"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, предупреждает пользователей об обнаружении в "диком виде" нового Интернет-червя "Badtrans", особенности распространения которого могут поставить под угрозу нормальное функционирование почтовых...
"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, предупреждает пользователей об обнаружении в "диком виде" нового Интернет-червя "Badtrans", особенности распространения которого могут поставить под угрозу нормальное функционирование почтовых серверов. Лаборатория Касперского уже получила несколько сообщений о фактах обнаружения вируса в "диком" виде.
Данный червь представляет собой исполняемый файл формата PE EXE длиной около 13 Кб (в сжатом виде). Он заражает компьютеры под управлением Windows 95/98/ME/NT/2000.
"Badtrans" имеет многокомпонентную структуру и состоит из трех взаимосвязанных частей: "дроппера", обеспечивающего внедрение в систему, червя для распространения по электронной почте, и троянской компоненты, которая позволяет удаленному пользователю похищать с зараженных компьютеров конфиденциальную информацию.
Червь доставляется на компьютер жертвы в виде сообщения электронной почты, имеющего строку "Take a look to the attachment" в теле письма и вложенный файл, имя которого случайным образом выбирается из встроенного в тело червя списка.
Помимо организации утечки конфиденциальной информации, червь, при определенных условиях, может вызвать другой побочный эффект, результатом которого является существенное увеличение почтового трафика между зараженными машинами и, в некоторых случаях, даже "падение" почтовых серверов. В принципе, червь применяет специальные действия, чтобы не отвечать на одно и то же письмo дважды и чтобы не отвечать на собственные письма. Для этого он записывает в конец поля "Тема" два пробела (маркер, по которому червь опознает свои письма).
Однако, это не всегда срабатывает. Большинство почтовых серверов удаляют пробелы в конце поля "Тема" и, таким образом, червь не в состоянии опознать собственные письма и, естественно, отвечает на них. В результате пара зараженных компьютеров начинают постоянно обмениваться зараженными письмами, что может парализовать почтовые сервера и "забить" Интернет-каналы.
Более того, в некоторых случаях, в зависимости от установленного почтового клиента, два пробела (маркер) не записывается в конец поля "Тема". В результате, червь в бесконечном цикле начинает отвечать на все письма, и число отосланных и принятых писем на одном компьютере достигает нескольких тысяч всего за одну минуту.
Процедуры обнаружения и удаления Интернет-червя "Badtrans" уже добавлены в ежедневное обновление антивирусной базы Антивируса Касперского™.
Более подробное описание данного червя доступно в Вирусной Энциклопедии Касперского.
Загрузите бесплатную ознакомительную версию Антивируса Касперского с Web-сайта Лаборатории Касперского по адресу http://www.kaspersky.ru/download.asp.
Вы можете приобрести Антивирус Касперского в центральном офисе "Лаборатории Касперского", у официальных партнеров компании или в российских Интернет-магазинах.
Подпишитесь на бесплатную рассылку последних новостей Лаборатории Касперского из мира информационной безопасности ЗДЕСЬ.
