3 февраля – червивый день календаря

Российские ученые, изучающие интернет-беспозвоночных, предупреждают об очередной опасности, грозящей озабоченным и просто невнимательным пользователям уже в ближайшем будущем. 3 февраля активизирует свою деятельность свеженький вирус.

Знакомьтесь – Email-Worm.Win32.Nyxem.e, он же Blackmal, он же BlackWorm, он же MyWife, он же Kama Sutra, он же Grew, он же CME-24. Происхождение неизвестно. Вес – 95 Кб. Распространяется бесплатно. Требует бережного ухода и установки: без участия пользователя самостоятельно не запускается. При запуске моментально размножается, копируя себя в корневой и системный каталоги Windows, регистрируется в ключе автозапуска системного реестра, после чего устанавливает свои порядки. Nyxem.e, как и его собратья, сканирует файловую систему и рассылает себя по всем найденным адресам электронной почты. Для отправления зараженных писем пытается установить прямое соединение с SMTP-сервером. Параллельно в поисках новой пищи подло копирует себя в доступные сетевые ресурсы под именем Winzip_TMP.exe. Наносит упреждающий удар антивирусным программам, блокируя их работу и последующую загрузку. Затем способен, как честная добрая программа, обновляться по сети. Третьего числа каждого месяца через полчаса после включения компьютера от скуки уничтожает содержимое файлов самых распространенных форматов: Word, Excel, Powerpoint, Acrobat, Access и других, а чтобы пользователь тоже не скучал, блокирует клавиатуру и мышь.

Несмотря на всю свою вредность, защититься от вируса несложно – главное, своевременно, иначе в пятницу можно распрощаться со многими интересными файлами. Даже малоопытные пользователи в курсе, что запускать все, что приходит по почте, – моветон похлеще разговоров с незнакомцами на Чистых прудах. Даже если это якобы очень пикантные картинки. Опознать данный конкретный вирус можно хотя бы по этому показателю: он предлагает посмотреть то на фантазирующих школьниц, то на картинки из Камасутры. Самым умным, правда, он может представиться электронной книгой в формате pdf, что в конечном счете дела на изменит. Не стоит также откликаться на просьбу поцеловать его: он заразный! Вот полный список возможных тем писем: *Hot Movie*, A Great Video, Arab sex DSC-00465.jpg, eBook.pdf, Fuckin Kama Sutra pics, Fw:, Fw: DSC-00465.jpg, Fw: Funny :), Fw: Picturs, Fw: Real show, Fw: SeX.mpg, Fw: Sexy, Fwd: Crazy illegal Sex!, Fwd: image.jpg, Fwd: Photo, give me a kiss, Miss Lebanon 2006, My photos, Part 1 of 6 Video clipe, Photos, Re:, Re: Sex Video, School girl fantasies gone bad, The Best Videoclip Ever, You Must View This Videoclipe!

Конечно, это не означает, что нужно поголовно удалять все письма с вложениями и темой «Re:». Опознание можно продолжить по имени файла-вложения: 007.pif, 04.pif, 3.92315089702606E02.UUE, 677.pif, Attachments[001].B64, document.pif, DSC-00465.Pif, DSC-00465.pIf, eBook.PIF, eBook.Uu, image04.pif, New_Document_file.pif, Original Message.B64, photo.pif, School.pif, SeX.mim, WinZip.BHX, Word_Document.hqx, Word_Document.uu.

Если вам все-таки удалось обойти все предупреждения и запустить червя, остается два выхода. Во-первых, дождаться ближайшей пятницы и с интересом понаблюдать за увлекательным представлением. Во-вторых (что исключает первый вариант), успеть опередить вредную программу и перерубить червя лопатой. Для этого нужно первоначально диагностировать заражение: в безопасном режиме найти в диспетчере задач один из следующих процессов: New WinZip File.exe, rundll16.exe, scanregw.exe, Update.exe, Winzip.exe, WINZIP_TMP.EXE, WinZip Quick Pick.exe. Если таковой обнаружился – поздравляем, вы стали обладателем ценного приза, который принесет вам как минимум новый жесткий диск (правда, за ваш счет). Пусть спасения один: удалить из корневого и системного каталогов, а также каталога автозагрузки файлы:

SystemNew WinZip File.exe Systemscanregw.exe SystemUpdate.exe SystemWinzip.exe SystemWINZIP_TMP.EXE User ProfileStart MenuProgramsStartupWinZip Quick Pick.exe Windir undll16.exe

И удалить из системного реестра запись [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "ScanRegistry"="scanregw.exe /scan"

После чего останется сущий пустяк: переустановить имевшиеся на компьютере антивирусные программы, пострадавшие в неравном бою.

А ведь на самом деле все очень просто – достаточно не открывать явно «левые» файлы. Даже непонятно, почему сейчас масштабы эпидемии предварительно оцениваются в 300 тысяч компьютеров (правда, по всему миру).

В общем, если при работе в Интернете предохраняться (в компьютерном смысле этого слова), то панические крики о глобальном вирусном апокалипсисе можно просто пропускать мимо ушей.