Алексей Андреев
В среду в Рунете началась эпидемия интернет-червя Aliz, который распространяется по электронной почте и активизируется без участия пользователя даже при предварительном просмотре писем.
Вирус приходит как вложение к электронному письму. Зараженные письма могут иметь различные заголовки — текст заголовка генерируется из группы примерно в 50 слов. Обычно это выглядит как предложение посмотереть какой-то сайт («Fw: funky url to see :-)» или «Fw: Re: Great shit — check it!!»)
Однако письма с вирусом отличает похожее содержание: это пустое HTML-письмо и вложенная вредоносная программа whatever.exe, которая является приложением Windows (PE EXE-файл).
Вирус написан на ассемблере и имеет размер всего около 4K. Для запуска себя из зараженных писем червь использует брешь в системе безопасности почтового клиента (IFRAME), которую использовал интернет-червь «Nimda». При этом зараженное вложение активизируется само при чтении или предварительном просмотре сообщения.
При активизации червь распаковывает свой основной код и передает на него управление. Данный код затем считывает адреса электронной почты из файла адресной книги WAB (Windows Address Book), подключается к зарегистрированному в системе SMTP-серверу, отсылает зараженные письма по найденным адресам и на этом заканчивает свою работу. Использование вирусом файла Windows Address Book указывает на то, что он особенно опасен для пользователей Outlook Express и других почтовых программ под Microsoft Windows.
Как сообщает ««, процедура отсылки зараженных писем содержит неточности, в результате чего червь «оказывается неработоспособным на большинстве конфигураций почтовых клиентов и серверов». Тем не менее, редакция «Нетоскопа» за последние два дня получила уже десятки зараженных писем от своих корреспондентов, а также через списки рассылки, зараженные вирусом. Зараженные письма приходят от таких известных деятелей Рунета, как Андрей Себрант и Ирина Иванова, а также из агентства «Интерфакс».
Вирус Aliz был обнаружен еще в мае. Тогда же он был добавлен в базы данных Антивируса Касперского.
«Удивительно, что вирус смог вызвать серьезную эпидемию спустя полгода после его обнаружения. Причина проста: пользователи по-прежнему игнорируют элементарные правила компьютерной безопасности и с завидным упорством наступают на одни и те же грабли. Видимо, многочисленные вирусные эпидемии пока так и не научили простым правилам — быть предельно осторожными с электронной корреспонденцией и вовремя устанавливать «заплатки», устраняющие бреши в защите данных используемых программ», — комментирует Евгений Касперский.
Остается только добавить, что в данном случае пользователям еще повезло: кроме рассылки самого себя по найденным на компьютере адресам, червь Aliz никак больше не проявляет своего присутствия в системе. Он не инсталлирует себя в систему и не запускается повторно (за исключением случаев, когда пользователь повторно открывает зараженное вложение). Однако легко представить себе появление новых модификаций, которые могут содержать и более вредоносные функции — как, например, у вируса SirCam, который при рассылке самого себя еще и «прихватывает» крупные файлы с зараженного компьютера.
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Первый DVD-вирус подцепили крутые девчонки — 02.11.01
Червь «бен Ладен» поразил Корею — 24.10.01
Черви Redesi сотрут жесткие диски 11 ноября — 19.10.01
«Лаборатория Касперского»: активация SirCam отменяется — 16.10.01
Новый троян прикидывается антивирусом против Nimda — 03.10.01
Червь Nimda снова атакует в пятницу — 28.09.01
Скачай утилиту против Nimda — 24.09.01
Вирус Nimda поражает и домашние компьютеры, и серверы — 19.09.01
Новая мутация CodeRed распространяет троянов — 06.08.01
SirCam добрался до ФБР и украл секретные документы — 26.07.01
Вирус-шпион SirCam — чемпион по рассылке секретных файлов — 25.07.01