Интернет атакует новый вирус Netsky.D. Заражая компьютер, он «пипикает» в динамиках

2 марта 2004 года

В интернете накануне была зафиксирована новая вирусная эпидемия, вызванная четвертой модификацией сетевого червя NetSky - NetSky.D (также известен как MyDoom.D). На данный момент уже получено несколько десятков сообщений о случаях заражения компьютеров, сообщает «Лаборатория Касперского».

Как сообщается, NetSky.D распространяется через письма электронной почты. Зараженные сообщения могут иметь самый разный внешний вид: червь случайным образом выбирает заголовок из 25 вариантов, текст письма (6 вариантов), имя вложенного файла (21 вариант).

Вирус распространяется в письмах, которые могут иметь такие заголовки:

Re: Hello Re: Hi Re: Thanks! Re: Document Re: Message Re: Here Re: Details Re: Your details Re: Approved Re: Your document Re: Your text Re: Excel Файл Re: Word Файл Re: My details Re: Your music Re: Your bill Re: Your letter Re: Document Re: Your website Re: Your product Re: Your document Re: Your software Re: Your archive Re: Your picture Re: Here is the document

Netsky.D заражает компьютеры, на которых установлены операционные системы Microsoft - Windows 95, 98, 2000, ME и XP.

Вложенный файл имеет фиктивное расширение .PIF, в действительности представляя собой обычную EXE-программу (размер около 17Кб). Если пользователь имел неосторожность запустить этот файл, то червь устанавливает себя в систему и запускает процедуры распространения.

При установке NetSky.D копирует себя с именем WINLOGON.EXE в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра. Таким образом он обеспечивает свою активизацию при каждой загрузке операционной системы.

Для дальнейшей рассылки червь сканирует файлы наиболее распространенных интернет-приложений (например, WAB, EML, DOC, HTML, MSG и др.), считывает из них адреса электронной почты и незаметно для владельца компьютера отсылает на них свои копии.

Важно отметить, что рассылка писем осуществляется в обход установленного на компьютере почтового клиента, но с использованием встроенной SMTP-подпрограммы. С ее помощью NetSky.D распространяется через 23 прокси-сервера, расположенных в разных концах мира.

Червь имеет ряд побочных действий. В частности, он удаляет из системного реестра ключи другого сетевого червя - MyDoom, а также пытается нарушить работу Антивируса Касперского.

Эпидемия нового червя усложнена появлением версий C, D, E, F и G червя Bagle, который также быстро и эффективно распространяется по электронной почте.

По данным мониторига онлайнового антивируса Panda ActiveScan, на данный момент наибольшее количество зараженных компьютеров зарегистрировано в Норвегии (10,48 %), Румынии (8,70 %) и Словении (6,79 %). В России заражено 3,28 % компьютеров.

2 марта пользователь незамедлительно узнает о том, что его компьютер определил заражение новым вирусом, когда машина «пипикает» через динамик, сообщает BBC.

Первый, оригинальный вирус NetSky появился 16 февраля, и с тех пор зафиксированы семь его новых вариантов.