До листа додається обіцяний аттачменті,
який, за відомостями "Лабораторії
Касперського ", дійсно, крім
вірусу містить також і фотографію якоїсь
дівчата. Ім'я вкладеного файлу має
звичайним для подібних "фотографій"
подвійним розширенням: "photo1.jpg.pif".
Нагадаємо, що .pif - розширення виконуваних
файлів DOS, а надіслані від невідомого
виконувані файли, як відомо, відкривати
не треба.
як пише
"Лабораторія Касперського", вірус
розрахований на власників поштової
програми "The Bat". яка придбала в
Останнім часом великої популярності серед
досвідчених користувачів Інтернету, перш
за все, в Центральній і Східній Європі. за
відомостями "Лабораторії" - це перша
шкідлива програма, яка використовує
можливості "The Bat" у шкідницьких
цілях.
Черв'як розсилає себе, використовуючи базу
даних "TheBat". При розсилці хробак
використовує протокол SMTP (прямий доступ) і
відсилає свої листи через поштовий сервер
smtp.mail.ru.
Щоб замаскувати свою присутність
після активізації, черв'як створює на диску
jpeg-файл з фотографією дівчини і відкриває
його. Після активації черв'як впроваджується в
файли Windows mplayer.exe, WINHLP.exe, notpad.exe, control.exe,
scanregw.exe, після зараження розширення файлів
замінюється на .vxd, а самі файли замінюються на
копії хробака.
Черв'як також копіює себе в системний
каталог Windows в якості scanregw.exe і loadpe.com, а в
головний каталог Windows - під ім'ям ifnhlp.sys. файл
loadpe.com потім реєструється в системному
реєстрі, в секції автозапуску, в результаті
чого при запуску будь-якого .exe файлу відбувається
активізація хробака, після чого і цей файл
перетворюється в одну з копій хробака з
розширенням .vxd.
Характерною рисою всіх шкідливих
файлів, що створюються на зараженій машині,
є їх розмір - 61 Кб.
Вірус краде і відсилає господареві логіни і
паролі підключення до локальної мережі,
Інтернету і багато іншого.
Поділися новиною з друзями: