"Лаборатория Касперского", ведущий российский разработчик систем информационной безопасности, сообщает об обнаружении нового полиморфного Интернет-червя "Cuervo". Компания уже получила несколько сообщений о случаях заражения данной вредоносной программой. Важно отметить, что благодаря...
"Лаборатория Касперского", ведущий российский разработчик систем информационной безопасности, сообщает об обнаружении нового полиморфного Интернет-червя "Cuerpo". Компания уже получила несколько сообщений о случаях заражения данной вредоносной программой.
Важно отметить, что благодаря интегрированной технологии перехвата скрипт-вирусов "Script Checker" Антивирус Касперского™ эффективно блокирует атаки "Cuerpo" без дополнительных обновлений базы данных.
"Cuerpo" заражает только компьютеры под управлением операционной системы MS Windows 95/98/ME с установленным Internet Explorer 5.0. Червь доставляется на компьютер в сообщениях электронной почты, которые не имеют постоянных признаков (тема, имя вложенного файла, тело письма). Кроме того, программный код "Cuerpo" обладает полиморфными свойствами и также не имеет постоянного вида.
Код вредоносной программы содержится одновременно в двух частях зараженного письма: невидимой подписи (в виде HTML-скрипта) и вложенном файле. Оба варианта червя используют хорошо известную брешь в системе безопасности Internet Explorer (Scriptlet.TypeLib). В случае, если на компьютере не установлена "заплатка", устраняющая данную брешь, то первый вариант "Cuerpo" проникает в компьютер непосредственно в момент чтения письма. Такой метод ранее использовался Интернет-червями "KakWorm", "BubbleBoy" и рядом других. Второй вариант червя активизируется только если пользователь собственноручно запустит вложенный файл.
Будучи запущенным, червь инициирует процедуру внедрения в систему и распространения. Главная особенность "Cuerpo" - использование сразу двух способов массовой рассылки с зараженных компьютеров. Во-первых, подобно другим Интернет-червям, он получает доступ к почтовой программе Outlook и отсылает свои копии по электронной почте. Во-вторых, он ищет на доступных дисках почтовые базы данных, собирает найденные в них e-mail адреса и отправляет их стандартным HTTP-запросом на удаленный Web-сайт. Там пакет автоматически обрабатывается и по всем найденным адресам направляется еще одна копия "Cuerpo". На данный момент вредоносный Web-сайт еще функционировал, но "Лаборатория Касперского" принимает меры к его скорейшему закрытию.
Среди других побочных действия червя следует отметить изменение на зараженных компьютерах стартового адреса Internet Explorer на пустую страницу. Через 4 дня стартовый адрес снова меняется на "http://www.freedonation.com".
Более подробная информация о "Cuerpo" доступна в Вирусной Энциклопедии Касперского.
Вы можете загрузить "заплатку" для системы безопасности Internet Explorer с сайта Microsoft.
