А Вы бы поглазели на Анну Курникову?

В "диком виде" обнаружена новая разновидность почтового червя VBS.Sst, известного также как Kalamar, OnTheFly, Lee. Данный вирус уже успел получить и прозвище - "Anna Kournikova".

По имеющимся сведениям, червь получил довольно большое распространение, поразив, в частности, ряд компьютерных систем в США. Вирус создан при помощи "вирусного конструктора" Vbswg (Visual Basic Script Worm Generator), позволяющего создавать зашифрованные VBS-вирусы, не требуя при этом сколько-нибудь высокой квалификации от автора вируса.

Для проникновения в систему и распространения по e-mail вирус применяет стандартные методы, "зарекомендовавшие" себя еще весной позапрошлого года в вирусе "Love Letter". Следует отметить, что используемые в Doctor Web уникальные антивирусные технологии уже давно позволяют обнаруживать любые вирусы такого типа. Можно сказать, что Doctor Web уже умел обнаруживать только что появившийся и нашумевший сейчас вирус "Anna Kournikova" за много месяцев до того, как этот вирус был написан.

Да и в вирусной базе Doctor Web этот вирус с его модификациями уже известен не первый месяц.

Подробности о вирусе VBS.Sst ("Anna Kournikova") Это типичный почтовый червь, т.е. вирусная программа, распространяющаяся путем рассылки своих копий в виде вложений в сообщения e-mail. Вирус написан на языке VBS (Visual Basic Script), поэтому работоспособен только в системах с установленным Windows Scripting Host (Windows 98, Windows Me, Windows 2000); для распространения вирус может использовать только возможности почтовой программы MS Outlook.

Вирус "приходит" в виде вложенного в электронное письмо файла. Характерные признаки писем, рассылаемых вирусом, следующие: Поле темы письма (subject): "Here you have, ;o)" Текст в теле письма: Hi: Check This! Присоединенный к письму файл: "AnnaKournikova.jpg.vbs" Вирус не может самостоятельно запуститься из письма, однако имеется чисто психологический момент, связанный с именем вложенного файла, провоцирующий пользователя открыть вложение и тем самым активировать вирус.

Дело в том, что настоящее программное расширение .vbs может быть скрыто почтовой программой, так что вложенный файл будет выглядеть для пользователя очень похожим на безобидную картинку "AnnaKournikova.jpg", к тому же весьма любопытную для просмотра :) Будучи запущен червь создает файл "AnnaKournikova.jpg.vbs" в основном каталоге Windows, а затем рассылает его по всем адресам из местной адресной книги MS Outlook.

Червь заводит в системном реестре два ключа: первый - HKEY_CURRENT_USER\Software\OnTheFly содержит просто "визитную карточку" вируса - строку "Worm made with Vbswg 1.50b", второй - HKEY_CURRENT_USER\Software\OnTheFly\mailed используется для того, чтобы избежать повторной рассылки червя с одного и того же компьютера. Червь не содержит опасных деструктивных функций. Единственное визуальное проявление - 26 января он пытается запустить Интернет-браузер с открытым в нем Web-сайтом http://www.dynabyte.nl

Опубликовано: 13 февраля 2001 г.

Ключевые слова: нет

Извините, комментариев пока нет