Разделы

Интернет Безопасность Цифровизация Бизнес-приложения Веб-сервисы

В Сети началась эпидемия вируса BadtransII

"Лаборатория Касперского" сообщила о том, что эпидемия обнаруженного на этой неделе интернет-червя BadtransII приобретает массовый характер. По данным британской компании MessageLabs, на которые ссылается «Лаборатория», за первые 24 часа скорость распространения BadtransII по Сети в десятки раз превысила показатели печально известных вирусов SirCam, Melissa и I love you.
BadtransII является модификацией вируса, появившегося в апреле этого года. Червь использует ту же брешь в защите почтовых клиентов, что и вирусы Nimda и Aliz. Уязвимость в MS Outlook ведет к тому, что файл, вложенный в письмо, запускается без ведома пользователя.

Червь проникает на компьютеры в виде электронного письма, тема которого может быть пустой или «Re:». Тело письма пустое. Имя вложенного файла случайно выбирается из нескольких вариантов:

"Pics" или "PICS", "images или "IMAGES","README", "New_Napster_Site" ,"news_doc" или "NEWS_DOC", "HAMSTER", "YOU_are_FAT!" или "YOU_ARE_FAT!", "stuff", "SETUP" ,"Card" или "CARD", "Me_nude" или "ME_NUDE", "Sorry_about_yesterday", "info", "docs" или "DOCS", "Humor" или "HUMOR", "fun" или "FUN", "SEARCHURL", "S3MSONG"

Сам файл имеет два расширения: первое - DOC, ZIP или MP3, второе - SCR или PIF, например "info.DOC.scr".

Зараженное письмо может быть отправлено как с реального почтового адреса (в случае, если письмо рассылается с зараженного компьютера), так и с ложного, с именем адресата, случайно выбранным из списка:

Anna, JUDY, Rita Tulliani, Tina, Kelly Andersen, Andy, Linda, Mon S, Joanna, JESSICA BENAVIDES, Administrator, Admin, Support, Monika Prado.

Импортозамещение, Азия или «серый» импорт: где брать серверное оборудование
Импортозамещение

При запуске вложенного файла вирус пытается ответить на все непрочитанные сообщения в клиенте MS Outlook, а также отсылает IP-адрес зараженного компьютера на адрес uckyjw@hotmail.com. Затем вирус прописывает себя в реестр системы и обеспечивает неавторизованное проникновение извне на зараженный компьютер.

Источник: “Лаборатория Касперского