Nyxem.e: 3 февраля может стать Судным днем для сотен тысяч компьютеров

**Barkoff** · 01.02.2006, 17:19

«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о серьезной опасности, которую представляет недавно обнаруженный почтовый червь Email-Worm.Win32.Nyxem.e. Вредоносная программа распространяется через интернет в виде вложений в зараженные электронные письма, а также файлов, расположенных на открытых сетевых ресурсах. По данным специалистов, на данный момент количество зараженных компьютеров равно нескольким сотням тысяч. Их число продолжает расти, что заставляет говорить о серьезности масштаба распространения данной вредоносной программы.

Это делает особенно опасной характерную особенность Nyxem.e, состоящую в частичном уничтожении хранимой на зараженном компьютере информации каждого третьего числа месяца. Таким образом, 3 февраля 2006 года может стать последним днем для сотен тысяч ПК, пораженных Nyxem.e.

Червь представляет собой исполняемый в среде Windows файл размером 95 Кб, приложенный к письму с заголовком из заранее созданного автором списка, насчитывающего около 25 позиций. При этом текст письма и наименование приложенного файла также имеют около 20 разнообразных вариантов исполнения, что затрудняет оперативное обнаружение зараженного письма пользователем.

Активизация червя производится пользователем при самостоятельном запуске зараженного файла. После запуска Nyxem.e принимает дополнительные меры для дезориентации пользователя: червь скрывает свою основную функциональность, создавая в системном каталоге Windows ZIP-архив с тем же именем, что и изначально запущенный файл, а затем открывая этот архив. При инсталляции червь копирует себя под несколькими именами в корневой и системный каталоги Windows, а также каталог автозагрузки, после чего регистрирует себя в ключе автозапуска системного реестра. Таким образом, при каждой следующей загрузке Windows автоматически запускает вредоносный процесс.

Затем Nyxem.e сканирует файловую систему пораженного компьютера и рассылает себя по всем найденным адресам электронной почты. Для отправления зараженных писем червь пытается установить прямое соединение с SMTP-сервером. Параллельно червь копирует себя в доступные с пораженного компьютера сетевые ресурсы под именем Winzip_TMP.exe, таким образом увеличивая масштаб своего распространения за счет пользователей, загрузивших данный файл.

При этом вредоносная программа прерывает процессы, осуществляющие персональную защиту компьютера, и предотвращает их повторный запуск, оставляя атакованный ПК незащищенным. Располагая полным контролем над зараженной машиной, Nyxem.e также способен самостоятельно загружать свои собственные обновления из интернета, изменяясь в зависимости от воли автора.

В дополнение к указанным выше, особую опасность представляет также содержащаяся в Nyxem.e деструктивная функция. В соответствие с ней, червь регулярно сверяется с системной датой компьютера и в случае, если она соответствует третьему числу, через 30 минут после загрузки ПК уничтожает информацию в файлах наиболее распространенных форматов, замещая ее бессмысленным набором символов.

«Судя по присутствию червя в мировом интернет-трафике и все возрастающему потоку жалоб от пользователей, заражению Nyxem.e подверглось значительное число компьютеров по всему миру, количество которых может оцениваться в сотни тысяч. Это означает только одно – 3 февраля может стать Судным днем для многих беспечных пользователей, которые могут потерять ценные данные в случае, если их компьютеры подверглись заражению Nyxem.e. Поэтому я обращаюсь ко всем пользователям компьютеров с просьбой принять простые меры для предотвращения заражения данным червем: не запускать объекты, вложенные в любые письма, получение которых не ожидалось, обновить антивирусные базы установленной на ПК антивирусной защиты и затем провести полную проверку компьютера», - сказал Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского».

30.01.2006

**Foxter** · 02.02.2006, 23:56

Цитата:

Сообщение от techlаbs.гu

Распространение вируса основано не на уязвимостях Windows, а на доверчивости пользователей, то есть на так называемом социальном инжиниринге. Для заражения компьютера необходимо запустить PIF-файл, ссылка на который в электронном письме обещает получателю бесплатное порно и тому подобные виртуальные радости. Для тех, кто польстился на обещания, 3 февраля станет днём расплаты. Вирус стирает с жёстких дисков компьютера все файлы форматов Microsoft Word, Excel и PowerPoint, а также PDF-файлы, заменяя их содержимое строкой "DATA Error [47 0F 94 93 F4 K5]". Рекомендации Microsoft обновить антивирусное ПО и никогда не открывать подозрительных вложений электронной почты.

Это что, ежли ничего не открывать с незнакомых адресов, то ничего не будет, так что ли?

**Foxter** · 03.02.2006, 19:13

ну?! чего?! сегодня третье... у кого чего накрылось, рассказывайте

s1mon · 03.02.2006, 21:10

Сегодня у отца был. Короче FineReader отказывался начисто текст в Word загонять. Ну думаю рестарт поможет. Делаю рестарт - половина ярлыков на рабочем столе загрузилась и система зависла. У меня дрожь началась, так как отдаленно где-то слышал про 3 февраля =) Короче пару рестартов и загрузок в "безопасном режиме" решила проблему. Слава богу что это был не вирь! =))

**Foxter** · 03.02.2006, 22:02

s1mon ты б на всякий систему то проверил на наличие вредоносности... (тьфу-тьфу-тьфу)

Солнышко · 03.02.2006, 22:08

У мня всё в норме. Хотя писем до фига пришло....но я их не открывала, у моих знакомых тожа всё нормально.

J.Carot · 03.02.2006, 22:14

Цитата:

Сообщение от Foxter

ну?! чего?! сегодня третье... у кого чего накрылось, рассказывайте

Пошел чисто в прикол зашел на E-mail к себе.Ничего такого не заметил, вырубил комп спать короче пошел.Встал, к нету подключился зашел на почту ниче нового=)
Полазил по порнушным сайтам, поймал там чего-то.Запустил Panda 2006 и Norton 2005 оба они нашли вирь этот...в панде он так в отчете и называется Nyxem вроде.Нортон некорректно его отобразаил, но суть не в отображении а в том, что нашел.
Сама фишка в том, что у меня каталог видео-файлов висел на жестком в Word, и еще пара листиков со ссылками, вообщем теперь там ничего не разобрать.Самое главное что он находится!
Меньше по парнухе лазить надо=)))

s1mon · 03.02.2006, 22:18

Foxter Для начала куплю новый антивирь или посвежее =))

Kostyan · 12.02.2006, 12:44

Помню, в годы студенчества, в далеком 98 (вроде) году у моего приятеля появился замечательный вирь "чернобыль"... тот, который срабатывает 26 апреля... ну и ничего страшного не произошло. У всех 26 апреля, а у кореша 30 мая

.... а вскоре и вовсе антивирь появился, и все 126 копий виря на свалку...

ЗЫ у меня третьего все было нормально, писем не получал и подозрительные сайты не посещал... а в отношении Nyxem.e хочу добавить, что он срабатывает не только 3 февраля, а 3 числа любого месяца... так что расслабляться еще пока рано...

**Vadya corp.** · 12.02.2006, 16:37

Цитата:

Сообщение от Kostyan

3 числа любого месяца... так что расслабляться еще пока рано...

Ждем 3 марта

))
Проверил свой комп сегодня (13 часов проверялся), в итоге нашел 1 вирус неработающий (удалил его) и 10 ваще мертвых вирей. Так что нифига у меня нету, тьфу-тьфу

Надежно предохраняюсь

01.02.2006, 17:19	#8871
Barkoff admin Регистрация: 25.10.2005 Сообщения: 1,053	Nyxem.e: 3 февраля может стать Судным днем для сотен тысяч компьютеров «Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о серьезной опасности, которую представляет недавно обнаруженный почтовый червь Email-Worm.Win32.Nyxem.e. Вредоносная программа распространяется через интернет в виде вложений в зараженные электронные письма, а также файлов, расположенных на открытых сетевых ресурсах. По данным специалистов, на данный момент количество зараженных компьютеров равно нескольким сотням тысяч. Их число продолжает расти, что заставляет говорить о серьезности масштаба распространения данной вредоносной программы. Это делает особенно опасной характерную особенность Nyxem.e, состоящую в частичном уничтожении хранимой на зараженном компьютере информации каждого третьего числа месяца. Таким образом, 3 февраля 2006 года может стать последним днем для сотен тысяч ПК, пораженных Nyxem.e. Червь представляет собой исполняемый в среде Windows файл размером 95 Кб, приложенный к письму с заголовком из заранее созданного автором списка, насчитывающего около 25 позиций. При этом текст письма и наименование приложенного файла также имеют около 20 разнообразных вариантов исполнения, что затрудняет оперативное обнаружение зараженного письма пользователем. Активизация червя производится пользователем при самостоятельном запуске зараженного файла. После запуска Nyxem.e принимает дополнительные меры для дезориентации пользователя: червь скрывает свою основную функциональность, создавая в системном каталоге Windows ZIP-архив с тем же именем, что и изначально запущенный файл, а затем открывая этот архив. При инсталляции червь копирует себя под несколькими именами в корневой и системный каталоги Windows, а также каталог автозагрузки, после чего регистрирует себя в ключе автозапуска системного реестра. Таким образом, при каждой следующей загрузке Windows автоматически запускает вредоносный процесс. Затем Nyxem.e сканирует файловую систему пораженного компьютера и рассылает себя по всем найденным адресам электронной почты. Для отправления зараженных писем червь пытается установить прямое соединение с SMTP-сервером. Параллельно червь копирует себя в доступные с пораженного компьютера сетевые ресурсы под именем Winzip_TMP.exe, таким образом увеличивая масштаб своего распространения за счет пользователей, загрузивших данный файл. При этом вредоносная программа прерывает процессы, осуществляющие персональную защиту компьютера, и предотвращает их повторный запуск, оставляя атакованный ПК незащищенным. Располагая полным контролем над зараженной машиной, Nyxem.e также способен самостоятельно загружать свои собственные обновления из интернета, изменяясь в зависимости от воли автора. В дополнение к указанным выше, особую опасность представляет также содержащаяся в Nyxem.e деструктивная функция. В соответствие с ней, червь регулярно сверяется с системной датой компьютера и в случае, если она соответствует третьему числу, через 30 минут после загрузки ПК уничтожает информацию в файлах наиболее распространенных форматов, замещая ее бессмысленным набором символов. «Судя по присутствию червя в мировом интернет-трафике и все возрастающему потоку жалоб от пользователей, заражению Nyxem.e подверглось значительное число компьютеров по всему миру, количество которых может оцениваться в сотни тысяч. Это означает только одно – 3 февраля может стать Судным днем для многих беспечных пользователей, которые могут потерять ценные данные в случае, если их компьютеры подверглись заражению Nyxem.e. Поэтому я обращаюсь ко всем пользователям компьютеров с просьбой принять простые меры для предотвращения заражения данным червем: не запускать объекты, вложенные в любые письма, получение которых не ожидалось, обновить антивирусные базы установленной на ПК антивирусной защиты и затем провести полную проверку компьютера», - сказал Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского». 30.01.2006 __________________

03.02.2006, 19:13	#9221
Foxter Он иногда здесь!!. Регистрация: 17.10.2005 Адрес: Moscow Сообщения: 1,518	ну?! чего?! сегодня третье... у кого чего накрылось, рассказывайте __________________ [ Правила форума \| Правила загрузки изображений \| .:vault:. ]

03.02.2006, 21:10	#9224
s1mon Гуру Регистрация: 17.01.2006 Адрес: Клуб управления гневом Сообщения: 408 Нарушения:	Сегодня у отца был. Короче FineReader отказывался начисто текст в Word загонять. Ну думаю рестарт поможет. Делаю рестарт - половина ярлыков на рабочем столе загрузилась и система зависла. У меня дрожь началась, так как отдаленно где-то слышал про 3 февраля =) Короче пару рестартов и загрузок в "безопасном режиме" решила проблему. Слава богу что это был не вирь! =)) __________________

03.02.2006, 22:02	#9227
Foxter Он иногда здесь!!. Регистрация: 17.10.2005 Адрес: Moscow Сообщения: 1,518	s1mon ты б на всякий систему то проверил на наличие вредоносности... (тьфу-тьфу-тьфу) __________________ [ Правила форума \| Правила загрузки изображений \| .:vault:. ]

03.02.2006, 22:08	#9228
Солнышко Новичок Регистрация: 04.11.2005 Адрес: Москва, СВАО Сообщения: 43	У мня всё в норме. Хотя писем до фига пришло....но я их не открывала, у моих знакомых тожа всё нормально. __________________ Живи, как будто завтра умрёшь, мечтой, что будешь жить вечно.

03.02.2006, 22:18	#9231
s1mon Гуру Регистрация: 17.01.2006 Адрес: Клуб управления гневом Сообщения: 408 Нарушения:	Foxter Для начала куплю новый антивирь или посвежее =)) __________________

12.02.2006, 12:44	#9873
Kostyan Старожила Регистрация: 17.10.2005 Адрес: где то в степях Ярославщины Сообщения: 399	Помню, в годы студенчества, в далеком 98 (вроде) году у моего приятеля появился замечательный вирь "чернобыль"... тот, который срабатывает 26 апреля... ну и ничего страшного не произошло. У всех 26 апреля, а у кореша 30 мая .... а вскоре и вовсе антивирь появился, и все 126 копий виря на свалку... ЗЫ у меня третьего все было нормально, писем не получал и подозрительные сайты не посещал... а в отношении Nyxem.e хочу добавить, что он срабатывает не только 3 февраля, а 3 числа любого месяца... так что расслабляться еще пока рано... __________________ *the signature is absent*

Здесь присутствуют: 1 (пользователей - 0 , гостей - 1)