Нові вибрики російських вірусмейкерів
08/14/2003 - 00:03
Нові вибрики російських вірусмейкерів
Категорія
Українаhttps://www.ar25.org/node/1586
Потворка є інтернет-хробаком, що поширюється класичним способом - у вкладених файлах електронних листів. Інфіковані повідомлення містять вигадані адреси відправника. Виглядають вони отак:
Сабж: your account [rnd] (де [rnd] - змінна величина, типу “а тут може бути ваша реклама”. Себто містить довільний текст).
Текст: Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.
---
Best regards, Administrator
---
Вкладений файл: message.zip.
Як і патріархи хробачачого світу - Klez та Lentin (Yaha), Mimail пролазить на комп’ютери, використовуючи дірку в системі безпеки бровзера Internet Explorer. Вкладений стиснутий файл MESSAGE.ZIP містить щось із назвою MESSAGE.HTML. Якщо його запустити, Java-скрипт, що є в тілі хатемельки, завдяки дірі Exploit.SelfExecHTML, записує на диск і запускає файл-носій хробака FOO.EXE. А той вже бавиться у всякі хитрі штуки. Спочатку він копіює себе в течку Windows, називається VIDEODRV.EXE і реєструє цей файл у секції автозавантаження системного реєстру Windows. Mimail також створює кілька додаткових файлів у течці Windows: EXE.TMP - хробак у файлі формату HTML; ZIP.TMP - хробак потиснутий ZIP’ом.
Дірку Exploit.SelfExecHTML було виявлено торік, у березні. Microsoft уже випустила спеціальне оновлення (http://www.microsoft.com/technet/security/bulletin/MS02-015.asp) для Internet Explorer. Хто про дірку знав, а патч не поставив - най не жаліється, що його хакнули ;о). Порятунок інфікованих -- справа самих інфікованих.
Євген Касперський з цього приводу заявив:
Широке поширення Mimail змушує нас ще раз нагадати користувачам, що шкідливі програми можуть міститися не тільки в EXE-файлах. Перед запуском необхідно перевіряти на віруси будь-які файли, отримані з інтернету”.
Для подальшого поширення поштою, Mimail сканує певні директорії на локальному диску і витягає електронні адреси. Зібрані дані записуються у файл EML.TMP у директорії Windows, після чого хробак, використовуючи пряме підключення до поштового сервера, непомітно розсилає свої копії на виявлені адреси.
До речі, фахівці вважають, що новий хробак вигадали москалі. Він використовує технології і реалізацію практично ідентичні з тими, що їх було застосовано у троянській програмі StartPage, що однозначно має російське коріння.
Сабж: your account [rnd] (де [rnd] - змінна величина, типу “а тут може бути ваша реклама”. Себто містить довільний текст).
Текст: Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.
---
Best regards, Administrator
---
Вкладений файл: message.zip.
Як і патріархи хробачачого світу - Klez та Lentin (Yaha), Mimail пролазить на комп’ютери, використовуючи дірку в системі безпеки бровзера Internet Explorer. Вкладений стиснутий файл MESSAGE.ZIP містить щось із назвою MESSAGE.HTML. Якщо його запустити, Java-скрипт, що є в тілі хатемельки, завдяки дірі Exploit.SelfExecHTML, записує на диск і запускає файл-носій хробака FOO.EXE. А той вже бавиться у всякі хитрі штуки. Спочатку він копіює себе в течку Windows, називається VIDEODRV.EXE і реєструє цей файл у секції автозавантаження системного реєстру Windows. Mimail також створює кілька додаткових файлів у течці Windows: EXE.TMP - хробак у файлі формату HTML; ZIP.TMP - хробак потиснутий ZIP’ом.
Дірку Exploit.SelfExecHTML було виявлено торік, у березні. Microsoft уже випустила спеціальне оновлення (http://www.microsoft.com/technet/security/bulletin/MS02-015.asp) для Internet Explorer. Хто про дірку знав, а патч не поставив - най не жаліється, що його хакнули ;о). Порятунок інфікованих -- справа самих інфікованих.
Євген Касперський з цього приводу заявив:
Широке поширення Mimail змушує нас ще раз нагадати користувачам, що шкідливі програми можуть міститися не тільки в EXE-файлах. Перед запуском необхідно перевіряти на віруси будь-які файли, отримані з інтернету”.
Для подальшого поширення поштою, Mimail сканує певні директорії на локальному диску і витягає електронні адреси. Зібрані дані записуються у файл EML.TMP у директорії Windows, після чого хробак, використовуючи пряме підключення до поштового сервера, непомітно розсилає свої копії на виявлені адреси.
До речі, фахівці вважають, що новий хробак вигадали москалі. Він використовує технології і реалізацію практично ідентичні з тими, що їх було застосовано у троянській програмі StartPage, що однозначно має російське коріння.
Останні записи