"Лаборатория Касперского" сообщает о появлении нового Интернет-червя "I-Worm.Timofonica"

•	Главная
•	Архив новостей
•	Безопасность в Unix
•	Безопасность в Windows
•	Сборник FAQ'ов
•	Телефония, фрикинг
•	Кредитные карты
•	Криптография
•	Истории о хакерах
•	Программы, утилиты

_el@sp.sz.ru

"Лаборатория Касперского" сообщает о появлении нового Интернет-червя "I-Worm.Timofonica"

Российский разработчик антивирусных систем безопасности компания "Лаборатория Касперского" сообщает об обнаружении нового Интернет-червя "I-Worm.Timofonica", распространяющегося по электронной почте и рассылающего SMS сообщения на мобильные телефоны. Червь был обнаружен 5 июня в "диком виде" в Испании.

Этот интернет-червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. Для распространения червь использует Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. Дополнительно, при отправке каждого сообщения червь посылает еще одно сообщение на SMS-шлюз испанской сети MoviStar, указывая при этом случайный номер телефона.

Червь попадает на компьютер в виде письма с прикрепленным VBS-файлом, который, собственно, и является телом червя. Письмо имеет следующие характеристики: в строке тема написано слово "TIMOFONICA", в теле письма имеется довольно длинный текст на испанском языке, имя прикрепленного файла: TIMOFONICA.TXT.vbs (в зависимости от настроек системы настоящее расширение вложенного файла (".vbs") может быть не показано, в этом случае файл отображается как "TIMOFONICA.TXT").

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH - в Windows98, в Windows2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в Outlook98/2000.

При активизации червь рассылает свои копии по электронной почте и устанавливает в систему троянский файл. Для того, чтобы установить на компьютере троянскую программу, червь создает в системном каталоге Windows файл "Cmos.com" и записывает в него код, который хранится в теле червя. Для автоматического запуска троянца червь добавляет в системный реестр ключ:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Cmos = Cmos.com. При очередном перезапуске Windows троянец автоматически получает управление, стирает информацию CMOS и таблицу логических разделов жесткого диска.

Более подробное техническое описание Интернет-червя "Timofonica" доступно по адресу http://www.viruslist.com/VirusList.asp?page=0&mode=1&id=4183&key=00001000140 000100032

Процедуры обнаружения и удаления "Timofonica" уже добавлены в последнее ежедневное обновление антивирусной базы "Антивируса Касперского".

Источник: InfoArt News Agency