3 марта 2004 г. в "живой природе" обнаружен новый почтовый червь Win32.Worm.Bagle.h. Для распространения используются традиционные методы: через P2P-сети и самостоятельная рассылка по e-mail. Однако, при рассылке по e-mail имеется особенность. Рассылаемые письма маскируются под сообщения от службы поддержки почтовой системы, к ним присоединен ZIP-архив, содержащий червя, причем архив защищен указанным в сообщении паролем. В письме сообщается, что, например, антивирус почтовой системы регистрирует поток вирусов с вашего адреса, в присоединенном файле находится антивирус, с помощью которого вы можете проверить свой компьютер, архив защищен паролем в целях безопасности. Так, червь достигает двух целей: использует нетипичную форму распространения, чем вводит в заблуждение пользователей, и обходит антивирусную защиту почтовых серверов, так как современные антивирусы не способны проверить файл, помещенный в архив с паролем.
После запуска на компьютере червь копирует себя в системный каталог Windows под именем irun4.exe и устанавливает значение в реестре в ключе автозапуска. В процессе работы червя каждые 100 мс просматривается список процессов и принудительно завершаются процессы распространенных брандмауэров и систем автоматического обновления популярных антивирусов. Причем, за счет того, что процессы самих антивирусов не завершаются, у пользователя создается ложная уверенность в защищенности компьютера.
Червь содержит backdoor-компоненту: открывает на компьютере порт 2745 и позволяет по командам злоумышленника скачивать из сети интернет и запускать произвольные файлы. После запуска червь пытается сообщить о своей установке автору путем обращения к трем страницам:
postertog.de/scr.php
www.gfotxt.net/scr.php
www.maiklibis.de/scr.php
Для распространения червь сканирует содержимое жестких дисков компьютера, находит в файлах e-mail-адреса и рассылает по ним свои копии. В каталогах, содержащих в имени строку "shar", помещаются копии червя с именами "Microsoft Office XP working Crack, Keygen.exe", "Windows Sourcecode update.doc.exe" и т.д. (распространение по P2P-сетям).
В заключение хотелось бы еще раз напомнить пользователям о необходимости соблюдения правил безопасной работы с электронной почтой. Ни в коем случае не открывайте присоединенные файлы, если только вы на 100% не уверены в том, что это именно тот документ, который вам должны были прислать.
Дмитрий БАРЦЕВИЧ,
ОДО "ВирусБлокАда",
db@vba.com.by
Горячие темы