"Лаборатория Касперского" предупреждает об обнаружении нового Интернет- червя I-Worm.Goner. На данный момент уже получено несколько сообщений о случаях заражения компьютеров пользователей данной вредоносной программой.
По последним данным антивирусной компании MessageLabs, всего в мире уже зарегистрировано, как минимум, 32500 случаев заражения этим компьютерным вирусом. Компания McAfee сообщает о тысячах случаях инфицирования компьютеров ее клиентов.
"Goner" написан на языке программирования Visual Basic 6 и представляет собой EXE-файл размером около 38 Кб, упакованный утилитой сжатия UPX. Распространяется по электронной почте и ICQ. Зараженные письма имеют следующий вид:
Тема письма: Hi
Тело письма:
How are you ?
When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!
Вложенный файл - GONE.SCR.
Для активизации "Goner" пользователь должен самостоятельно запустить файл- носитель червя (GONE.SCR), после чего начинается процедура внедрения вредоносного кода на компьютер жертвы. Для этого "Goner" записывает свою копию в системный каталог Windows под тем же именем (GONE.SCR) и регистрирует этот файл в секции автозагрузки системного реестра Windows. Таким образом, червь автоматически запускается при каждой перезагрузке операционной системы.
Затем "Goner" начинает процедуру распространения по сети Интернет. Для этого одновременно используются два канала передачи данных: электронная почта и популярный Интернет-пейджер ICQ. Для распространения по электронной почте червь получает доступ к почтовой программе Microsoft Outlook, создает письмо, содержащее зараженный файл GONE.SCR и незаметно для пользователя рассылает его по всем получателям из адресной книги Outlook.
"Goner" также пытается рассылать свои копии при помощи Интернет-пейджера ICQ. Для этого он постоянно отслеживает список активных (online) пользователей и периодически пытается передать им файл-носитель червя. Для сокрытия своего присутствия в системе и несанкционированной работы с ICQ "Goner" постоянно сканирует имена вновь появившихся окон и закрывает служебные окна ICQ.
Помимо распространения по Интернет червь также проводит атаку на IRC-канал #pentagonex через сервер twisted.ma.us.dal.net. Для достижения этой цели на зараженном компьютере незаметно запускается вредоносная скрипт-программа, которая с помощью клиента mIRC регулярно создает в этом канале пользователей со случайными именами. В некоторых случаях это может привести к перегрузке сервиса и безусловно нервирует других участников IRC-канала.
"Мы считаем, что эпидемия "Goner" скоро пойдет на убыль, - комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского", - Каждый раз в случае обнаружения новой вредоносной программы в первые часы наблюдается всплеск ее активности, которая через 2-3 дня постепенно затухает. Этот червь не использует нестандартных методов проникновения на компьютеры, поэтому, скорее всего, его судьба будет развиваться именно по такому сценарию".
По материалам сайта "MIGnews.com".