Не все, що починається з WWW і закінчується COM, - Web-сайти
ШКІДНИКИ
“Лабораторія Касперського” повідомляє про виявлення нового Інтернет-хробака Myparty, що поширюється електронною поштою. На даний момент вже зареєстровано декілька прецедентів інфікування цією шкідливою програмою.
Хробак приходить на цільовий комп’ютер у вигляді файла, вкладеного в лист електронної пошти. Цей файл є Windows-програмою завбільшки близько 30 кілобайт, написаною мовою програмування Microsoft Visual С++, упакованою утилітою стиснення UPX.
Інфіковані листи виглядають так:
Заголовок: new photos from my party!
Текст: Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!
Ім’я атачменту: www.myparty.yahoo.com
Як видно, файл-носій майстерно замаскований під адресу web-сайту.
Тонкий розрахунок зроблений на упевненість користувача в тому, що при активації атачменту він потрапить на певну адресу з мережі Інтернет. Однак насправді при його запуску на комп’ютері активізується програма-шкідник.
“Це дійсно нова техніка маніпулювання свідомістю користувача, завдяки якій Myparty викликав низку інфікувань. У всьому іншому це класичний інтернет-хробак, який нічим не відрізняється від сотень йому подібних створінь, – коментує Денис Зенкін, керівник інформаційної служби “Лабораторії Касперського”. – Цей випадок ще раз підтверджує, що не все, що починається з www і закінчується на com – web-сайти”.
Якщо системна дата комп’ютера потрапляє на період 25-29 січня 2002 р., то Myparty запускає процедури інсталяції і поширення. Крім того, хробак перевіряє наявність підтримки російської мови і, якщо така виявлена, завершує свою роботу і самоліквідовується зі системи.
Для забезпечення своєї присутності в пам’яті при кожному перезавантаженні зараженого комп’ютера хробак створює свої копії в різних директоріях диска і реєструє їх у розділі автозапуску програм системного реєстру.
Для розсилки своїх копій електронною поштою Myparty сканує бази даних адресної книги Windows (WAB-файли) і DBX-файли (також використовуються в Outlook Express) і читає з них всі знайдені адреси. Після цього хробак встановлює пряме підключення з віддаленим SMTP-сервером і непомітно, ніби від імені власника зараженого комп’ютера, розсилає за цими адресами свої копії. Для підтвердження факту інфікування також відсилається порожній лист на адресу napster@gala.net.
Myparty має небезпечну побічну дію. На комп’ютерах з Windows NT/2000/XP хробак встановлює програму-шпигуна для видаленого несанкціонованого управління. Таким чином зловмисник може отримати повний контроль над комп’ютером жертви. Крім того, залежно від низки умов, Myparty відкриває web-сайт http://www.disney.com у вікні поточного Інтернет-бровзера.
P. S. Цей шкідник таки став популярним на теренах Галичини. Про це свідчить той факт, що на адресу редакції прийшло 8 листів з цим хробаком.
|
|
