Вирусы теперь маскируются под антивирусы [ Редагувати ]
"Лаборатория Касперского", ведущий российский разработчик систем информационной безопасности, сообщает об обнаружении нового, исключительно опасного Интернет-червя "Yarner", маскирующегося под антивирусную программу YAW. На данный момент уже зафиксированы случаи массового заражения данной вредоносной программой в Германии.
"Yarner" искусно маскируется под официальное сообщение популярного немецкого Web-сайта по проблемам антивирусной безопасности.
"Yarner" распространяется по электронной почте в виде вложенных файлов. Зараженные письма имеют следующий вид:
Адрес отправителя (выбирается случайным образом):
- Trojaner-Info [реальный e-mail адрес зараженного компьютера] или
- Trojaner-Info [[email protected]]
Имя вложенного файла: Yawsetup.exe.
Заголовок: Trojaner-Info Newsletter [текущая системная дата зараженного компьютера]
Текст письма:
Hallo !
Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
Hier die Themen im Ueberblick:
1. YAW 2.0 - Unser Dialerwarner in neuer Version
************************************
1. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist
nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere
Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter.
Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen
steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak
unter [email protected] zur Verf?gung. Viel Spa- mit YAW!
************************************
Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir
bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine
angenehme Woche.
Mit freundlichem Gruss
Thomas Tietz & Andreas Ebert
************************************
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer
Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber
abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du
diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine
entsprechende E-Mail.
************************************
Если пользователь имел неосторожность запустить вложенный файл Yawsetup.exe в отсутствие активной антивирусной программы, то червь инициирует процедуры заражения компьютера и дальнейшего распространения.
Прежде всего, "Yarner" создает в каталоге Windows дополнительный файл со случайным именем (до 100 символов) и регистрирует его в секции автозапуска системного реестра Windows. Таким образом, червь активизируется после каждой перезагрузки операционной системы. Для рассылки по электронной почте "Yarner" получает доступ к адресной книге MS Outlook, а также сканирует содержимое файлов форматов .php, .html, .shtml, .cgi, .pl в каталоге Windows и считывает оттуда адреса электронной почты. Эти данные записываются в файлы KERNEL32.DAA и KERNEL32.DAS.
После этого червь соединяется с удаленным SMTP-сервером и через него осуществляет рассылку своих копий.
"Yarner" имеет исключительно опасную деструктивную функцию. С вероятностью 10 процентов после рассылки писем червь уничтожает все данные на зараженном компьютере.
"Trojaner-Info, якобы от имени которого рассылаются зараженные письма, является популярным немецким ресурсом по проблемам антивирусной безопасности и не имеет никакого отношения к настоящей эпидемии. Данный случай лишь еще раз подтверждает, что e-mail адрес и текст письма можно легко фальсифицировать и при помощи этой уловки подсунуть пользователю вредоносную программу", - комментирует Евгений Касперский, руководитель антивирусных исследований компании. В этой связи "Лаборатория Касперского" еще раз рекомендует пользователям быть предельно осторожными к вложенным файлам, даже если они приходят, якобы, от имени разработчиков антивирусных программ.
Процедуры защиты от "Yarner" уже добавлены в обновление базы данных Антивируса Касперского.