"Лаборатория Касперского" сообщает: эпидемия Интернет-червя BadtransII приобретает массовый характер. За первые 24 часа скорость распространения BadtransII по сети в десятки раз превысила показатели печально известных SirCam, Melissa и I love you.* BadtransII является модификацией вируса,...
"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, сообщает: эпидемия Интернет-червя BadtransII приобретает массовый характер.За первые 24 часа скорость распространения BadtransII по сети в десятки раз превысила показатели печально известных SirCam, Melissa и I love you.*
BadtransII является модификацией вируса, появившегося в апреле этого года.
Червь использует ту же брешь в защите почтовых клиентов, что и вирусы Nimda и Aliz. Уязвимость в MS Outlook ведет к тому, что файл, вложенный в письмо, запускается без ведома пользователя.
Червь проникает на компьютеры в виде электронного письма, тема которого может быть пустой или "Re:". Тело письма пустое. Имя вложенного файла случайно выбирается из нескольких вариантов:
"Pics" или "PICS", "images или "IMAGES","README", "New_Napster_Site" ,"news_doc" или "NEWS_DOC", "HAMSTER", "YOU_are_FAT!" или "YOU_ARE_FAT!", "stuff", "SETUP" ,"Card" или "CARD", "Me_nude" или "ME_NUDE", "Sorry_about_yesterday", "info", "docs" или "DOCS", "Humor" или "HUMOR", "fun" или "FUN", "SEARCHURL", "S3MSONG"
Сам файл имеет два расширения: первое - DOC, ZIP или MP3, второе - SCR или PIF, например "info.DOC.scr".
Зараженное письмо может быть отправлено как с реального почтового адреса (в случае, если письмо рассылается с зараженного компьютера), так и с ложного, с именем адресата, случайно выбранным из списка:
Anna, JUDY, Rita Tulliani, Tina, Kelly Andersen, Andy, Linda, Mon S, Joanna, JESSICA BENAVIDES, Administrator, Admin, Support, Monika Prado, Mary L. Adams, Anna, JUDY, Tina.
При запуске вложенного файла, вирус пытается ответить на все непрочитанные сообщения в клиенте MS Outlook, а также отсылает IP-адрес зараженного компьютера на адрес uckyjw@hotmail.com. Затем вирус прописывает себя в реестр системы, и обеспечивает неавторизованное проникновение извне на зараженный компьютер.
"Лаборатория Касперского" рекомендует обновить антивирусную базу данных Антивируса Касперского™, в которую уже внесены соответствующие процедуры нейтрализации BadtransII.
*данные британской компании MessageLabs, специализирующейся на разработках средств защиты электронной корреспонденции
