, дописывая в их конец VBScript, содержащий зашифрованную копию его вирусного кода.

Для попадания на компьютер вирус использует так называемую уязвимость виртуальной машины Microsoft в системе безопасности MS Internet Explorer, при которой вирус может быть активирован с удаленного сайта при просмотре пользователем инфицированного таким вирусом HTML файла.

После первого попадания на компьютер пользователя, вирус открывает файлы с расширением htt , .html, .htm, .jsp, .asp, .php, расположенные в текущей папке, заражает их, а также папку "Мои документы".

Признаки инфицирования

Существует несколько способов определения, заражен ли ваш компьютер вирусом Redlof:

наличие в системе инфицированного VBScript либо в %windir%\System\Kernel.dll, либо в %windir%\System\Kernel32.dll.

наличие в системном реестре записи HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunKernel32\ "%SYSTEM%\Kernel.dll"

Самым простым способом определения заражения вирусом является следующий тест. Создайте простой текстовый файл и переименуйте его в html. Размер сохраненного файла должен составлять 0 байт. Если после закрытия файла его размер возрос до 12 Кбайт, значит вы заражены.

Основным признаком инфицирования системы вирусом Redlof является наличие в зараженном файле строки:

Таким образом, после открытия файла, запускается на выполнение функция KJ_start(), которая описана в конце файла в виде закодированного скрипта Visual Basic.

Инфицирование системы:

При первом запуске вирус создает файл со своим исполняемым кодом в системном каталоге Windows с именем Kernel.dll. Кроме этого вирус создает файлы kjwall.gif в каталогах System32 и Web. Также вирус копирует себя во все каталоги на других дисках зараженного компьютера в виде файла настройки отображения файлов и папок MS Explorer - folder.htt.

Зараженный файл folder.htt получает управление и копируется вирусом во все каталоги при их просмотре/открытии при помощи MS Explorer. Если в каком-то каталоге уже имеется файл folder.htt - заражения не происходит. Вирус дописывает себя во все HTM файлы, находящиеся в каталоге windows\web и таким образом он также получает управление при открытии данных файлов (iejit.htm, offline.htm, related.htm, tip.htm, folder.htm, wum.htm).

При наличии на компьютере большого количества файлов с web расширениями, вирус способен "съесть" до сотен мегабайт памяти.

Способы распространения:

Вирус предпринимает попытки распространяться через электронную почту, отсылаемую пользователем инфицированного компьютера. Достигается это путем инфицирования файла blank.htm, который является установленным по умолчанию stationery файлом для Microsoft Outlook или Outlook Express. Вирус копирует себя в этот файл, а если такой файл уже существует в системе, он добавляет себя в конец такого файла. Для этого в реестровую запись "C:\Program Files\Common Files\Microsoft Shared\Stationery\" вирус добавляет данные blank.htm.

Методы борьбы:

Единственным способом полного избавления от вируса VBS.Redlof является использование обычных или специализированных антивирусных средств. В настоящее время практически все антивирусные программы способны найти и обезвредить Redlof.

Так как вирус заражает достаточно большое количество файлов, его лечение вручную, т.е. путем удаления из каждого файла вредоносного скрипты, является практически невыполнимой задачей.

Компания SCO Group объявила о назначении вознаграждения в 250 000 американских долларов тому, кто поможет вычислить и осудить автора червя. Причина такой щедрости в том, что MyDoom фактически направлен против этой компании, которая недавно предприняла попытки прилечь к суду ряд крупных компаний, которые, по ее мнению, нарушили ее авторские права на часть кодов, которые включены в ОС Linux. 1 февраля серверы компании были подвергнуты массированной DoS-атаке со всех компьютеров, которые будут еще на этот момент заражены червем. Вряд ли это количество будет таким уж большим - все-таки автор червя не был столь уж безжалостен к SCO Group, которая покусилась на самое святое для всего свободного компьютерного мира - открытые коды, и не стал начинать атаку на следующий день после начала распространения червя. Вряд ли, впрочем, это обеспечит ему снисхождение властей в случае поимки.

Текст письма состоит из нескольких достаточно неброских слов, которые, тем не менее, побуждают многих пользователей открывать вложенный исполняемый файл:

Попав на локальный компьютер, червь MyDoom сканирует файлы *.TXT, *.HTM, *.HTM, *.DBX, *.WAB, *.ADB, *.TBB, *.ASP, *.PHP, *.SHT во всех каталогах на наличие адресов электронной почты и рассылает по этим адресам зараженные письма.

Текст и тема заголовка подбирается таким образом, что бы пользователь не заметил ничего необычного. Например, очень часто зараженные письма MyDoom приходят с темой:

Error (ошибка)
Status (статус)
Server Report (отчет сервера)
Mail Transaction Failed (ошибка отправки)
Mail Delivery System (сообщение почтового сервера)

Тело сообщения может выглядить следующим образом:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment (сообщение не может быть перекодировано в 7-битное ASCII и отправляется как бинарное сообщение)
The message contains Unicode characters and has been sent as a binary attachment (сообщение содержит символы Unicode и отправляется как бинарное сообщение)
Mail transaction failed. Partial message is available (сообщение не отправлено).
На самом деле если вы получили подобное сообщение от MyDoom вы не заражаетесь мгновенно. К данным зараженным сообщениям прикреплятся различные файлы, запуск которых и может спровоцировать заражение компьютера. Как правило, это вложенные файлы типа *.bat, *.exe, *.pif, *.cmd, *.scr (doc.bat, document.zip, message.zip, readme.zip, text.pif, hello.cmd, body.scr, test.htm.pif, data.txt.exe и т.п).

Рассмотрим, какие же вредные действия выполняет вирус MyDoom и его производные:

- Когда файл запускается, он копирует себя в системный каталог WINDOWS %SysDir%\taskmon.exe, где %Sysdir% системный каталог Windows, например C:\WINDOWS\SYSTEM. В реестре создается следующая запись для автоматического запуска файла в момент старта Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "TaskMon"=%SysDir%\taskmon.exe

- Вирус использует DLL, которую он создает в системном каталоге Windows: %SysDir%\shimgapi.dll

Эта DLL (длиной 4,096 байт) подключается к проводнику после перезагрузки компьютера. Для этого используется следующий ключ реестра:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)"=%SysDir%\shimgapi.dll

Для физического удаления вируса надо скорректировать системный реестр, удалив ключи автоматического запуска, перечисленные выше, и уничтожить тела вируса taskmon.exe и shimgapi.dll в системном каталоге.