Алчный, лицемерный почтовый шантажист

Вебпланета

≡ Архив | архивная статья | 27.01.2004 13:43

Специалисты антивирусных компаний сообщили об обнаружении новой модификации печально известного почтового червя «Mimail» — «Mimail.Q». Новая версия отличается криптографической защитой от антивирусов и уже вызвала отдельные случаи заражения среди пользователей. «Лаборатория Касперского» прогнозирует расширение эпидемии в ближайшие дни и рекомендует пользователям немедленно обновить антивирусную программу.

«Mimail.Q» распространяется через электронную почту в письмах разнообразного содержания и произвольными названиями вложенных файлов. Червь состоит из двух частей: «дроппера» (модуль установки основной части) и носителя (основная часть). Если пользователь имел неосторожность запустить файл, вложенный в зараженное письмо, то «дроппер» выводит на экран окно с ложным сообщением об ошибке, копирует себя в каталог Windows под именем SYS32.EXE и регистрирует в ключе автозапуска системного реестра. После этого распаковывает основную часть червя (файл OUTLOOK.EXE) и запускает ее на выполнение.

Важным отличием «Mimail.Q» является использование алгоритмов криптографии для защиты от антивирусов. При каждой перезагрузке зараженного компьютера червь меняет ключ шифрования таким образом, что рассылаемые копии вредоносной программы каждый раз выглядят по-разному. Это, в свою очередь, требует от установленного антивируса функции дешифрации файлов.

Основная часть червя осуществляет сразу несколько функций: рассылку копий «Mimail.Q»; открывает злоумышленникам лазейку на зараженный компьютер, используя порты 6667, 3000, 80, 1433 и 1434; собирает информацию об установленных на компьютере счетах платежных систем PayPal и E-Gold и отсылает коды доступа к ним на те же почтовые ящики. Наконец, в коде червя содержатся угрозы в адрес публичных почтовых систем в случае закрытия используемых «Mimail.Q» ящиков:

*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS’ed in next version. WARNING: centrum.cz will be DDoS’ed in next versions, coz they have closed my mimail-email account. Who next? ***

комментарии(4)

разделы: Архив