Поделиться
Shoho: новый "червь" к Рождеству
Техническая лаборатория компании Panda Software сообщила об обнаружении нового червя, зарегистрированного под кодовым названием W32/Shoho.A. Подобно большинству обнаруженных в последнее время червей, W32/Shoho.A распространяется через электронную почту. Он использует уязвимость механизма IFRAME, позволяющего автоматически запускать вложенные файлы.Как правило, вирус W32/Shoho проникает в систему через файлы-вложения в электронных сообщениях следующего характера: "Welcome to Yahoo! Mail". При этом он содержит вложенный файл под названием "Readme.txt.__________pif".
Пробелы между расширениями файла предназначены для визуального обмана пользователя - так вирус легко можно принять за текстовый документ.
Для рассылки сообщений W32/Shoho обращается к SMTP серверу. В качестве мишени червь ищет адреса электронной почты в системных файлах со следующими расширениями: eml, wab, dbx, mbx, xls, xlt и mdb. Все найденные электронные адреса он сохраняет в файл Emailinfo.txt.
Червь копирует себя в директории Windows и Windows\System под именем Winl0g0n.exe. Следует отметить, что в названии этого файла букве "О" соответствует цифра 0, а не наоборот. Кроме того, червь создает еще один файл - Email.txt. Это файл формата MIME, использующий преимущества механизма IFRAME как уязвимого места системы.
Как только запускается инфицированный файл-вложение, червь копирует себя в директорию Windows под именем WINL0G0N.EXE. Далее, он вносит изменения в системный реестр Windows для того, чтобы загружаться каждый раз при запуске системы:
KEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run WINL0G0N.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run\WINL0G0N.EXE
До настоящего времени вирус не получил широкого распространения, однако эксперты по сетевой безопасности призывают пользователей Сети проявлять осторожность при получении почты.
Короткая ссылка
