"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, предупреждает пользователей об обнаружении нового Интернет червя Sonic. Червь был обнаружен "в диком виде" утром 30 октября во Франции и Германии. Отличительной чертой данной вредоносной программы...
"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, предупреждает пользователей об обнаружении нового Интернет червя Sonic. Червь был обнаружен "в диком виде" утром 30 октября во Франции и Германии.
Отличительной чертой данной вредоносной программы является ее способность к самообновлению (автоматической загрузке дополнительных функциональных компонент) через Интернет. Червь состоит из двух частей: загрузчика и основного модуля. Копии загрузчика распространяется по сети Интернет при помощи электронной почты. Попав на компьютер, он внедряется в операционную систему и инициирует соединение с хакерским сайтом на популярном ресурсе бесплатных домашних страниц 'Geocities'. Оттуда червь пытается нелегально загрузить основной модуль для его установки на зараженном компьютере. Процедура загрузки основного модуля построена таким образом, что сам автор червя может определять его содержимое. Это происходит следующим образом:
- червь устанавливает соединение с сайтом
- получает оттуда файл LASTVERSION.TXT, содержащий номер версии основного модуля, находящегося на сайте
- если основной модуль на зараженном компьютере отсутствует или номер его версии ниже находящейся на сайте, то червь загружает оттуда два файла: nn.ZIP (где nn - номер версии основного модуля) и GATEWAY.ZIP (последняя версия загрузчика).
Главное предназначение основного модуля - backdoor-функции, т.е. несанкционированный сбор информации о компьютере и слежка за действиями пользователя. "Лаборатория Касперского" допускает, что автор червя может изменять назначение основного модуля, в том числе, в сторону придания ему более опасных разрушительных способностей.
После установки основного модуля червь незаметно для пользователя получает доступ к адресной книге Windows (WAB), считывает из нее адреса электронной почты и рассылает по ним зараженные сообщения, содержащие копию загрузчика червя.
В известных версиях червя рассылаемые сообщения имеют тему письма 'Choose your poison' и зараженный вложенный файл с именем GIRLS.EXE.
"Это далеко не первый случай появления вредоносных программ, имеющих способность автоматически обновляться и загружать дополнительные модули из Интернет. До Sonic такую возможность имели другие черви, например, Babylonia или Resume, - комментирует Денис Зенкин, руководитель информационной службы компании, - однако, привлекает внимание другое. А именно то, что эта способность, похоже, становится неотъемлемой чертой всех современных вредоносных программ. Это обстоятельство не может внушать оптимизма, потому как оно представляет собой серьезную опасность для компьютерных пользователей".
Процедуры защиты от червя Sonic уже добавлены в антивирусные базы Антивируса Касперского (AVP).
Технические подробности о принципах и порядке функционирования червя доступны на сайте Вирусная Энциклопедия Касперского.
