Можно с уверенностью сказать, что прошедшая неделя в среде вирусных технологий характеризовалась всплеском активности сетевых червей. Появление таких более-менее опасных вирусов, речь о которых пойдет ниже, хоть и не вызовет какой-либо интернет-паники, однако хлопот пользователям персональных компьютеров прибавит.

Все началось со всплеска активности сетевого червя I-Worm.Sober, который, правда, был найден еще в позапрошлую субботу. Собственно говоря, новый вирус, ничем не отличаясь от своих предшественников, полагается, главным образом, на неграмотность своих жертв.

Червь распространяется по электронной почте. Для заражения компьютера пользователю требуется запустить приложенный к письму файл с вирусом. Вредоносные посылки могут содержать самые разнообразные заголовки, тексты на английском и немецком языках, а также имена и расширения вложенных файлов. Если пользователь вдруг запустил прикрепленный к зараженному письму файл, то I-Worm.Sober показывает на экране фальсифицированное сообщение об ошибке: "File not complete!". После этого вредоносная программа создает в системном каталоге Windows три свои копии с различными именами и регистрирует их в ключе автозапуска системного реестра операционной системы. На последнем этапе I-Worm.Sober, как и все аналогичные вирусы, запускает процедуру своего распространения. Для этого он сначала находит на зараженном компьютере файлы, которые могут содержать электронные адреса, считывает оттуда данные и незаметно для владельца компьютера от его имени рассылает найденным адресатам свои копии.

Что интересно, в теле этого интернет-червя имеется текст, в котором создатель червя Sober выражает свое восхищение автором другого сетевого вируса, Sobig, эпидемия которого наделала много шума пару месяцев назад.

*

Следующая вредоносная массовая рассылка носит название I-Worm.Mimail.C. Червь распространяется по электронной почте в виде ZIP-архива под именем PHOTOS.ZIP, размер которого в архивированном виде составляет 12832 байта. Одной из особенностей этого почтового червя является то, что он, в отличие от многих современных вредоносных программ, не использует уязвимости в программном обеспечении, которые дают возможность вирусу активироваться без участия пользователя.

Для пущей достоверности авторы I-Worm.Mimail.C пошли на ухищрения. Червь подставляет в поле адресата почтового сообщения реальный доменный адрес самого получателя, что придает письму еще большую убедительность, а в самом тексте письма предлагается посмотреть пикантные фотографии. Если пользователь имел неосторожность открыть вложенный файл, то I-Worm.Mimail.С запускал процедуры внедрения на компьютер и дальнейшего распространения по Сети. Прежде всего червь копирует себя в каталог Windows с именем netwatch.exe, регистрирует этот файл в ключе автозапуска системного реестра операционной системы и создает ряд дополнительных служебных файлов. Для рассылки зараженных писем почтовый вирус использует встроенные функции - специальную процедуру для распространения по протоколу SMTP. Червь сканирует файлы в каталогах Shell Folders и Program Files и считывает из них строки, похожие на адреса электронной почты. По найденным адресам Mimail.C незаметно для пользователя рассылает свои копии. Кроме того, червь осуществляет DOS-атаку на сайты www.darkprofits.com и www.darkprofits.net, а также собирает конфиденциальную информацию в зараженной системе, которую затем отправляет по нескольким адресам, предположительно своему создателю.

*

Наконец, в Сети появились две новые версии вируса I-Worm.Sexer, которые, в принципе, за столь короткое время не претерпели каких-либо значительных изменений. I-Worm.Sexer.D, в частности, маскируясь в качестве отправителя под службу технической поддержки компании Microsoft, в роли жертв, видимо, решил выбрать англоязычную публику: тема письма "The latest update for your Windows Media Player", как и сам текст, на английском языке. Само письмо содержит прикрепленный файл WMPUpdate.exe, который и содержит червя.

При запуске вложенного файла сетевой червь запускает процедуру заражения компьютера. Для этого он копирует себя в директорию Program Files\Common Files\System под именем WMPUpdate.exe и регистрирует этот файл в ключе автозапуска системного реестра Windows. Подобно более ранним версиям вирус также создает на диске файл WMPUpdate.bmp и устанавливает его как фон рабочего стола Windows, который содержит не претерпевший за последние две недели изменений текст, рекламирующий кандидата в московские градоначальники, Германа Стерлигова.

Что касается I-Worm.Sexer.E, то он рассылается по электронной почте под видом утилиты для защиты от спама, а в качестве отправителя содержит адрес support@antispam.org. В качестве названия вложенного файла авторами было выбрано имя killspam.exe. При запуске червь выводит на экраны монитора вышеупомянутый текст о кандидате в градоначальники.

Андрей АСФУРА