Очередной вариант нашумевшего скрипт-вируса "LoveLetter"
|
I-Worm.LoveLetter.bd
| "I-Worm.LoveLetter.bd", такое техническое название получил найденный вирус, обнаружен в диком виде. На данный момент эксперты компании Лаборатория Касперского получили несколько сообщений о случаях заражения в России и Швейцарии. Вирус использует известный психологический прием, когда пользователю предлагается ознакомиться с резюме, находящимся во вложенном файле RESUME.TXT.VBS, якобы от Швейцарской интернет-компании, приглашающей на работу профессионального программиста. После запуска зараженного файла вирус автоматически открывает текстовый редактор Notepad (по умолчанию поставляется со всеми версиями операционной системы Windows) где демонстрирует содержание резюме: * "Knowledge Engineer, Zurich * Intelligente Agenten im Internet sammeln Informationen, erkluren Sachverhalte * im Customer Service, navigieren im Web, beantworten Email Anfragen oder verkaufen Produkte. * [skipped]" Одновременно с этим, незаметно для пользователя, вирус получает доступ к почтовой программе Outlook и,подобно своему оригиналу-"LoveLetter", рассылает свои копии (вместе с тем же вложенным резюме) по всем адресам из адресной книги программы. Отличительной особенностью вируса является его способность "докачивать" дополнительные вредоносные компоненты из сети Интернет. Однако эта функция активизируется только в случае, если на компьютере используется программа USB PIN Объединенного банка Швейцарии "Union Bank of Switzerland" для осуществления банковских операций через Интернет. Абсолютно незаметно для пользователя вирус последовательно пытается соединиться с одним из трех web-сайтов, для того, чтобы загрузить троянскую программу. Эта версия вируса пытается "скачать" файл HCHECK.EXE, в котором находится "троянец" "Hooker". Он, в свою очередь, собирает на зараженном компьютере всю информацию о пользователе, включая имя, фамилию, установленное программное обеспечение, адреса, имена и пароли для входа в Интернет и др., а также полностью контролирует все нажатия клавиш на клавиатуре. Позднее, все эти сведения отсылаются автору вируса на анонимный адрес электронной почты. Необходимо заметить, что вирус "докачивает" троянскую компоненту с web-сайтов достаточно солидных организаций, которые вовремя не позаботились о правильном разграничении прав доступа к своим ресурсам. Среди них - Мичиганский государственный институт и Национальный институт здравоохранения США. По случайности, на сайтах этих организаций открыт полный доступ как на запись, так и на чтение файлов в публичной директории. Это дало автору вируса возможность использовать их для своих криминальных целей. Для предотвращения заражения данным вирусом пользователи ни в коем случае не должны запускать вложенный файл RESUME.TXT.VBS, равно как и другие подозрительные файлы, полученные из неизвестных источников, либо странные файлы от Ваших коллег или знакомых. Автор: http://www.safety-net.ru |
|---|
