25 апреля

Shoho: новый "червь" к Рождеству.

Техническая лаборатория компании Panda Software сообщила об обнаружении нового червя, зарегистрированного под кодовым названием W32/Shoho.A. Подобно большинству обнаруженных в последнее время червей, W32/Shoho.A распространяется через электронную почту. Он использует уязвимость механизма IFRAME, позволяющего автоматически запускать вложенные файлы. Как правило, вирус W32/Shoho проникает в систему через файлы-вложения в электронных сообщениях следующего характера: "Welcome to Yahoo! Mail". При этом он содержит вложенный файл под названием "Readme.txt.__________pif". Пробелы между расширениями файла предназначены для визуального обмана пользователя - так вирус легко можно принять за текстовый документ. Для рассылки сообщений W32/Shoho обращается к SMTP серверу. В качестве мишени червь ищет адреса электронной почты в системных файлах со следующими расширениями: eml, wab, dbx, mbx, xls, xlt и mdb. Все найденные электронные адреса он сохраняет в файл Emailinfo.txt. Червь копирует себя в директории Windows и WindowsSystem под именем Winl0g0n.exe. Следует отметить, что в названии этого файла букве "О" соответствует цифра 0, а не наоборот. Кроме того, червь создает еще один файл - Email.txt. Это файл формата MIME, использующий преимущества механизма IFRAME как уязвимого места системы. Как только запускается инфицированный файл-вложение, червь копирует себя в директорию Windows под именем WINL0G0N.EXE. Далее, он вносит изменения в системный реестр Windows для того, чтобы загружаться каждый раз при запуске системы: KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun WINL0G0N.EXE HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWINL0G0N.EXE До настоящего времени вирус не получил широкого распространения, однако эксперты по сетевой безопасности призывают пользователей Сети проявлять осторожность при получении почты.