Поделиться
Netsky.D - червь с ускоренным размножением
Разработчики антивирусного ПО сообщили об обнаружении вечером 1 марта почтового червя Netsky.D (также известного под названием Moodown.D). По данным мониторига онлайнового антивируса Panda ActiveScan, на данный момент наибольшее количество зараженных компьютеров зарегистрировано в Норвегии (10,48 %), Румынии (8,70 %) и Словении (6,79 %). В России заражено 3,28 % компьютеров.Как сообщает "Лаборатория Касперского", Netsky.D распространяется через письма электронной почты. Зараженные сообщения могут иметь самый разный внешний вид: червь случайным образом выбирает заголовок из 25 вариантов, текст письма (6 вариантов), имя вложенного файла (21 вариант). Вложенный файл имеет фиктивное расширение .PIF, в действительности представляя собой обычную EXE-программу (размер около 17Кб). Если пользователь имел неосторожность запустить этот файл, то червь устанавливает себя в систему и запускает процедуры распространения. При установке Netsky.D копирует себя с именем WINLOGON.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра. Таким образом он обеспечивает свою активизацию при каждой загрузке операционной системы.
Для дальнейшей рассылки червь сканирует файлы наиболее распространенных интернет-приложений (например, WAB, EML, DOC, HTML, MSG и др.), считывает из них адреса электронной почты и незаметно для владельца компьютера отсылает на них свои копии. Рассылка писем осуществляется в обход установленного на компьютере почтового клиента, но с использованием встроенной SMTP-подпрограммы. Netsky.D способен распространяться более быстро, чем его предшественники, поскольку он запускает в памяти до восьми процессов с целью рассылки себя по электронной почте.
Эпидемия нового червя усложнена появлением версий C, D, E, F и G червя Bagle, который также быстро и эффективно распространяется по электронной почте.
Источник: сообщение пресс-служб компаний "Лаборатория Касперского" и Panda Software.
Короткая ссылка
