Обнаружен очередной клон вируса ILOVEYOU

“Лаборатория Касперского”, российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении в диком виде Интернет-червя I-Worm.FishBurn - очередной разновидности компьютерного вируса ILOVEYOU. В отличие от оригинала данный червь распространяется не только по электронной почте, но и по каналам IRC.

“За прошедший месяц мода на создание новых клонов “Любовных писем” не только не прошла, но, по всей видимости, входит в новую стадию популярности”, - комментирует Евгений Касперский, руководитель антивирусных исследований компании, - “В начале мая мы представили и бесплатно распространяем уникальное универсальное противоядие от этого типа компьютерной фауны – AVP Script Checker.

Эта программа перехвата и эвристического анализа скрипт-вирусов успешно обнаруживает червь и блокирует его деятельность. Процедуры удаления I-Worm.FishBurn добавлены в очередное ежедневное обновление антивирусной базы нашего продукта. Таким образом, ILOVEYOU и ему подобные вирусы представляют реальную опасность лишь для тех компьютеров, которые до сих пор не оснащены данной программой или другими продуктами комплекса AVP…”.

Краткое техническое описание Общая характеристика I-Worm.FireBurn Данный Интернет-червь представляет собой VBS-скрипт и распространяется как вложение в электронных письмах. При рассылке писем использует MS Outlook. Также передает свои копии в каналы IRC. При активизации (двойной щелчок мыши по вложению в письме) или при запуске пользователем из каталога Download IRC-клиента, червь инсталлирует себя в систему.

Он копирует себя в каталог Windows с именем RUNDLL32.VBS и регистрирует этот файл в секции автозапуска системного реестра, в результате файл-червь активизируется при каждом запуске Windows. Рассылка писем Для рассылки сообщений червь использует MS Outlook. Рассылает себя по всем адресам из адресной книги. Параметры письма зависят от установленной версии Windows. Имя вложения выбирается случайно из восьми вариантов: Ultra-Hardcore-Bondage.JPG.vbs Christina__NUDE!!!.JPG.vbs CuteJany__BigTits!.GIF.vbs MyGirlfriend__NUDE!.JPG.vbs Aguiliera__NUDE!!.JPG.vbs !Jany__Gets-fucked!.GIF.vbs cute__EmmaPeel!!!.JPG.vbs Julie17__xxx.GIF.vbs Копия червя с таким же именем создается в системном каталоге Windows (именно она прикрепляется к отправляемым письмам).

Заражение IRC Червь посылает свои копии в каналы IRC. Для этого он записывает в каталог клиента mIRC новый системный файл SCRIPT.INI, который передает копию червя каждому пользователю, который подключается к каналу. С подробным техническим описанием Интернет-червя I-Worm.FishBurn можно познакомиться на сайте Лаборатории Касперского: http://www.avp.ru Информация о способах и местах приобретения антивирусных программ семейства “Антивирус Касперского” доступна на web-сайте “Лаборатории Касперского” по адресу http://www.kaspers- kylab.ru/buy/dealers.asp. “Лаборатория Касперского” Тел.: +7 (095)797-87-00 E-mail:info@avp.ru

Опубликовано: 30 мая 2000 г.

Ключевые слова: нет

Извините, комментариев пока нет