Новые проделки российских вирусописателей
Новые проделки российских вирусописателей
"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении нового интернет-червя "Mimail". Круглосуточная служба технической поддержки компании уже получила многочисленные сообщения о регистрации случаев заражения данной вредоносной программой.
"Mimail" является интернет-червем, распространяющимся во вложенных файлах электронных писем. Зараженные письма содержат фальсифицированный адрес отправителя (что затрудняет поиск источника заражения) и выглядят следующим образом:
Тема: your account [rnd]
(где [rnd] - переменная величина, принимающая любые значения)
Текст:
Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring.
Please read attachment for details.---
Best regards, Administrator
---
Вложенный файл: message.zip
Подобно нашумевшим червям "Klez" и "Lentin" ("Yaha"), "Mimail" проникает на компьютеры, используя брешь в системе безопасности браузера Internet Explorer. Во вложенном архиве MESSAGE.ZIP содержится файл MESSAGE.HTML. В случае если пользователь имел неосторожность открыть его, встроенный Java-скрипт через брешь "Exploit.SelfExecHTML" незаметно записывает на диск и запускает файл-носитель червя FOO.EXE. В свою очередь, он копирует себя в директорию Windows под именем VIDEODRV.EXE и регистрирует этот файл в секции автозапуска системного реестра Windows для обеспечения запуска червя при каждой загрузке операционной системы. "Mimail" также создает ряд дополнительных файлов в директории Windows: EXE.TMP - червь в файле формата HTML; ZIP-TMP - червь в ZIP-архиве.
Брешь " Exploit.SelfExecHTML" была обнаружена в марте 2002 г. и компания Microsoft уже выпустила специальное обновление для Internet Explorer. Во избежание возможности заражения другими вредоносными программами, использующими данную брешь, "Лаборатория Касперского" настоятельно рекомендует немедленно установить это обновление.
"Широкое распространение "Mimail" заставляет нас еще раз напомнить пользователям, что вредоносные программы могут содержаться не только в EXE-файлах. Перед запуском необходимо проверять на вирусы любые файлы, полученные из интернета", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".
Для дальнейшего распространения по почте "Mimail" сканирует отдельные директории на локальном диске и извлекает из них строки, содержащие электронные адреса. Собранные данные записываются в файл EML.TMP в директории Windows, после чего червь, используя прямое подключение к почтовому серверу, незаметно рассылает по обнаруженным адресам свои копии.
С определенной степенью уверенности можно говорить, что "Mimail" - дело рук российских вирусописателей. Червь использует технологии и реализацию, практически идентичные примененным в троянской программе "StartPage", которая однозначно имеет российское происхождение.
"На этот раз нам действительно повезло, поскольку "Mimail", по большому счету, безобидная программа с точки зрения побочных эффектов. Ее опасность заключается в популяризации описанной бреши Internet Explorer, так что примеру авторов этого червя могут последовать другие вирусописатели", - дополнил Евгений Касперский.
Процедуры защиты от "Mimail" уже добавлены в базу данных Антивируса Касперского®.
