Тревога: I-Worm.Updater

"Лаборатория Касперского" сообщает об обнаружении нового Интернет-червя I-Worm.Updater. На данный момент уже получено несколько сообщений о случаях заражения данной вредоносной программой.

"Updater" написан на языке программирования Visual Basic и представляет собой EXE-файл размером около 12 килобайт, упакованный утилитой сжатия UPX.

Червь распространяется по электронной почте. Для этого червь получает доступ к адресной книге почтовой программы Outlook и, незаметно для владельца компьютера, рассылает по всем найденным адресам зараженные письма.

Некоторые части письма не имеют постоянных внешних признаков.

Часть 1:"Have you ", "You Should ", "Just ", "Why Not you ", "How to ", "Re: ", "Fwd : ", " "
Часть 2: "Check ", "Check out ", "Watch out ", "Open ", "Look at "
Часть 3: "this ", "my ", "For this ", "The "
Часть 4: "Picture", "Program", "Patch", "Nude pic", "Report", "Documment", "Quotation", "Transaction", "Bank Account", "WTC Tragedy", "Osama Vs Bush", "Account", "Private Pic"
Например: You Should Look at this Osama Vs Bush

Тело письма:

Hi:
This is the file you ask for, Please save it to disk and open this file, it's very important.

Вложенный файл-носитель червя может иметь имена:"Setup.EXE", "install.exe", "Readme.exe", "Files.exe", "Picture.exe", "Quotation.Doc.exe", "Letter.Doc.exe", "Picture.jpg.exe"

"Updater" имеет неприятное побочное действие. Он создает вредоносную скрипт-программу UPDATE.VBS, записывает ее в каталог автозагрузки Windows и запускает на выполнение. Эта программа ищет на диске файлы с расширением .EXE, .DOC и .VBS и создает для них файлы-компаньоны, содержащие копию червя. Эти файлы-компаньоны имеют те же имена, что и оригинальные файлы плюс "второе" расширение .VBS.
Например:

MPLAYER.EXE.vbs
REPORT.DOC.vbs