Поделиться
Червь Mimail: новая атака на старую брешь
"Лаборатория Касперского", российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении нового интернет-червя Mimail. Mimail является интернет-червем, распространяющимся во вложенных файлах электронных писем. Зараженные письма содержат фальсифицированный адрес отправителя (что затрудняет поиск источника заражения) и выглядят следующим образом:Тема: your account [rnd] (где [rnd] - переменная величина, принимающая любые значения)
Текст: Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.
---
Best regards, Administrator
Вложенный файл: message.zip
Червь использует брешь в системе безопасности браузера Internet Explorer. Во вложенном архиве MESSAGE.ZIP содержится файл MESSAGE.HTML. В случае если пользователь имел неосторожность открыть его, встроенный Java-скрипт через брешь "Exploit.SelfExecHTML" незаметно записывает на диск и запускает файл-носитель червя FOO.EXE. В свою очередь, он копирует себя в директорию Windows под именем VIDEODRV.EXE и регистрирует этот файл в секции автозапуска системного реестра Windows для обеспечения запуска червя при каждой загрузке операционной системы. Mimail также создает ряд дополнительных файлов в директории Windows: EXE.TMP - червь в файле формата HTML; ZIP-TMP - червь в ZIP-архиве.
Специалисты "Лаборатории Касперского" считают, что Mimail - дело рук российских вирусописателей, поскольку червь использует технологии и реализацию, практически идентичные примененным в троянской программе StartPage, которая однозначно имеет российское происхождение.
Источник: пресс-релиз "Лаборатории Касперского".
Короткая ссылка
