Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network

"Лаборатория Касперского" о новом варианте вируса LoveLetter



Российский разработчик антивирусных систем безопасности компания "Лаборатория Касперского" сообщает об обнаружении очередного варианта нашумевшего в мае этого года скрипт-вируса "LoveLetter".

"I-Worm.LoveLetter.bd", такое техническое название получил найденный вирус, обнаружен в диком виде. На данный момент эксперты компании получили несколько сообщений о случаях заражения в России и Швейцарии.

Вирус использует известный психологический прием, когда пользователю предлагается ознакомиться с резюме, находящимся во вложенном файле RESUME.TXT.VBS, якобы от Швейцарской Интернет-компании, приглашающей на работу профессионального программиста. После запуска зараженного файла вирус автоматически открывает текстовый редактор Notepad (по умолчанию поставляется со всеми версиями операционной системы Windows) где демонстрирует содержание резюме:

Knowledge Engineer, Zurich

Intelligente Agenten im Internet sammeln Informationen, erkluren Sachverhalte im Customer Service, navigieren im Web, beantworten Email Anfragen oder verkaufen Produkte.

[skipped]

Одновременно с этим, незаметно для пользователя, вирус получает доступ к почтовой программе Outlook и, подобно своему оригиналу - "LoveLetter", рассылает свои копии (вместе с тем же вложенным резюме) по всем адресам из адресной книги программы.

Отличительной особенностью вируса является его способность "докачивать" дополнительные вредоносные компоненты из сети Интернет. Однако эта функция активизируется только в случае, если на компьютере используется программа USB PIN Объединенного банка Швейцарии "Union Bank of Switzerland" для осуществления банковских операций через Интернет.

Абсолютно незаметно для пользователя вирус последовательно пытается соединиться с одним из трех web-сайтов, для того, чтобы загрузить троянскую программу. Эта версия вируса пытается "скачать" файл HCHECK.EXE, в котором находится "троянец" "Hooker". Он, в свою очередь, собирает на зараженном компьютере всю информацию о пользователе, включая имя, фамилию, установленное программное обеспечение, адреса, имена и пароли для входа в Интернет и др., а также полностью контролирует все нажатия клавиш на клавиатуре. Позднее, все эти сведения отсылаются автору вируса на анонимный адрес электронной почты.

Необходимо заметить, что вирус "докачивает" троянскую компоненту с web-сайтов достаточно солидных организаций, которые вовремя не позаботились о правильном разграничении прав доступа к своим ресурсам. Среди них - Мичиганский государственный институт и Национальный институт здравоохранения США. По случайности, на сайтах этих организаций открыт полный доступ как на запись, так и на чтение файлов в публичной директории. Это дало автору вируса возможность использовать их для своих криминальных целей.

Для предотвращения заражения данным вирусом пользователи ни в коем случае не должны запускать вложенный файл RESUME.TXT.VBS, равно как и другие подозрительные файлы, полученные из неизвестных источников, либо странные файлы от Ваших коллег или знакомых.

Кроме того, "Лаборатория Касперского" настоятельно рекомендует установить AVP Script Checker. Эта программа не требует никаких дополнений
<== Back to main page