На .com заканчиваются имена как для cайтов, так и для вирусов

29 января 2002 года

«Лаборатория Касперского», ведущий российский разработчик систем информационной безопасности, сообщает об обнаружении нового интернет-червя Myparty, распространяющегося по электронной почте. На данный момент уже зарегистрировано несколько инцидентов заражения данной вредоносной программой, сообщает MIGnews.com (Архивная копия от 2 ноября 2004 на Wayback Machine).

Червь доставляется на целевой компьютер в виде файла, вложенного в письмо электронной почты. Данный файл является Windows-приложением размером около 30 килобайт, написанным на языке программирования Microsoft Visual C++.

Зараженные письма выглядят следующим образом.

Заголовок: New photos from my party! Текст:

Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!

Имя вложения - www.myparty.yahoo.com

Как видно, файл-носитель искусно замаскирован под адрес Web-сайта. Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении) - в этом и есть тонкий расчет на уверенность пользователя, что на вложении он попадет на некий адрес в сети интернета. Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

«Это действительно новая техника манипуляции сознанием пользователя, исключительно благодаря которой Myparty вызвал ряд заражений. В остальном - это классический интернет-червь, ничем не отличающийся от сотен себе подобных созданий, - комментирует Денис Зенкин, руководитель информационной службы «Лаборатории Касперского». - Этот случай еще раз подтверждает, что не все, что начинается с www и заканчивается com - Web-сайты».

В зависимости от версии Windows (Win9x/ME или WinNT/2000/XP) червь инсталлирует себя в систему разными способами. Один из них - создание копии файла-червя и ее запуск на выполнение. При этом, если имя файла-вложения было изменено (имеет расширение не .COM, как в оригинале, а .EXE), то червь дополнительно открывает Web-страницу «http://www.disney.com»(недоступная ссылка).

При повторном запуске червь активизирует процедуру рассылки зараженных писем, считывая как базы данных адресной книги Windows, так и файлы, которые используются в Outlook Express. После этого червь незаметно, якобы от имени владельца зараженного компьютера, рассылает по этим адресам свои копии. Для подтверждения факта заражения также отсылается пустое письмо на адрес «napster@gala.net».

Myparty имеет опасное побочное действие. На компьютерах с Windows NT/2000/XP червь устанавливает программу-шпиона для удаленного несанкционированного управления. Таким образом, злоумышленник может получить полный контроль над компьютером жертвы.

Более подробное описание данного интернет-червя (Архивная копия от 26 июля 2004 на Wayback Machine) помещено в Вирусной энциклопедии Касперского.