Вести с фронта безопасности О безопасности и вирусах

Ремонт HDD, восстановление информации данных с неисправных жестких дисков Ремонт HDD, восстановление информации данных с неисправных жестких дисков
Восстановление жестких дисков по интернет Восстановление информации данных на жестких дисках, hdd, fat и ntfs

Восстановление файлов doc, xls, mdb и ppt Восстановление поврежденных файлов excel, word, access и powerpoint
Начальная страница - ремонт hdd, восстановление raid, удаленных файлов, данных, информации

Вирус WineVar (Seoul) уничтожает данные.

Если на Вашем экране появилось сообщение:

Сообщение вируса WineVar

немедленно ВЫКЛЮЧИТЕ ПИТАНИЕ КОМПЬЮТЕРА! посредством кнопки на системном блоке. Любые другие Ваши действия, включая привычное для Вас выключение компьютера через "Пуск - Завершение работы - выключить компьютер", приведут к потере всей информации на диске C:.
Данное сообщение выдается вирусом Win32HLLM.Seoul, по классификации DrWeb. Другие антивирусы его называют его по другому - W32.HLLW.Winevar, I-Worm.Winevar, W32/Korvar, W32/Gibe@mm, WORM_GIBE.A, W32/Gibe-A, Win32/Winevar.A, W32/Winevar@mm.
Этот вирус смертельно опасен для данных пользователей, так как выдает команду "удалить все файлы" на диске С:. В результате на диске C: остается только файлы, имеющие статус "только для чтения", и пустое дерево каталогов.
Восстановить утраченную информация в полном объеме невозможно, так в результате вирусной атаки обнуляются информация о всех цепочках в таблице FAT. Используя специальные программы восстановления можно восстановить только нефрагментированные файлы, располагающиеся на диске одним куском. Причем, в этом случае восстановление возможно только в лабораторных условиях, так как требуется слишком большой объем корректировки, а наша интернет технология восстановления, на такой объем не рассчитана.
Для своего внедрения вирус использует обычную электронную почту. Полученное вирусное сообщение:

Внешний вид сообщения вируса WineVar

внешне не выглядит потенциально опасным, так как прикрепленные файлы "не могут содержать вирус". Однако это не так, на самом деле имена прикрепленных файлов выбраны очень изобретательно:

  • WIN[случайные буквы или цифры].TXT (12.6 KB) MUSIC_1.HTM
  • WIN[случайные буквы или цифры].GIF (120 bytes) MUSIC_2.CEO
Обращает на себя внимание еще и тот факт, что фактически эти два вложения представляются неискушенному пользователю, как четыре, при этом два из них как бы являются текстовыми файлами. В результате у пользователя может возникнуть желание посмотреть хотя бы "текстовый" файл. При этом он запустит HTML-файл со встроенной программой на JavaScript, которая фактически произведет одно действие - зарегистрирует в системном реестре класс файлов с расширением CEO, причем зарегистрирует его в качестве исполняемого exe-файла.
В данном случае червем используется уязвимость Виртуальной машины Microsoft, которая позволяет запуститься "ненадежному" компоненту ActiveX, которая добавляет запись в системный реестр. Если пользователь захочет посмотреть GIF-файл, который на самом деле является файлом с кодом вируса с расширением CEO, то система запустит его именно, как исполняемый файл - в результате система будет заражена.
Кроме того, червь использует в почтовом вложении известную уязвимость Internet Explorer, связанную с некорректной обработкой MIME-заголовков (см. информацию по данной уязвимости). Это позволяет вирусу запускаться без ведома пользователя при использовании некоторых версии почтовых клиентов компании Microsoft.

Дата изменений - 29.ХI.2002