|
Поделиться
Поделиться
За фальшивым сообщением Microsoft скрывается "троян"
"Лаборатория Касперского" предупреждает о появлении новой версии интернет-червя I-Worm.Leave, которая распространяется в интернете под видом сообщения от Microsoft. Сообщение содержит информацию о дополнении, устраняющем брешь в системе безопасности Windows, однако указанный URL "заплатки" изменен на фиктивный, внешне похожий на сайт компании Microsoft. При его активизации червя происходит попытка загрузить файл cvr58-ms.exe, являющийся троянской программой. "Лаборатория Касперского" уже получила несколько сообщений о случаях заражения данной вредоносной программой.Интернет-червь Leave способен работать только на компьютерах под управлением операционных систем Windows 95/98/ME, а также Windows NT/2000 . При запуске основной компоненты интернет-червь копирует себя в директорию Windows под именем REGSU.EXE и регистрирует этот файл в секции автоматического запуска программ системного реестра Windows. Скрипт, которым написан код вируса, а также его дополнительные модули зашифрованы 64-битным алгоритмом.
Функциональные особенности вредоносной программы позволяют ей автоматически обновляться через интернет, то есть незаметно для пользователя загружать и активировать дополнительные компоненты (EXE-файлы). Это делает возможным удаленное управление зараженными компьютерами. Среди других возможностей этого вируса, в частности, подключение и распространение по каналам IRC (Internet Relay Chat), а также создание, удаление и выполнение файлов на зараженной машине.
Лаборатория Касперского обращает внимание на следующее: основные компоненты программы содержат мастер-пароль троянской программы "SubSeven", поэтому данный вирус проникает только на уже зараженные этим троянцем машины.
Источник: "Лаборатория Касперского"
Короткая ссылка
