Какой-то «злой гном», пытаясь испортить Рождество, изготовил похожий на Melissa вирус

Вирус W97M.Prilissa.A, как и Melissa, использует Microsoft Outlook для рассылки зараженных документов по электронной почте, а 25 декабря сотрет всю информацию с жестких дисков.

Однако большинство антивирусных программ способны обнаружить и удалить W97M.Prilissa.A.

«Это разновидность Melissa, способная на мощный удар, — говорит Сюзан Орбух, представитель Trend Micro. — Но мы к нему подготовлены».

Эвристические алгоритмы, реализованные в антивирусном программном обеспечении Trend Micro и других производителей, могут автоматически обнаруживать подобные вирусы.

Вирус рассылается с сообщением электронной почты, содержащим текст This document is very Important and you?ve GOT to read this!!! («Вы ОБЯЗАТЕЛЬНО должны прочитать этот документ — это очень важно!!!»). При открытии прикрепленного «документа» вирус отключает антивирусную защиту, подтверждение преобразований и уничтожает список недавно открывавшихся файлов.

При включении зараженной машины появляется довольно безграмотное сообщение «Vine... Vide... Vice... Moslem Power Never End... You Dare Rise Against Me... The Human Era is Over, The CyberNET Era Has Come!!!» («Вени, види, вици... Мусульманская сила неистребима... Даже не пытайтесь противостоять мне... Эра людей окончена, наступила эра CyberNET!!!»)

Затем вирус выводит на экран поверх открытого документа несколько цветных изображений, заменяет содержимое файла autoexec.bat на команду форматирования диска С: и после перезагрузки системы выводит еще одно сообщение: «Vine...Vide... Vice... Moslem Power Never End...Your Computer Have Just Been Terminated By -= CyberNET =- Virus!! («Вени, види, вици... Мусульманская сила неистребима... Ваш компьютер только что был уничтожен вирусом -= CyberNET =- !!»).

«Дата срабатывания вируса и характер выводимых им сообщений свидетельствуют о желании автора привлечь внимание, — заметил Винсет Уифер, директор антивирусного исследовательского центра Symantec. — Кто-то ищет дешевой популярности. Вирус нацелен, по-видимому, на домашних пользователей, поскольку компании в Рождество не работают. Авторы вируса наверняка знали, что большинство антивирусов способны его распознать, потому что он очень похож на Melissa. У пользователей, обновляющих антивирусные базы, все будет в порядке».

Согласно поступающим сообщениям, вирус уже был обнаружен в компаниях США, Европы и Азии. Однако представители Symantec и Trend Micro утверждают, что их клиенты еще с вирусом не сталкивались.

По словам Орбух, в период рождественских каникул производители антивирусов будут находиться в состоянии повышенной готовности. «Мы решили стоять настороже с 25 декабря по 15 января, — сказала Орбух. — Для распространения вирусов злоумышленники могут воспользоваться переполохом по поводу проблем 2000 года».

Предыдущий вирус, активизирующийся 25 декабря, был обнаружен в августе. Известный под названиями Win32.Kriz, Win32Kriz.3740 и Win32.Kriz.3862, он напоминает вирус Chernobyl, поразивший компьютеры в Европе и Азии. Южно-корейские власти, например, заявили, что Chernobyl заразил 244 тыс. ПК.

Win32.Kriz способен нанести ущерб файлам в момент их открытия, копирования или перемещения. В день католического Рождества вирус стирает содержимое Flash BIOS. По словам представителя «Лаборатории Касперского», при этом используется тот же алгоритм, что и в Chernobyl. После этого загрузка компьютера невозможна.

Вирус выводит сообщение: You call it religion... I?m sick and tired of your goddamn lies, lies in the name of God («Вы называете это религией... Я до смерти устал от вашей чертовой лжи, лжи, прикрываемой именем Бога»).

Поделитесь материалом с коллегами и друзьями