Вирус парализовал почту меломанов
В интернете началась глобальная эпидемия нового опасного червя Mydoom, известного также под названием Novarg. Специалисты считают, что он был создан в России. Всего за несколько часов существования эта вредоносная программа поразила порядка 300 тысяч компьютеров по всему миру. По данным «Лаборатории Касперского», данный инцидент является крупнейшим в текущем году и имеет все шансы побить прошлогодние рекорды. Novarg распространяется по интернету двумя способами: через электронную почту и в файлообменной сети KaZaA. «Лаборатория Касперского» считает, что подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки Novarg. Такая технология уже была применена ранее в почтовом черве Sobig.F.Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки "тема", 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем. В сети KaZaA Novarg присутствует под различными именами (например, winamp5, icq2004-final) и с различными расширениями (bat, exe, scr, pif).
Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения. Сразу же после запуска Novarg открывает текстовый редактор Notepad и показывает произвольный набор символов. Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера. Затем Novarg начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.
Novarg содержит весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы. Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы. В-третьих, в Novarg заложена функция организации DoS-атаки на сайт www.sco.com. Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.
«Опасность сращивания вирусных и спам-технологий и формирования объединенной, мотивированной сети кибер-преступников становится реальностью, - считает руководитель антивирусных исследований «Лаборатории Касперского» Евгений Касперский. - За первые два дня этой недели мы обнаружили сразу две вредоносные программы, подтвердившие эту тенденцию. Уже в ближайшем будущем эта проблема может означать новый этап в компьютерной вирусологии, который ознаменуется еще более серьезными и частыми эпидемиями».
Источник: по материалам «Лаборатории Касперского».