В интернете накануне была зафиксирована новая вирусная эпидемия, вызванная четвертой модификацией сетевого червя NetSky - NetSky.D (также известен как MyDoom.D). На данный момент уже получено несколько десятков сообщений о случаях заражения компьютеров, сообщает "Лаборатория Касперского".
Как сообщается, NetSky.D распространяется через письма электронной почты. Зараженные сообщения могут иметь самый разный внешний вид: червь случайным образом выбирает заголовок из 25 вариантов, текст письма (6 вариантов), имя вложенного файла (21 вариант).
Вирус распространяется в письмах, которые могут иметь такие заголовки:
Re: Hello Re: Hi Re: Thanks! Re: Document Re: Message Re: Here Re: Details Re: Your details Re: Approved Re: Your document Re: Your text Re: Excel file Re: Word file Re: My details Re: Your music Re: Your bill Re: Your letter Re: Document Re: Your website Re: Your product Re: Your document Re: Your software Re: Your archive Re: Your picture Re: Here is the document
Netsky.D заражает компьютеры, на которых установлены операционные системы Microsoft - Windows 95, 98, 2000, ME и XP.
Вложенный файл имеет фиктивное расширение .PIF, в действительности представляя собой обычную EXE-программу (размер около 17Кб). Если пользователь имел неосторожность запустить этот файл, то червь устанавливает себя в систему и запускает процедуры распространения.
При установке NetSky.D копирует себя с именем WINLOGON.EXE в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра. Таким образом он обеспечивает свою активизацию при каждой загрузке операционной системы.
Для дальнейшей рассылки червь сканирует файлы наиболее распространенных интернет-приложений (например, WAB, EML, DOC, HTML, MSG и др.), считывает из них адреса электронной почты и незаметно для владельца компьютера отсылает на них свои копии.
Важно отметить, что рассылка писем осуществляется в обход установленного на компьютере почтового клиента, но с использованием встроенной SMTP-подпрограммы. С ее помощью NetSky.D распространяется через 23 прокси-сервера, расположенных в разных концах мира.
Червь имеет ряд побочных действий. В частности, он удаляет из системного реестра ключи другого сетевого червя - MyDoom, а также пытается нарушить работу Антивируса Касперского.
Эпидемия нового червя усложнена появлением версий C, D, E, F и G червя Bagle, который также быстро и эффективно распространяется по электронной почте.
По данным мониторига онлайнового антивируса Panda ActiveScan, на данный момент наибольшее количество зараженных компьютеров зарегистрировано в Норвегии (10,48 %), Румынии (8,70 %) и Словении (6,79 %). В России заражено 3,28 % компьютеров.
2 марта пользователь незамедлительно узнает о том, что его компьютер определил заражение новым вирусом, когда машина "пипикает" через динамик, сообщает BBC.
Первый, оригинальный вирус NetSky появился 16 февраля, и с тех пор зафиксированы семь его новых вариантов.