Новая многокомпонентная вредоносная программа "набирает обороты" "Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении нового Интернет-червя "Tanatos", распространяющегося по электронной почте и похищающего с компьютеров...
Новая многокомпонентная вредоносная программа "набирает обороты"
"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении нового Интернет-червя "Tanatos", распространяющегося по электронной почте и локальным сетям, а также похищающего с компьютеров конфиденциальную информацию.
На данный момент "Лаборатория Касперского" уже получила сообщения о фактах заражения данной вредоносной программой из Англии и других стран.
"Tanatos" представляет собой приложение Windows размером около 50 килобайт (упакован утилитой сжатия UPX), написанное на языке программирования Microsoft Visual C++. Червь распространяется во вложенных файлах электронной почты, причем рассылаемые письма имеют различные заголовки, тексты, имена вложений и даже форматы. Это обстоятельство существенно затрудняет процесс идентификации зараженных писем по их внешним признакам.
С равной вероятностью зараженные сообщения имеют обычный текстовый или HTML-формат. В первом случае для активизации червя пользователю необходимо самостоятельно запустить вложенный файл. Во втором случае, после доставки в почтовый ящик потенциальной жертвы, "Tanatos", после того как письмо будет прочитано (например, в панели предварительного просмотра), незаметно заражает компьютер, используя брешь "IFRAME" в системе безопасности Internet Explorer.
Для распространения по локальной сети червь перебирает все доступные сетевые ресурсы, ищет на них каталоги автозапуска Windows и записывает туда свою копию, которая выполняется затем при следующей перезагрузке системы. Данная функция работоспособна только в случае, если на целевой машине установлены права записи в упомянутый каталог.
После активизации "Tanatos" регистрируется в ключе автозапуска системного реестра Windows, так что вредоносная программа будет активизироваться при каждой перезагрузке Windows. Интересная особенность червя заключается в попытке закрыть активные процессы большинства антивирусных программ и персональных файрволов.
"Tanatos" также содержит ряд "троянских" функций, что делает его исключительно опасной программой, допускающей утечку конфиденциальных данных. В частности, он устанавливает клавиатурный "жучок" (файл KEYLOGGER.DLL в системном каталоге Windows), благодаря которому записывает в специальный файл весь набираемый на текст (в том числе и системные пароли). В дополнение, на компьютер устанавливается утилита несанкционированного удаленного управления, позволяющая злоумышленникам полностью контролировать зараженный компьютер: принимать, передавать, копировать и удалять файлы, запускать их на выполнение, принудительно завершать процессы и др. Для осуществления этих операций червь незаметно открывает HTTP-сервер и предоставляет "хозяину" Web-интерфейс для работы с зараженной системой.
"Потенциальными жертвами "Tanatos" являются компьютеры-носители червя "Klez", поскольку для заражения оба червя используют брешь "IFRAME" в системе безопасности Internet Explorer. Учитывая тот факт, что "Klez" до сих пор удерживает первое место в списке самых распространенных вредоносных программ, можно ожидать, что с "Tanatos" пользователей, все еще не установивших патч, закрывающий эту брешь, постигнет та же участь", - комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского".
Процедуры защиты от данной вредоносной программы уже добавлены в базу данных Антивируса Касперского. Пожалуйста, обновите Вашу антивирусную программу!
Загрузить заплатку для системы безопасности Internet Explorer, устраняющую брешь "IFRAME" Вы можете по адресу: http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Более подробная информация об Интернет-черве "Tanatos" доступна в Вирусной Энциклопедии Касперского.
