Опасный сетевой червь маскируется с помощью пробелов [ Редагувати ]
В семействе так называемых "рождественских вирусов" - пополнение. Компания Panda Software сообщает о появлении нового интернет-червя, получившего название W32/Shoho.A.
Подобно большинству своих собратьев, W32/Shoho.A распространяется через электронную почту. Он использует уязвимость механизма IFRAME, позволяющего автоматически запускать вложенные файлы. Для рассылки сообщений W32/Shoho.A обращается к SMTP серверу. В качестве мишени червь ищет адреса электронной почты в системных файлах со следующими расширениями: eml, wab, dbx, mbx, xls, xlt и mdb. Все найденные адреса он сохраняет в файл EMAILINFO.TXT.
Внедрившись в почтовую программу зараженного компьютера, W32/Shoho.A отправляет по найденным адресам письма следующего характера:
Тема: Welcome to Yahoo! Mail
Текст письма: Welcome to Yahoo! Mail
Вложение: README.TXT Щ Щ Щ Щ Щ Щ Щ Щ .PIF
Пробелы между расширениями файла предназначены для визуального обмана пользователя - чтобы тот принял вложение за безобидный текстовый документ, который можно безбоязненно открыть.
Затем червь копирует себя в директории Windows и WindowsSystem под именем WINL0G0N.EXE, после чего вносит изменения в системный реестр Windows - для того, чтобы загружаться каждый раз при запуске системы.