|
|
Антивирус AVP "Лаборатории Касперского" защищает от новой разновидности "LoveLetter"
Российский разработчик антивирусных систем безопасности компания
"Лаборатория Касперского" сообщила об обнаружении в диком виде вируса
"NewLove" - новой разновидности печально известного компьютерного вируса
"LoveLetter", или ILOVEYOU.
Новая разновидность "Любовных писем" существенно превзошла оригинал по
разрушительному воздействию. После рассылки своих копий по всем адресам из
адресной книги MS Outlook вирус уничтожает все файлы на локальном и сетевых
дисках.
"Антивирус Касперского" обнаруживает "NewLove" автоматически без
специальных дополнений антивирусной базы, благодаря новому эвристическому
механизму поиска неизвестных скрипт-вирусов, который предоставляет
пользователям AVP Script Checker. Тем не менее, "Лаборатория Касперского"
выпустила внеочередное обновление антивирусной базы AVP, содержащее
процедуры удаления вируса "NewLove". Обновление доступно на сайте компании
по адресу: www.avp.ru.
Вирус I-Worm.NewLove является очень опасным вариантом вируса-червя
"LoveLetter". Так же, как и "LoveLetter", является VBS-файлом и написан на
языке Visual Basic Script. Распространяется в электронных письмах и при
активизации рассылает себя с зараженных компьютеров. При своем
распространении червь использует почтовую систему Microsoft Outlook и
рассылает себя по всем адресам, которые хранятся в адресной книге Outlook.
В результате пораженный компьютер рассылает столько зараженных писем,
сколько адресов хранится в адресной книге.
Червь попадает на компьютер в виде "пустого" письма (в письме нет никакого
текста) с прикрепленным VBS-файлом, который, собственно, и является телом
червя. Имя вложенного файла имеет длину до 30 символов и является
случайным. Имя дополнено "ложным расширением", которое также выбирается
случайно из вариантов: Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url,
Htm, Txt. "Настоящее" расширение имени вложения - "Vbs", например:
VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp.Vbs или QKUPLSXOOIBPAGNENGIVPN.Mp3.Vbs. В
зависимости от настроек системы настоящее расширение вложенного файла
(".Vbs") может быть не показано. Тема письма состоит из символов "FW:" и
имени вложенного файла без расширения "Vbs", например: "FW:
VPAVQXCUUNGUFLTJSLNAUTQZXJUG.Bmp" или "FW: QKUPLSXOOIBPAGNENGIVPN.Mp3".
При активизации (если пользователь открывает прикрепленный файл) червь
получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все
адреса и рассылает по ним письма с прикрепленной к ним своей копией. Затем
червь ищет все файлы на всех доступных дисках и портит их - переименовывает
с расширением "Vbs" и записывает в них свою копию (например, "COMMAND.COM"
-> "COMMAND.COM.VBS").
Таким образом, "жизненный цикл" червя выглядит примерно следующим образом:
червь попадает на компьютер, запускается пользователем (например, двойным
щелчком мыши по вложенному файлу), затем рассылает свои копии по всем
адресам адресной книги Outlook и уничтожает все файлы на всех доступных
дисках.
Червь использует полиморфик-алгоритм, меняющий тело червя при каждом
заражении - червь дописывает в свой текст случайные строки-комментарии. При
этом количество этих строк и, соответственно, размер червя растет от
"поколения к поколению", например: 110Kb, 248Kb, 403Kb, 585Kb, 805Kb,
1040Kb и т.д. При этом "чистый" код червя занимает около 5Kb.
Защита от червей такого типа выпущена "Лабораторией Касперского" около
недели назад - "AVP Script Checker". Эту программу пользователи могут
скопировать с Web-сайта http://www.avp.ru. В качестве основной
профилактической меры "Лаборатория Касперского" рекомендует пользователям
воздержаться от запуска любых подозрительных вложенных файлов полученных
как из неизвестных источников, так и от знакомых людей.
Источник: InfoArt News Agency
|
|