Поделиться
Русская и узбекская раскладки клавиатуры защитят от нового интернет-червя
"Лаборатория Касперского" распространила информацию о регистрации массовых случаев заражения новыми модификациями вируса Frethem.Напомним, Frethem представляет собой интернет-червя, распространяющегося по Сети в виде файлов, прикрепленных к зараженным письмам. Известно несколько версий вируса, все они явлются приложениями Windows (PE EXE-файл), имеют размер около 31-35KВ (в зависимости от версии), упакованы PE-Pack и UPX (двойная паковка), написаны на Microsoft Visual C++. Помимо распространения вирусы данной группы содержат так называемые "backdoor-процедуры".
Для запуска из заражённых сообщений червь использует уязвимость в защите Internet Explorer (дескриптор IFRAME), что может привести к автоматической активизации червя при обычном просмотре сообщения. Несколько версий червя не используют этот способ (вложения являются обычными). При этом червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении).
Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Перед инсталляцией червь проверяет клавиатурную поддержку языков и, если установлена поддержка русского или узбекского языков, прекращает свою работу без каких-либо дополнительных действий. В противном случае червь копирует себя в каталог авто-запуска Windows под именем: %windir%\Start Menu\Programs\Startup\setup.exe. В результате копия червя активизируется при каждой загрузке Windows.
Для отсылки сообщений червь использует протокол SMTP. Он ищет почтовые адреса в базе данных WAB (Windows Address Book), в почтовых файлах *.DBX и отсылает заражённые сообщения по обнаруженным адресам.
"Backdoor-процедура" червя заключается в следующем: в теле червя присутствуют от 10 веб-адресов (в младших версиях червя) до 50 (в старших версиях). "Backdoor-процедура" случайно выбирает один из этих веб-сайтов и считывает оттуда указанный в коде червя файл. Данный файл содержит специальный скрипт-язык, который обрабатывается и исполняется копией червя на зараженном компьютере.
Основными действиями при этом является запуск команд, указанных в скрипт-файле, а также загрузка дополнительных файлов с того же сайта и запуск из на исполнение. Как результат червь может обновлять свои версии на более совершенные.
"Backdoor-процедура" также создаёт в каталоге Windows дополнительные файлы: STATUS.INI и WIN64.INI.
Источник:
официальный пресс-релиз "Лаборатории Касперского"
Короткая ссылка
