Поделиться
За военными картинками прячется вирус
Вирусописатели не преминули воспользоваться войной в Ираке для рассылки своего очередного творения. По интернету распространяется новый червь – Ganda, маскирующийся с помощью прикрепленных к зараженным письмам разнообразных картинок на военную тему – от «секретных» материалов американских спецслужб до скринсейверов, высмеивающих президента США Джорджа Буша. Червь распространяется через почтовую программу Outlook, используя контакты из адресной книги. По мнению специалистов антивирусной компании McAfee, червь был создан в Швеции. Вирус приходит на электронную почту в виде приложения к письмам, темы и тексты которых различны по содержанию, но имеют одну и ту же цель – убедить пользователя открыть зараженный файл. Эксперты McAfee считают, что на данный момент этот вирус является не очень опасным, однако неизвестно, как будет меняться этот червь и какие его модификации могут появиться.По данным компаний Sophos и Symantec, специализирующихся на сетевой безопасности, червь, как и большинство его предшественников, опасен для компьютеров под управлением Windows 95/98/NT/2000/XP и Me, и не наносит вреда компьютерам под Linux и Mac.
По данным «Лаборатории Касперского», Ganda внедряет свою компоненту внутрь исполняемых Win32 PE EXE-файлов. Червь является приложением Windows (PE EXE-файл), он имеет размер 45056 байт написан на языке Assembler. Червь активно противодействует антивирусным программам.
Заголовок и текст выбираются из списка из 10 вариантов на шведском языке и 10 вариантов на английском языке в зависимости от текущего установленного языка. Имя вложения: xx.scr (где xx - любые два символа в диапазоне от "a" до "z").
Ganda активизируется только в том случае, если пользователь сам запускает зараженный файл. Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу. Ganda считывает адреса из адресной базы WAB. Программа также ищет файлы *.eml, *.*htm*, *.dbx, сканирует их и выделяет строки, являющиеся электронными адресами.
Вредоносная программа сканирует все .EXE и .SCR файлы на локальном диске. Если в файле есть подходящие команды (проверяются из списка), то червь внедряет в последнюю секцию PE-файлов свою компоненту. Команда передачи управления на компоненту червя встраивается в выполняемый код. Встроенная компонента выполняет запуск копии червя из Windows каталога.
Создатели вирусов не упускают ни одной возможности причинить вред чужим компьютерам. Любое громкое событие, особенно трагическое, служит поводом для рассылки вредоносных программ. Скорее всего, Ganda будет не единственным червем, эксплуатирующим иракскую тему, и в ближайшее время стоит ждать новых опасных электронных посланий.
Источники: по материалам McAfee, «Лаборатории Касперского», Sophos и Symantec.
Короткая ссылка
