Все новости от 4 марта 2004 г. Червь Netsky.D борется не только с антивирусными программами, но и со своими “конкурентами”
“Лаборатория Касперского” сообщила об обнаружении новой вирусной эпидемии, вызванной четвертой модификацией сетевого червя Netsky — Netsky.D (также известной под именем Moodown.D). Новорожденный распространяется через письма электронной почты.
Зараженные им сообщения могут иметь самый разный внешний вид: червь случайным образом выбирает заголовок (из 25 вариантов), текст письма (из 6 вариантов) и имя вложенного файла (из 21 варианта).
Вложенный файл имеет фиктивное расширение .PIF. В действительности же он представляет собой обычную EXE-программу размером около 17 Кб. Если пользователь имел неосторожность запустить этот файл, то червь устанавливает себя в систему и запускает процедуры распространения. При этом Netsky.D копирует себя с именем WINLOGON.EXE в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра. Тем самым он обеспечивает свою активизацию при каждой загрузке операционной системы.
Для дальнейшей рассылки червь сканирует файлы наиболее распространенных Интернет-приложений, считывает из них адреса электронной почты и незаметно для владельца компьютера отсылает по ним свои копии. Важно отметить, что рассылка писем осуществляется в обход установленного на компьютере почтового клиента, но с использованием встроенной SMTP-подпрограммы. С ее помощью Netsky.D распространяется через 23 прокси-сервера, расположенных в разных концах мира.
Червь имеет ряд побочных действий. В частности, он удаляет из системного реестра ключи другого сетевого червя (Mydoom), а также пытается нарушить работу “Антивируса Касперского”.
В. М.
|