20 апреля

Не все, что начинается с WWW и заканчивается COM - Web-сайты.

"Лаборатория Касперского", ведущий российский разработчик системинформационной безопасности, сообщает об обнаружении новогоИнтернет-червя "Myparty", распространяющегося по электронной почте. Наданный момент уже зарегистрировано несколько инцидентов заражения даннойвредоносной программой. Червь доставляется на целевой компьютер в виде файла, вложенного вписьмо электронной почты. Данный файл является Windows-приложениемразмером около 30 килобайт, написанным на языке программированияMicrosoft Visual C++ и упакованным утилитой сжатия UPX. Зараженные письма выглядят следующим образом: Заголовок: new photos from my party! Текст: Hello! My party... Itwas absolutely amazing! I have attached my web page with new photos! Ifyou can please make color prints of my photos. Thanks! Имя вложения: www.myparty.yahoo.com Как видно, файл-носитель искусно замаскирован под адрес Web-сайта.Тонкий расчет сделан на уверенность пользователя, что при двойном щелчкена вложении он попадет на некий адрес с сети Интернет. Однако на самомделе, при его запуске на компьютере активизируется вредоноснаяпрограмма. "Это действительно новая техника манипуляции сознанием пользователя,исключительно благодаря которой "Myparty" вызвал ряд заражений. Востальном - это классический Интернет-червь, ничем не отличающийся отсотен себе подобных созданий, - комментирует Денис Зенкин, руководительинформационной службы "Лаборатории Касперского", - Этот случай еще разподтверждает, что не все, что начинается с www и заканчивается com -Web-сайты". Если системная дата компьютера попадает в период 25-29 января 2002г., то "Myparty" запускает процедуры инсталляции и распространения.Кроме того, червь проверяет наличие поддержки русского языка и, еслитаковая обнаружена, завершает свою работу и самоустраняется из системы. Для обеспечения своего присутствия в памяти при каждой перезагрузкезараженного компьютера, червь создает свои копии в различных директорияхдиска и регистрирует их в разделе автозапуска программ системногореестра. Для рассылки своих копий по электронной почте "Myparty" сканируетбазы данных Адресной Книги Windows (WAB-файлы) и DBX-файлы (такжеиспользуются в Outlook Express), и считывает из них все найденныеадреса. После этого червь устанавливает прямое подключение с удаленнымSMTP-сервером и незаметно, якобы от имени владельца зараженногокомпьютера, рассылает по этим адресам свои копии. Для подтвержденияфакта заражения также отсылается пустое письмо на адрес"napster@gala.net". "Myparty" имеет опасное побочное действие. На компьютерах с WindowsNT/2000/XP червь устанавливает программу-шпиона для удаленногонесанкционированного управления. Таким образом, злоумышленник можетполучить полный контроль над компьютером жертвы. Кроме того, взависимости от ряда условий "Myparty" открывает Web-сайтhttp://www.disney.com в окне текущего Интернет-браузера. Процедуры защиты от "Myparty" уже добавлены в базу данных АнтивирусаКасперского. Более подробное описание данного Интернет-червя доступно в ВируснойЭнциклопедии Касперского.