“Лаборатория Касперского”, сообщает об обнаружении компьютерного вируса “Mimail.c” новой модификации известного сетевого червя “Mimail”, который распространяется через электронные письма, имеющими такой вид:
Адрес отправителя: james@домен получателя.
Заголовок: Re[2]: our private photos.
Текст: Hello Dear!,
Finally i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without urbh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
Имя вложенного файла: photos.jpg.zip.
Интересно отметить, что адрес отправителя зараженных сообщений формируется с помощью добавления к нему домена получателя. Таким образом затрудняется локализация эпицентра заражения, и у пользователя может создаться впечатление, что письмо пришло от одного из коллег или знакомых.
Если пользователь имел неосторожность открыть вложенный файл, то “Mimail.c” запускает процедуры внедрения на компьютер и дальнейшего распространения по сети.
Прежде всего червь копирует себя в каталог Windows с именем “netwatch.exe”, регистрирует этот файл в ключе автозапуска системного реестра операционной системы и создает ряд дополнительных служебных файлов. В частности, при создании одного из этих файлов червь прибегает к встроенныем процедурам ZIP-архивации.
Для рассылки зараженных писем “Mimail.c” также использует встроенную функцию — специальную процедуру для распространения по протоколу SMTP. Червь сканирует файлы в каталогах “Shell Folders” и “Program Files” и считывает из них строки, похожие на адреса электронной почты.
По найденным адресам “Mimail.c” незаметно для пользователя рассылает свои копии. Червь обладает опасным побочным действием, которое может вызвать существенный ущерб для пользователей платежной системы “E-Gold”.
В частности, “Mimail.c” следит за активностью приложений “E-Gold”, установленными на зараженном компьютере, считывает из них конфиденциальные данные и отсылает на несколько анонимных адресов, принадлежащих автору червя.
Помимо этого со всех зараженных компьютеров червь осуществляет распределенную DoS-атаку на сайты www.darkrofits.com и www.darkrofits.net, отсылая на них в бесконечном цикле пакеты произвольного размера.
Защита от “Mimail.c” уже добавлена в базу данных Антивируса Касперского. Более подробная информация о данной вредоносной программе доступна в Вирусной энциклопедии Касперского по адресу: http://www.viruslist.com/viruslist.html?id=3127932.
А. Л.