Новый вариант почтового червя Beagle распространяется по сети интернет
Аналитиками Службы вирусного мониторинга компании «Доктор Веб» зафиксировано появление в сети Интернет нового клона червя массовой рассылки из семейства Beagle, активно распространяющегося по электронной почте и файлообемнным сетям - двум наиболее эффективным и быстрым источникам массового инфицирования компьютеров по всему миру. Антивирусом Dr.Web червь детектируется как Win32.HLLM.Beagle.18336, в классификации других антивирусных производителей он назван W32/Bagle.bj@MM, WORM_BAGLE.AY.
Исполняемый код червя приходит по электронной почте в виде файлов-вложений с расширениями .com, .exe, .src или .cpl, названия которых состоят из набора букв и цифр, например guupd02. После активации червь помещает свои копии sysformat.exe, sysformat.exeopen, sysformat.exeopenopen в системную директорию Windows и прописывает ссылку к ним в ветке системного реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Распространение по e-mail
С помощью встроенного в код собственного механизма SMTP, червь самостоятельно рассылает себя с уже инфицированных компьютеров. Для этого червь собирает в пораженной системе имеющиеся почтовые адреса в файлах с определенными расширениями и формирует собственные почтовые сообщения, состоящие из ложного адреса отправителя, темы и сопроводительного текста, который может состоять всего из одной фразы
Thanks for use of our software или Before use read the help.
Распространение по файлообменным сетям
По файлообменным сетям червь распространяется, прописывая себя в директории, в названиях которых присутствует последовательность символов «shar», выдавая себя за файлы, относящиеся к популярным программам, в том числе и бета версии Windows Longhorn.
Загрузка троянской программы
В теле червя содержится немалый список веб-сайтов, с которых червь предпринимает попытки загрузить файл, который представляет собой утилиту удаленного администрирования.
Деструктивное воздействие на систему
Червь удаляет из пораженной системы файлы, относящиеся к установленным антивирусным программам, в том числе и DRWEBUPW.EXE - утилиту автоматической загрузки обновлений антивируса Dr.Web. В случае, если пользователям Dr.Web не удается загрузить последние обновления вирусных баз, они могут скачать их вручную с нашего сайта.
Червь также удаляет из ветвей системного реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run значения, принадлежащие его «сопернику» - червю Netsky My AV ICQ Net
Защита от нового почтового червя уже добавлена в вирусные базы Dr.Web® ("горячее" дополнение выпущено в 09:42 по московскому времени 27 января). Компания «Доктор Веб» настоятельно рекомендует не открывать подозрительные сообщения, письма от незнакомых или едва знакомых адресатов, если они приходят с вложениями, вызывающими у Вас подозрения. В случае, если на Вашем компьютере не установлена антивирусная программа, Вы всегда можете проверить подозрительный файл-вложение с помощью сервиса вирусной онлайн-проверки.
Страница сайта http://silicontaiga.ru
Оригинал находится по адресу http://silicontaiga.ru/home.asp?artId=3086
|