"Лаборатория
Касперского", российский разработчик
систем защиты от вирусов, хакерских атак и
спама, сообщает об обнаружении нового
интернет-червя Mimail. Mimail является интернет-червем,
распространяющимся во вложенных файлах
электронных писем. Зараженные письма
содержат фальсифицированный адрес
отправителя (что затрудняет поиск
источника заражения) и выглядят следующим
образом:
Тема: your account [rnd] (где [rnd] - переменная
величина, принимающая любые значения)
Текст: Hello there, I would like to inform you about important information
regarding your email address. This email address will be expiring. Please read
attachment for details.
---
Best regards, Administrator
Вложенный файл: message.zip
Червь использует брешь в системе
безопасности браузера Internet Explorer. Во
вложенном архиве MESSAGE.ZIP содержится файл
MESSAGE.HTML. В случае если пользователь имел
неосторожность открыть его, встроенный Java-скрипт
через брешь "Exploit.SelfExecHTML" незаметно
записывает на диск и запускает файл-носитель
червя FOO.EXE. В свою очередь, он копирует себя
в директорию Windows под именем VIDEODRV.EXE и
регистрирует этот файл в секции
автозапуска системного реестра Windows для
обеспечения запуска червя при каждой
загрузке операционной системы. Mimail также
создает ряд дополнительных файлов в
директории Windows: EXE.TMP - червь в файле формата
HTML; ZIP-TMP - червь в ZIP-архиве.
Специалисты "Лаборатории Касперского"
считают, что Mimail - дело рук российских
вирусописателей, поскольку червь
использует технологии и реализацию,
практически идентичные примененным в
троянской программе StartPage, которая
однозначно имеет российское происхождение.
