Библиотека Интернет Индустрии I2R.ru

"Лаборатория Касперского" сообщила об обнаружении нового интернет-червя "Myparty", распространяющегося по электронной почте. На данный момент уже зарегистрировано несколько инцидентов заражения.

Червь доставляется на целевой компьютер в виде файла, вложенного в письмо электронной почты. Файл - Windows-приложение размером около 30 килобайт, написан на языке программирования Microsoft Visual C++ и упакованным утилитой сжатия UPX.

Зараженные письма выглядят следующим образом:

Заголовок: new photos from my party!

Текст:

Hello!

My party... It was absolutely amazing!

I have attached my web page with new photos!

If you can please make color prints of my photos. Thanks!

Имя вложения: www.myparty.yahoo.com

Как видно, файл-носитель искусно замаскирован под адрес Web-сайта. Расчет сделан на уверенность пользователя, что при двойном щелчке на вложении он попадет на некий URL. Однако на самом деле при его запуске на компьютере активизируется вредоносная программа.

"Это действительно новая техника манипуляции сознанием пользователя, исключительно благодаря которой "Myparty" вызвал ряд заражений. В остальном - это классический Интернет-червь, ничем не отличающийся от сотен себе подобных созданий", - говорит Денис Зенкин, руководитель информационной службы "Лаборатории Касперского". - "Этот случай еще раз подтверждает, что не все, что начинается с www и заканчивается com - Web-сайты".

Если системная дата компьютера попадает в период 25-29 января 2002 г., то "Myparty" запускает процедуры инсталляции и распространения. Кроме того, червь проверяет наличие поддержки русского языка и, если таковая обнаружена, завершает свою работу и самоустраняется из системы.

Для обеспечения своего присутствия в памяти при каждой перезагрузке зараженного компьютера червь создает свои копии в различных директориях диска и регистрирует их в разделе автозапуска программ системного реестра.

Для рассылки своих копий по электронной почте "Myparty" сканирует базы данных адресной книги Windows (WAB-файлы) и DBX-файлы (также используются в Outlook Express), и считывает из них все найденные адреса. После этого червь устанавливает прямое подключение с удаленным SMTP-сервером и незаметно, якобы от имени владельца зараженного компьютера, рассылает по этим адресам свои копии. Для подтверждения факта заражения также отсылается пустое письмо на адрес "napster@gala.net".

"Myparty" имеет опасное побочное действие. На компьютерах с Windows NT/2000/XP червь устанавливает программу-шпиона для удаленного несанкционированного управления. Таким образом, злоумышленник может получить полный контроль над компьютером жертвы.

Кроме того, в зависимости от ряда условий "Myparty", открывает Web-сайт http://www.disney.com в окне текущего Интернет-браузера.

Процедуры защиты от "Myparty" уже добавлены в базу данных Антивируса Касперского.

Более подробное описание данного Интернет-червя доступно в Вирусной Энциклопедии Касперского.