Епідемія вірусу Badtrans2 набуває масовості
ХРОБАК
Грицько БУБЛИК
За повідомленням “Лабораторії Касперського”, протягом перших 24 годин швидкість поширення вірусу Badtrans2 мережею в десятки разів перевищила показники сумнозвісних SirCam, Melissa і I love you.* BadTrans2 є модифікацією вірусу, що з’явився в квітні цього року.
Хробак використовує ту ж дірку в захисті поштових клієнтів, що й віруси Nimda і Aliz. Уразливість MS Outlook веде до того, що файл, вкладений у лист, запускається, не питаючи про це користувача.
Хроб проникає на комп’ютери у вигляді електронного листа, тема якого може бути порожньою або Re:. Тіло листа теж порожнє. Ім’я вкладеного файла випадково вибирається з кількох варіантів: Pics або PICS, images або IMAGES, README, New_Napster_Site, news_doc або NEWS_DOC, HAMSTER, YOU_are_FAT! або YOU_ARE_FAT!, stuff, SETUP, Card або CARD, Me_nude або ME_NUDE, Sorry_about_yesterday, info, docs або DOCS, Humor або HUMOR, fun або FUN, SEARCHURL, S3MSONG.
Сам файл має два розширення: перше – DOC, ZIP або MP3, друге – SCR або PIF, наприклад info.DOC.scr.
Інфікований лист може бути відправлений як з реальної поштової адреси (у разі якщо лист розсилається з інфікованого комп’ютера), так і з фальшивої, з іменем адресата, випадково вибраним зі списку: Anna, JUDY, Rita Tulliani, Tina, Kelly Andersen, Andy, Linda, Mon S, Joanna, JESSICA BENAVIDES, Administrator, Admin, Support, Monika Prado, Mary L. Adams, Anna, JUDY, Tina.
При запуску вкладеного файла вірус намагається відповісти на всі непрочитані повідомлення в клієнті MS Outlook, а також надсилає IP-адресу інфікованого комп’ютера на адресу uckyjw@hotmail.com. Потім вірус прописує себе в реєстр системи і забезпечує неавторизоване проникнення ззовні.
*дані британської компанії MessageLabs, що спеціалізується на розробках засобів захисту електронної кореспонденції.
| 
