Интернет-червь Leave рассылает себя по сети под видом дополнения для популярной операционной системы. "Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, предупреждает пользователей о появлении новой версии интернет-червя I-Worm.Leave, которая...
Интернет-червь Leave рассылает себя по сети под видом дополнения для популярной операционной системы.
"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, предупреждает пользователей о появлении новой версии интернет-червя I-Worm.Leave, которая распространяется по сети под видом сообщения от Microsoft. Сообщение содержит информацию о дополнении, устраняющем брешь в системе безопасности Windows, однако указанный URL "заплатки" изменен на фиктивный, внешне похожий на сайт компании Microsoft. При его активизации происходит попытка загрузить файл cvr58-ms.exe, являющийся троянской программой. Лаборатория Касперского уже получила несколько сообщений о случаях заражения данной вредоносной программой.
Интернет-червь Leave способен работать только на компьютерах под управлением операционных систем Windows 95/98/ME, а также Windows NT/2000 . При запуске основной компоненты Интернет-червь копирует себя в директорию Windows под именем REGSU.EXE и регистрирует этот файл в секции автоматического запуска программ системного реестра Windows. Скрипт, которым написан код вируса, а также его дополнительные модули зашифрованы 64-битным алгоритмом.
Функциональные особенности вредоносной программы позволяют ей автоматически обновляться через Интернет, то есть незаметно для пользователя загружать и активировать дополнительные компоненты (EXE-файлы). Это делает возможным удаленное управление зараженными компьютерами. Среди других возможностей этого вируса, в частности, подключение и распространение по каналам IRC (Internet Relay Chat), а также создание, удаление и выполнение файлов на зараженной машине.
Так как средства массовой информации уже проявили определенный интерес к новому вредоносному коду, Лаборатория Касперского обращает внимание на следующее. Основные компоненты программы содержат мастер-пароль троянской программы SubSeven, поэтому данный вирус проникает только на уже зараженные этим троянцем машины.
Процедуры защиты от Интернет-червя "Leave" уже добавлены в антивирусную базу данных Антивируса Касперского™.
Более подробное описание "Leave" содержится в Вирусной Энциклопедии Касперского.