Компания Microsoft просит всех пользователей операционной системы Windows до 3 февраля в обязательном порядке провести проверку компьютера обновленным антивирусом, в противном случае им грозит новый и весьма деструктивный червь Nymex. Вирус может удалить все файлы Word и Excel, а также заблокировать клавиатуру и мышь. Уже известно о 300 тысячах зараженных машин.
В пятницу вирус, названный Nyxem-E, активизируется на всех зараженных компьютерах, стерев с жесткого диска все файлы Word, PowerPoint и Excel, а также сами эти программы, входящие в комплект Microsoft Office. Под угрозой оказался также программный продукт Abode – Acrobat Reader.
Предполагается, что вирус осел на многих машинах, пользователи которых открывали пришедшее им по электронной почте сообщение с предложением посетить бесплатный порно-сайт. Компании, выпускающие антивирусы, заявили, что огромное количество копий червя уже выявлено на PC по всему миру.
Первые сигналы о появлении опасности поступили 16 января, и с тех пор жертв Nyxem становится все больше. Вирус известен также под названиями Blackmal, MyWife, Kama Sutra, Grew и CME-24. Заразив PC, вирус посылает информацию на специальный веб-сайт, где установлен счетчик всех инфицированных компьютеров. Доподлинно известно, что на данный момент Nyxem-E заразил уже около 300 тысяч машин.
Как и многие вирусы подобного типа, Nyxem пользуется тем, что неопытные пользователи открывают вложенные в письма файлы, которые, в свою очередь, содержат разрушительный код, мгновенно встраиваемый в различные файлы системы.
В строке «Subject» зараженного червем e-mail могут содержаться различные надписи, однако они преимущественно предлагают получателю просмотреть бесплатную порнографию. Примеры надписей: «Fw: Funny», «*Hot Movie*», «Re: Sex Video» и другие. Как сообщает BBC, сразу же после заражения вирус сканирует адресную книгу и автоматически рассылает себя по найденным e-mail. Кроме того, он распространяется по всем компьютерам в локальной сети жертвы.
Отличие Nyxem в том, что он, помимо того, что после заражения машины не уничтожается, а продолжает свое «победное шествие» по Сети, еще и заражает 11 типов файлов, наиболее часто используемых на PC, причем делает это каждое третье число месяца. Среди файлов, которым угрожает червь, такие распространенные типы, как, к примеру, doc, pdf, ppt, rar, zip и xls.
Червь настроен таким образом, что способен самостоятельно препятствовать работе антивирусов. Он блокирует обновление программных продуктов, а также в некоторых случаях может вызывать сбои в функционировании клавиатуры и мыши.
Всем пользователям Windows рекомендовано срочно обновить антивирусы и просканировать систему на предмет заражения Nyxem. Многие компании, выпускающие антивирусы, разработали специальные приложения, которые позволят более эффективно выявить и удалить «бомбу замедленного действия».
Наибольший удар 3 февраля придется на домашних пользователей Windows. IT-отделы большинства компаний регулярно обновляют антивирусные базы данных и отсекают нежелательную почту еще до того, как она попадет на компьютеры сотрудников.
Домашние пользователи, напротив, зачастую игнорируют обновления Windows и антивирусов, а также не проводят проверку системы на наличие вирусов, а о постоянном резервном копировании файлов на сменные носители речи не идет вообще

Инкубационный период для компьютерного вируса, заразившего на прошлой неделе несколько тысяч компьютеров, должен был закончиться лишь третьего февраля. Однако, вопреки ожиданиям экспертов, эпидемия началась гораздо раньше.

По данным ZDNet UK, ссылающегося на финскую компанию F-Secure, вирус Nyxem уже приступил к удалению файлов, сохраненных в формате Word, Excel, PowerPoint и PDF.

Как утверждает в своем блоге директор антивирусного подразделения компании Микко Хиппонен (Mikko Hypponen), преждевременная активизация вируса произошла на компьютерах с неправильно выставленными системными часами. Заблудившись во времени, вирус принялся удалять файлы и рассылать свои копии по сети.

Несмотря на то, что основная часть зараженных компьютеров находится в странах третьего мира, вроде Индии, Турции и Перу, эксперты опасаются, что в случае начала в эту пятницу массовой эпидемии трудно придется всем, поскольку каналы будут буквально забиты мусорным трафиком.

В сети продолжается эпидемия вируса  Nyxem.e.

Червь проверяет системное время и 3 числа каждого месяца уничтожает содержимое файлов со следующими расширениями:

dmp doc mdb mde pdf pps ppt psd rar xls zip
Восстановить уничтоженные червем данные будет невозможно.

Червь также пытается противодействовать работе антивирусных программ.

Если ваш компьютер уже заражен и как следствие вы не можете запустить свой антивирус, то воспользуйтесь инструкциями по ручному удалению Nyxem.e.

Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).

В диспетчере задач найдите процесс с одним из следующих имен:
New WinZip File.exe
rundll16.exe
scanregw.exe
Update.exe
Winzip.exe
WINZIP_TMP.EXE
WinZip Quick Pick.exe
Если обнаружите такой процесс — завершите его.

Вручную удалите следующие файлы из корневого и системного каталогов Windows и каталога автозагрузки:
%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe

Удалите из системного реестра следующую запись:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry"="scanregw.exe /scan"

Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.

В случае если были повреждены ваши персональные программы (в большинстве случаев это антивирусные программы и межсетевые экраны), заново установите требуемое программное обеспечение.

«Лаборатория Касперского» регистрирует рост количества электронных писем, зараженных червем Net-Worm.Win32.Mytob.eg.

Этот червь был обнаружен 18 апреля, и за прошедшее с момента обнаружения время сумел получить относительно большую распространенность. Однако в данный момент червь почти отсутствует в российском почтовом трафике.

Mytob.eg распространяется по электронным адресам, которые он собирает на зараженных компьютерах. После заражения компьютера, червь подключается к определенному IRC-каналу и ожидает команд своего «хозяина». В число команд входит, например, загрузка на зараженный компьютер любых файлов.

Червь также пытается останавливать процессы, имеющие отношение к работе разнообразных антивирусных и антихакерских программ, и предотвращать доступ к сайтам, посвященным интернет-безопасности.

Virus.Win32.GpCode.ae
Статус : высокая опасность
2.06.2006 12:39 "информационный" на "высокая опасность"

«Лаборатория Касперского» предупреждает о начале распространения в Рунете новой версии «шантажной» программы Virus.Win32.GpCode — Virus.Win32.GpCode.ae.

Примерно два часа назад в антивирусную лабораторию компании начали поступать множественные запросы пользователей, документы на жестких дисках которых оказались зашифрованы.

Сама новая программа-шифровщик детектируется текущими базами Антивируса Касперского как Virus.Win32.GpCode.ad — предыдущая обнаруженная версия GpCode. Таким образом, для ее детектирования обновление антивирусных баз не требуется.

Основным изменением в новой версии вредоносной программы является применение более стойкого алгоритма шифрования — RSA 260-bit вместо применявшегося в версии .ad RSA 67-bit.

В результате работы новой версии вируса на жестком диске появляются файлы readme.txt следующего содержания:

Some files are coded by RSA method.
To buy decoder mail: k47674@mail.ru
with subject: REPLY

По причине изменения алгоритма шифрования существовавшие на момент появления новой версии вируса базы Антивируса Касперского не могли расшифровывать пораженные GpCode.ae файлы. 2 июня в 16:30 (время московское) было выпущено обновление, содержащее процедуры дешифровки пораженных файлов.

Для восстановления зашифрованной информации всем пострадавшим от новой версии GpCode необходимо обновить свои антивирусные базы и провести полное сканирование всех дисков компьютера.

«Лаборатория Касперского» призывает всех пострадавших от новой версии GpCode ни в коем случае не выполнять требования преступников и не поощрять их на создание новых версий вредоносной программы.

Статус : высокая опасность

«Лаборатория Касперского» предупреждает о появлении в интернете новой версии червя Warezov — Email-Worm.Win32.Warezov.at. Данная версия Warezov стремительно распространяется и в российской части интернета, и в других странах.

Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского».

Более подробная информация об Email-Worm.Win32.Warezov.at опубликована в «Вирусной энциклопедии» на сайте "Лаборатории Касперского".