Алексей Рерих
Как сообщила в пятницу на своем сайте ««, в Рунете в диком виде появился новый почтовый червь и троянский конь в одном лице. Монстра зовут ««. Поскольку сотрудникам «Нетоскопа» довелось лично убедиться в реальности письма, содержащего вирус, мы посчитали своим долгом сообщить о его существовании.
Вирус приходит в письме некой Светы Ковалевой, с адреса «[email protected]». При этом в поле «тема» значится: «привет». В теле письма содержится пространное послание, рассчитанное на пользователя, не отягощенного опытом пользования Интернетом вообще и почтовыми программами в частности. Социальный инжиниринг в послании сведен к минимуму, следующим шагом в этом направлении может быть только что-нибудь типа: «Я тут шлю вам всем «трояна» — посмотрите, не пожалеете».
Текст письма гласит:
«Привет!
Твой адрес мне дал один наш общий друг ( первый адрес, который ему пришел в
голову).
Я недавно в интернете и только что получила этот почтовый ящик!
Так что я первый раз пишу электронное письмо!!!
Он сказал что если у меня возникнут вопросы, то я могу спрашивать у тебя…
Я довольно симпатичная и общительная.
(можешь на фото посмотреть)
Жду ответа от тебя!!!
Напиши немного себе и то что ты хочешь знать обо мне.
Пока! Пока!
:)))))))))».
К письму приложен обещанный аттачмент, который, по сведениям «Лаборатории Касперского», действительно, помимо вируса содержит также и фотографию некой девушки. Имя вложенного файла обладает обычным для подобных «фотографий» двойным расширением: «photo1.jpg.pif». Напомним, что .pif — расширение исполняемых файлов DOS, а присланные от неизвестного исполняемые файлы, как известно, открывать не надо.
Как «Лаборатория Касперского», вирус рассчитан на владельцев , которая приобрела в последнее время большую популярность среди опытных пользователей Интернета, прежде всего, в Центральной и Восточной Европе. По сведениям «Лаборатории» — это первая вредоносная программа, использующая возможности «The Bat» во вредительских целях.
Червь рассылает себя, используя базу данных «TheBat». При рассылке червь использует протокол SMTP (прямой доступ) и отсылает свои письма через почтовый сервер smtp.mail.ru.
Чтобы замаскировать свое присутствие после активизации, червь создает на диске jpeg-файл с фотографией девушки и открывает его. После активации червь внедряется в файлы Windows mplayer.exe, WINHLP.exe, notpad.exe, control.exe, scanregw.exe, после заражения расширение файлов заменяется на .vxd, а сами файлы заменяются на копии червя.
Червь также копирует себя в системный каталог Windows в качестве scanregw.exe и loadpe.com, а в главный каталог Windows — под именем ifnhlp.sys. Файл loadpe.com затем регистрируется в системном реестре, в секции автозапуска, в результате чего при запуске любого .exe файла происходит активизация червя, после чего и этот файл превращается в одну из копий червя с расширением .vxd.
Характерной чертой всех вредоносных файлов, создаваемых на зараженной машине, является их размер — 61 Кб.
Вирус ворует и отсылает хозяину логины и пароли подключения к локальной сети, Интернету и многое другое.
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Программа поиска пары для одиноких оказалась вирусом — 19.04.01
Linux-червь Adore пролезает в четыре дыры разом — 05.04.01
На DNS-серверы нападает «Лев» — 27.03.01
Kalamar под угрозой тюрьмы убрал генератор червей со своего сайта — 21.03.01
Вирус «Голая женушка» обещает показать жену друга — 07.03.01
Почтовый червь MyBabyPic смутил «Лабораторию Касперского» — 28.02.01
По системе Gnutella расползается демонстрационный червь — 27.02.01
Крестный отец «Анны Курниковой» пользуется антивирусником от Касперского — 26.02.01
Автор «Анны Курниковой»: это был тест для юзеров, а не для компьютеров — 14.02.01
Вирус Ramen одичал и напал на лабораторию NASA — 26.01.01
Очередная Melissa просит никому себя не показывать — 19.01.01