Алексей Андреев
В среду в Рунете началась эпидемия интернет-червя Aliz, который распространяется по электронной почте и активизируется без участия пользователя даже при предварительном просмотре писем.
Вирус приходит как вложение к электронному письму. Зараженные письма могут иметь различные заголовки – текст заголовка генерируется из группы примерно в 50 слов. Обычно это выглядит как предложение посмотереть какой-то сайт (“Fw: funky url to see :-)” или “Fw: Re: Great shit – check it!!”)
Однако письма с вирусом отличает похожее содержание: это пустое HTML-письмо и вложенная вредоносная программа whatever.exe, которая является приложением Windows (PE EXE-файл).
Вирус написан на ассемблере и имеет размер всего около 4K. Для запуска себя из зараженных писем червь использует брешь в системе безопасности почтового клиента (IFRAME), которую использовал интернет-червь “Nimda”. При этом зараженное вложение активизируется само при чтении или предварительном просмотре сообщения.
При активизации червь распаковывает свой основной код и передает на него управление. Данный код затем считывает адреса электронной почты из файла адресной книги WAB (Windows Address Book), подключается к зарегистрированному в системе SMTP-серверу, отсылает зараженные письма по найденным адресам и на этом заканчивает свою работу. Использование вирусом файла Windows Address Book указывает на то, что он особенно опасен для пользователей Outlook Express и других почтовых программ под Microsoft Windows.
Как сообщает ““, процедура отсылки зараженных писем содержит неточности, в результате чего червь “оказывается неработоспособным на большинстве конфигураций почтовых клиентов и серверов”. Тем не менее, редакция “Нетоскопа” за последние два дня получила уже десятки зараженных писем от своих корреспондентов, а также через списки рассылки, зараженные вирусом. Зараженные письма приходят от таких известных деятелей Рунета, как Андрей Себрант и Ирина Иванова, а также из агентства “Интерфакс”.
Вирус Aliz был обнаружен еще в мае. Тогда же он был добавлен в базы данных Антивируса Касперского.
“Удивительно, что вирус смог вызвать серьезную эпидемию спустя полгода после его обнаружения. Причина проста: пользователи по-прежнему игнорируют элементарные правила компьютерной безопасности и с завидным упорством наступают на одни и те же грабли. Видимо, многочисленные вирусные эпидемии пока так и не научили простым правилам – быть предельно осторожными с электронной корреспонденцией и вовремя устанавливать “заплатки”, устраняющие бреши в защите данных используемых программ”, – комментирует Евгений Касперский.
Остается только добавить, что в данном случае пользователям еще повезло: кроме рассылки самого себя по найденным на компьютере адресам, червь Aliz никак больше не проявляет своего присутствия в системе. Он не инсталлирует себя в систему и не запускается повторно (за исключением случаев, когда пользователь повторно открывает зараженное вложение). Однако легко представить себе появление новых модификаций, которые могут содержать и более вредоносные функции – как, например, у вируса SirCam, который при рассылке самого себя еще и “прихватывает” крупные файлы с зараженного компьютера.
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Первый DVD-вирус подцепили крутые девчонки – 02.11.01
Червь “бен Ладен” поразил Корею – 24.10.01
Черви Redesi сотрут жесткие диски 11 ноября – 19.10.01
“Лаборатория Касперского”: активация SirCam отменяется – 16.10.01
Новый троян прикидывается антивирусом против Nimda – 03.10.01
Червь Nimda снова атакует в пятницу – 28.09.01
Скачай утилиту против Nimda – 24.09.01
Вирус Nimda поражает и домашние компьютеры, и серверы – 19.09.01
Новая мутация CodeRed распространяет троянов – 06.08.01
SirCam добрался до ФБР и украл секретные документы – 26.07.01
Вирус-шпион SirCam – чемпион по рассылке секретных файлов – 25.07.01