|
|
|
Интернет-червь I-Worm.Jer проникает на компьютеры при посещении зараженного Web-сайта
Российский разработчик антивирусных систем безопасности компания
"Лаборатория Касперского" сообщает о появлении нового Интернет-червя
I-Worm.Jer, проникающего на компьютеры пользователей при посещении ими
зараженного Web-сайта.
"Jer" не является чрезвычайно опасным, поскольку не несет в себе серьезного
деструктивного воздействия. Кроме того, его код содержит ряд ошибок,
которые делают возможным его распространение только по каналам IRC, но не
по электронной почте. В случае, если бы этих ошибок не было, то мир
оказался бы под угрозой эпидемии, по масштабам сопоставимой с "Любовными
письмами", - комментирует Евгений Касперский, руководитель антивирусных
исследований "Лаборатории Касперского", - "Однако само появление этого
червя свидетельствует о вхождении в моду новой технологии "раскрутки"
вируса в Интернет. Сначала червь помещается на Web-сайт, а потом проводится
массированная рекламная компания для привлечения пользователей. Расчет
сделан точно: среди тысяч посетителей найдется хотя бы несколько десятков,
кто пропустит его на свой компьютер".
Червь "Jer" использует "топорный" метод проникновения на компьютер. На
Web-сайт добавляется скрипт-программа (тело червя), которая автоматически
активизируется при открытии соответствующей HTML-страницы. После этого
пользователю выдается предупреждение о том, что на его диске создается
неизвестный файл. Тонкий расчет сделан на "дыры в голове", т.е. что
пользователь автоматически ответит "да", чтобы отвязаться от назойливой
скрипт-программы. Тем самым он пропустит на свой компьютер Интернет-червя.
Именно таким образом 2 июля 2000 г. автор "Jer" разместил этого червя на
одном из сайтов системы Geocities (www.geocities.com). Заголовок сайта
содержал заманчивый текст: """ THE 40 WAYS WOMEN FAIL IN BED" ("40 способов
затащить женщину в постель"). Затем информация об этой странице была
анонсирована в нескольких каналах IRC, после чего количество посещений этой
страницы превысило 1000 за первый день.
Зараженная HTML страница содержит VBS-скрипт (тело червя), который
автоматически выполняется при открытии страницы и червь активизируется.
Червь создает копию зараженной HTML страницы в системном каталоге Windows с
именем JER.HTM и регистрирует ее в системном реестре в секции автозапуска:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\GinSenG
="JER.HTM"
В результате червь автоматически активизируется при каждой загрузке
Windows.
Затем червь переходит в каталог C:\MIRC и, если такой каталог существует,
создает в нем файл SCRIPT.INI. Этот файл содержит команды которые исполняет
клиент mIRC во время своей работы. Червь записывает в этот файл команды,
которые отсылают файл JER.HTM на каждый компьютер, который подключается к
тому же каналу, к которому подключен и зараженный компьютер. Кроме того,
эти команды предоставляют доступ к локальному диску тому, кто написал в IRC
канале указанное в команде кодовое слово.
Червь отключает некоторые функции системы: отображение значков на рабочем
столе, поиск файлов, настройку сетевого окружения, возможность выключить
компьютер. Также меняется информация о регистрации Windows:
Пользователь: I Love You, Min
Организация: GinsengBoyo 2000.
Процедуры защиты от червя "Jer" добавлены в очередное ежедневное обновление
антивирусной базы "Антивируса Касперского" (www.avp.ru).
Источник: InfoArt
|
|
