12 Мая 2003 13:05 12 Мая 2003 13:05 |

Новый вирус распространяется через e-mail и KaZaA

В Рунете появился новый вирус, жертвами которого могут стать компьютеры пользователей электронной почты и любителей скачивать музыку из Сети. Червь распространяется через почту и популярную систему обмена файлами KaZaA. Он рассчитан на неопытных пользователей – заражение компьютера происходит только если получатель опасного письма сам запускает вложенный файл.

По данным "Лаборатории Касперского", Fizzer является классическим сетевым червем. Эта вредоносная программа приходит по электронной почте в виде приложенного исполняемого файла и активизируется при его запуске. После этого на диске создаются 5 дополнительных файлов и модифицируется секция автозапуска программ системного реестра Windows для загрузки "Fizzer" при старте операционной системы.

Червь одинаково эффективно распространяется по электронной почте и через файлообменную сеть KaZaA. Для рассылки по e-mail Fizzer сканирует адресные книги Outlook и Windows (Windows Address Book) или использует в качестве объекта атаки случайные адреса в крупнейших публичных почтовых системах, таких как hotmail.com и yahoo.com. После этого червь от имени владельца компьютера незаметно рассылает зараженные сообщения, которые могут иметь различные темы, тексты и имена вложенных файлов. Например:

Тема: Re: I think you might find this amusing...
Вложенный файл: Logan6.exe
Текст: Let me know what you think of this...

Для распространения по KaZaA Fizzer создает свои копии со случайными именами в директории этой файлообменной сети, так что они становятся доступными для других ее участников.

Fizzer имеет ряд опасных побочных эффектов, которые могут спровоцировать утечку конфиденциальной информации с зараженного компьютера. Червь устанавливает клавиатурного "жучка", который перехватывает и записывает в отдельный файл все, что пользователь набирает на клавиатуре. Для передачи этих и других данных в систему внедряется утилита несанкционированного удаленного управления, которая позволяет злоумышленникам незаметно контролировать компьютер через чат-каналы IRC и по протоколам HTTP и Telnet. Кроме того, червь регулярно соединяется с веб-страницей на общедоступном сервере Geocities и пытается загрузить обновленную версию своих исполняемых модулей. Наконец, для предотвращения обнаружения, Fizzer сканирует память компьютера и закрывает активные процессы ряда наиболее популярных антивирусных программ.