РОЖДЕСТВЕНСКИЙ ПОДАРОК ОТ ВИРУСОПИСАТЕЛЕЙ

Техническая лаборатория компании «Panda Software» (www.pandasoftware.com) сообщает об обнаружении нового червя W32/Shoho.A. Подобно всем последним червям W32/Shoho.A распространяется через электронную почту. Он использует уязвимость механизма IFRAME, позволяющего автоматически запускать вложенные файлы.

Способ распространения: Вирус W32/Shoho проникает в систему через файлы-вложения в электронных сообщениях следующего характе- ра: Тема: Welcome to Yahoo! Mail Текст письма: Welcome to Yahoo! Mail Вложение: README.TXT .PIF

Пробелы между расширениями файла предназначены для визуального обмана пользователя – чтобы тот подумал, что это текстовый документ. Для рассылки сообщений W32/Shoho обращается к SMTP серверу. В качестве мишени червь ищет адреса электронной почты в системных файлах со следующими расширениями: eml, wab, dbx, mbx, xls, xlt и mdb. Все найденные электронные адреса он сохраняет в файл EMAI- LINFO.TXT. Признаки заражения: Червь копирует себя в директории Windows и Windows\System под именем WINL0G0N.EXE. Заметьте, что в названии этого файла букве О соответствует цифра 0, а не наоборот, как кажется на первый взгляд. В добавок, червь создает еще один файл - EMAIL.TXT. Это файл формата MIME, использующий преимущества механизма IFRAME как уязвимого места с- истемы. Способ заражения: Как только запускается инфицированный файл-вложение, червь копирует себя в директорию Windows под именем WINL0G0N.EXE. Далее, он вносит изменения в системный реестр Windows для того, чтобы загружаться каждый раз при запуске системы: KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - WINL0G0N.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run WINL0G0N.EXE

Более подробную информацию Вы можете получить в службе по связям с общественностью “Panda Software Russia”. E-mail: activescan@viruslab.ru

Опубликовано: 25 декабря 2001 г.

Ключевые слова: нет

Извините, комментариев пока нет