Алексей Рерих
Как сообщила в пятницу на своем сайте “
Вирус приходит в письме некой Светы Ковалевой, с адреса “[email protected]”. При этом в поле “тема” значится: “привет”. В теле письма содержится пространное послание, рассчитанное на пользователя, не отягощенного опытом пользования Интернетом вообще и почтовыми программами в частности. Социальный инжиниринг в послании сведен к минимуму, следующим шагом в этом направлении может быть только что-нибудь типа: “Я тут шлю вам всем “трояна” – посмотрите, не пожалеете”.
Текст письма гласит:
“Привет!
Твой адрес мне дал один наш общий друг ( первый адрес, который ему пришел в
голову).
Я недавно в интернете и только что получила этот почтовый ящик!
Так что я первый раз пишу электронное письмо!!!
Он сказал что если у меня возникнут вопросы, то я могу спрашивать у тебя…
Я довольно симпатичная и общительная.
(можешь на фото посмотреть)
Жду ответа от тебя!!!
Напиши немного себе и то что ты хочешь знать обо мне.
Пока! Пока!
:)))))))))”.
К письму приложен обещанный аттачмент, который, по сведениям “Лаборатории Касперского”, действительно, помимо вируса содержит также и фотографию некой девушки. Имя вложенного файла обладает обычным для подобных “фотографий” двойным расширением: “photo1.jpg.pif”. Напомним, что .pif – расширение исполняемых файлов DOS, а присланные от неизвестного исполняемые файлы, как известно, открывать не надо.
Как
Червь рассылает себя, используя базу данных “TheBat”. При рассылке червь использует протокол SMTP (прямой доступ) и отсылает свои письма через почтовый сервер smtp.mail.ru.
Чтобы замаскировать свое присутствие после активизации, червь создает на диске jpeg-файл с фотографией девушки и открывает его. После активации червь внедряется в файлы Windows mplayer.exe, WINHLP.exe, notpad.exe, control.exe, scanregw.exe, после заражения расширение файлов заменяется на .vxd, а сами файлы заменяются на копии червя.
Червь также копирует себя в системный каталог Windows в качестве scanregw.exe и loadpe.com, а в главный каталог Windows – под именем ifnhlp.sys. Файл loadpe.com затем регистрируется в системном реестре, в секции автозапуска, в результате чего при запуске любого .exe файла происходит активизация червя, после чего и этот файл превращается в одну из копий червя с расширением .vxd.
Характерной чертой всех вредоносных файлов, создаваемых на зараженной машине, является их размер – 61 Кб.
Вирус ворует и отсылает хозяину логины и пароли подключения к локальной сети, Интернету и многое другое.
ССЫЛКИ ПО ТЕМЕ |
МАТЕРИАЛЫ ПО ТЕМЕ |
Программа поиска пары для одиноких оказалась вирусом – 19.04.01
Linux-червь Adore пролезает в четыре дыры разом – 05.04.01
На DNS-серверы нападает “Лев” – 27.03.01
Kalamar под угрозой тюрьмы убрал генератор червей со своего сайта – 21.03.01
Вирус “Голая женушка” обещает показать жену друга – 07.03.01
Почтовый червь MyBabyPic смутил “Лабораторию Касперского” – 28.02.01
По системе Gnutella расползается демонстрационный червь – 27.02.01
Крестный отец “Анны Курниковой” пользуется антивирусником от Касперского – 26.02.01
Автор “Анны Курниковой”: это был тест для юзеров, а не для компьютеров – 14.02.01
Вирус Ramen одичал и напал на лабораторию NASA – 26.01.01
Очередная Melissa просит никому себя не показывать – 19.01.01