Узнайте правду о нашумевшем Интернет-черве В последние дни "Лаборатория Касперского" получила большое число запросов от пользователей, встревоженных многочисленными публикациями в средствах массовой информации, основанных на предупреждении одной антивирусной компании о появлении нового...
Узнайте правду о нашумевшем Интернет-черве
В последние дни "Лаборатория Касперского" получила большое число запросов от пользователей, встревоженных многочисленными публикациями в средствах массовой информации, основанных на предупреждении одной антивирусной компании о появлении нового чрезвычайного опасного червя "Davinia".
"Davinia" распространяется по электронной почте при помощи почтовой программы MS Outlook. Червь использует весьма изощренный механизм проникновения червя на компьютеры пользователей. Он состоит из двух основных частей. Во-первых, на компьютер приходит электронное письмо, содержащее скрипт-программу, которая автоматически запускает дополнительное окно Internet Explorer и показывает хакерский Web сайт. Этот сайт содержит другую скрипт-программу, которая открывает документ Word, находящийся на том же сайте. В этом документе содержится макро-вирус, который незаметно отключает встроенную защиту от макро-вирусов в MS Word, так что пользователь не получает предупреждения о наличии в документе макросов. Для этого червь использует обнаруженную в мае 2000 г. брешь с системе безопасности под названием "Office 2000 UA Control Vulnerability".
После этого червь получает доступ к MS Outlook, считывает из адресной книги адреса электронной почты и рассылает по ним электронное письмо, описанное выше. Таким образом, вирусная компонента всегда находится на удаленном Web сайте, а от компьютера к компьютеру пересылаются лишь ссылки на него.
"Davinia" имеет весьма опасное деструктивное действие: червь уничтожает все файлы на всех обнаруженных дисках, записывая на их место файл, при запуске которого выводится следующее сообщение:
"На данный момент служба технической поддержки компании не получила ни одного сообщения об обнаружении "Davinia" в "диком" виде. Более того, мы уверены, что червь не представляет абсолютно никакой опасности, поскольку Web сайт, использовавшийся для внедрения вредоносного кода на компьютеры пользователей был закрыт практически сразу после его обнаружения", - комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского".
Несмотря на это, не исключена возможность появления новых версий червя, которые будут использовать другие сайты. В связи с этим мы рекомендуем пользователям как можно скорее установить "заплатку" для MS Office, закрывающую брешь в системе безопасности этого пакета, которая используется червем. "Заплатка" доступна для загрузки с Web сайта Microsoft здесь.
"Данный инцидент свидетельствует о том, что вирусописатели все чаще отказываются от "топорных" методов проникновения на компьютеры под видом интересной программы как это делают, например, "MTX" или "Navidad". Сейчас мы наблюдаем тенденцию к использованию обнаруженных "дыр" в защитах различных приложений, недостатка в которых, к сожалению, не наблюдается. Это обстоятельство делает своевременную установку "заплаток" первоочередной задачей как для домашних, так и для корпоративных пользователей", - добавил Денис Зенкин.
Процедуры обнаружения и удаления "Davinia" уже добавлены в базу данных Антивируса Касперского.
Более подробное техническое описание червя "Davinia" находится на сайте Вирусная Энциклопедия Касперского.
