Библиотека Интернет Индустрии I2R.ru

"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, сообщает: эпидемия Интернет-червя BadtransII приобретает массовый характер.

За первые 24 часа скорость распространения BadtransII по сети в десятки раз превысила показатели печально известных SirCam, Melissa и I love you.*
BadtransII является модификацией вируса, появившегося в апреле этого года.

Червь использует ту же брешь в защите почтовых клиентов, что и вирусы Nimda и Aliz. Уязвимость в MS Outlook ведет к тому, что файл, вложенный в письмо, запускается без ведома пользователя.

Червь проникает на компьютеры в виде электронного письма, тема которого может быть пустой или «Re:». Тело письма пустое. Имя вложенного файла случайно выбирается из нескольких вариантов: "Pics" или "PICS", "images" или "IMAGES","README", "New_Napster_Site" ,"news_doc" или "NEWS_DOC", "HAMSTER", "YOU_are_FAT!" или "YOU_ARE_FAT!", "stuff", "SETUP" ,"Card" или "CARD", "Me_nude" или "ME_NUDE", "Sorry_about_yesterday", "info", "docs" или "DOCS", "Humor" или "HUMOR", "fun" или "FUN", "SEARCHURL", "S3MSONG"

Сам файл имеет два расширения: первое - DOC, ZIP или MP3, второе - SCR или PIF, например "info.DOC.scr".

Зараженное письмо может быть отправлено как с реального почтового адреса (в случае, если письмо рассылается с зараженного компьютера), так и с ложного, с именем адресата, случайно выбранным из списка:

При запуске вложенного файла, вирус пытается ответить на все непрочитанные сообщения в клиенте MS Outlook, а также отсылает IP-адрес зараженного компьютера на адрес uckyjw@hotmail.com. Затем вирус прописывает себя в реестр системы, и обеспечивает неавторизованное проникновение извне на зараженный компьютер.

"Лаборатория Касперского" рекомендует обновить антивирусную базу данных Антивируса Касперского™, в которую уже внесены соответствующие процедуры нейтрализации BadtransII.

*данные британской компании MessageLabs, специализирующейся на разработках средств защиты электронной корреспонденции