Разделы

Безопасность Интернет Веб-сервисы Цифровизация Бизнес-приложения

В Сети началась эпидемия вируса BadtransII

"Лаборатория Касперского" сообщила о том, что эпидемия обнаруженного на этой неделе интернет-червя BadtransII приобретает массовый характер. По данным британской компании MessageLabs, на которые ссылается «Лаборатория», за первые 24 часа скорость распространения BadtransII по Сети в десятки раз превысила показатели печально известных вирусов SirCam, Melissa и I love you.
BadtransII является модификацией вируса, появившегося в апреле этого года. Червь использует ту же брешь в защите почтовых клиентов, что и вирусы Nimda и Aliz. Уязвимость в MS Outlook ведет к тому, что файл, вложенный в письмо, запускается без ведома пользователя.

Червь проникает на компьютеры в виде электронного письма, тема которого может быть пустой или «Re:». Тело письма пустое. Имя вложенного файла случайно выбирается из нескольких вариантов:

"Pics" или "PICS", "images или "IMAGES","README", "New_Napster_Site" ,"news_doc" или "NEWS_DOC", "HAMSTER", "YOU_are_FAT!" или "YOU_ARE_FAT!", "stuff", "SETUP" ,"Card" или "CARD", "Me_nude" или "ME_NUDE", "Sorry_about_yesterday", "info", "docs" или "DOCS", "Humor" или "HUMOR", "fun" или "FUN", "SEARCHURL", "S3MSONG"

Сам файл имеет два расширения: первое - DOC, ZIP или MP3, второе - SCR или PIF, например "info.DOC.scr".

Зараженное письмо может быть отправлено как с реального почтового адреса (в случае, если письмо рассылается с зараженного компьютера), так и с ложного, с именем адресата, случайно выбранным из списка:

Олег Пашинин, «Философия.ИТ» — Как в «Росатоме» импортозаместили западную СЭД
Импортонезависимость

Anna, JUDY, Rita Tulliani, Tina, Kelly Andersen, Andy, Linda, Mon S, Joanna, JESSICA BENAVIDES, Administrator, Admin, Support, Monika Prado.

При запуске вложенного файла вирус пытается ответить на все непрочитанные сообщения в клиенте MS Outlook, а также отсылает IP-адрес зараженного компьютера на адрес uckyjw@hotmail.com. Затем вирус прописывает себя в реестр системы и обеспечивает неавторизованное проникновение извне на зараженный компьютер.

Источник: “Лаборатория Касперского