31 Октября 2003 16:10 31 Окт 2003 16:10 |

Поделиться

Новая модификация червя Mimail ворует данные платежной системы

Mimail.c является классическим почтовым червем, распространяющимся через электронные письма, которые выглядят следующим образом:

Адрес отправителя: james@домен получателя 

Заголовок: Re[2]: our private photos 

Текст: Hello Dear!, 
Finally i've found possibility to right
u, my lovely girl :) 
All our photos which i've made at the beach
(even when u're without ur bh:)) 
photos are great! This evening i'll come
and we'll make the best SEX :) 
Right now enjoy the photos. 
Kiss, James. 

Имя вложенного файла: photos.jpg.zip

Стоит отметить, что адрес отправителя зараженных сообщений формируется с помощью добавления к нему домена получателя. Таким образом, затрудняется локализация эпицентра заражения и у пользователя может создаться впечатление, что письмо пришло от одного из коллег или знакомых.

Если пользователь имел неосторожность открыть вложенный файл, то Mimail.c запускает процедуры внедрения на компьютер и дальнейшего распространения по сети. Прежде всего, червь копирует себя в каталог Windows с именем netwatch.exe, регистрирует этот файл в ключе автозапуска системного реестра операционной системы и создает ряд дополнительных служебных файлов. В частности, при создании одного из этих файлов червь использует встроенные процедуры ZIP-архивации.

Для рассылки зараженных писем Mimail.c также использует встроенные функции - специальную процедуру для распространения по протоколу SMTP. Червь сканирует файлы в каталогах Shell Folders и Program Files и считывает из них строки, похожие на адреса электронной почты. По найденным адресам Mimail.c незаметно для пользователя рассылает свои копии.

8 задач, чтобы перезапустить инженерную школу в России

импортонезависимость

Червь обладает опасным побочным действием, которое может вызвать существенный ущерб для пользователей платежной системы E-Gold. В частности, Mimail.c следит за активностью приложений E-Gold, установленных на зараженном компьютере, считывает из них конфиденциальные данные и отсылает на несколько анонимных адресов, принадлежащих автору червя.

Помимо этого, со всех зараженных компьютеров червь осуществляет распределенную DoS-атаку на сайты www.darkprofits.com и www.darkprofits.net, отсылая на них в бесконечном цикле пакеты произвольного размера.

Источник: пресс-релиз "Лаборатории Касперского".

Поделиться

Подписаться на новости Короткая ссылка