На .com заканчиваются имена как для cайтов, так и для вирусов
29 января 2002 года
«Лаборатория Касперского», ведущий российский разработчик систем информационной безопасности, сообщает об обнаружении нового интернет-червя Myparty, распространяющегося по электронной почте. На данный момент уже зарегистрировано несколько инцидентов заражения данной вредоносной программой, сообщает MIGnews.com (Архивная копия от 2 ноября 2004 на Wayback Machine).
Червь доставляется на целевой компьютер в виде файла, вложенного в письмо электронной почты. Данный файл является Windows-приложением размером около 30 килобайт, написанным на языке программирования Microsoft Visual C++.
Зараженные письма выглядят следующим образом.
Заголовок: New photos from my party! Текст:
Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!
Имя вложения - www.myparty.yahoo.com
Как видно, файл-носитель искусно замаскирован под адрес Web-сайта. Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении) - в этом и есть тонкий расчет на уверенность пользователя, что на вложении он попадет на некий адрес в сети интернета. Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
«Это действительно новая техника манипуляции сознанием пользователя, исключительно благодаря которой Myparty вызвал ряд заражений. В остальном - это классический интернет-червь, ничем не отличающийся от сотен себе подобных созданий, - комментирует Денис Зенкин, руководитель информационной службы «Лаборатории Касперского». - Этот случай еще раз подтверждает, что не все, что начинается с www и заканчивается com - Web-сайты».
В зависимости от версии Windows (Win9x/ME или WinNT/2000/XP) червь инсталлирует себя в систему разными способами. Один из них - создание копии файла-червя и ее запуск на выполнение. При этом, если имя файла-вложения было изменено (имеет расширение не .COM, как в оригинале, а .EXE), то червь дополнительно открывает Web-страницу «http://www.disney.com»(недоступная ссылка).
При повторном запуске червь активизирует процедуру рассылки зараженных писем, считывая как базы данных адресной книги Windows, так и файлы, которые используются в Outlook Express. После этого червь незаметно, якобы от имени владельца зараженного компьютера, рассылает по этим адресам свои копии. Для подтверждения факта заражения также отсылается пустое письмо на адрес «napster@gala.net».
Myparty имеет опасное побочное действие. На компьютерах с Windows NT/2000/XP червь устанавливает программу-шпиона для удаленного несанкционированного управления. Таким образом, злоумышленник может получить полный контроль над компьютером жертвы.
Более подробное описание данного интернет-червя (Архивная копия от 26 июля 2004 на Wayback Machine) помещено в Вирусной энциклопедии Касперского.
Источники
правитьЛюбой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.