Архив NTVRU.com
"Лаборатория Касперского", ведущий российский разработчик систем информационной безопасности, сообщает об обнаружении нового интернет-червя Myparty, распространяющегося по электронной почте. На данный момент уже зарегистрировано несколько инцидентов заражения данной вредоносной программой, сообщает MIGnews.com.

Червь доставляется на целевой компьютер в виде файла, вложенного в письмо электронной почты. Данный файл является Windows-приложением размером около 30 килобайт, написанным на языке программирования Microsoft Visual C++.

Зараженные письма выглядят следующим образом.

Заголовок: New photos from my party! Текст:

Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!

Имя вложения - www.myparty.yahoo.com

Как видно, файл-носитель искусно замаскирован под адрес Web-сайта. Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении) - в этом и есть тонкий расчет на уверенность пользователя, что на вложении он попадет на некий адрес в сети интернета. Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

"Это действительно новая техника манипуляции сознанием пользователя, исключительно благодаря которой Myparty вызвал ряд заражений. В остальном √ это классический интернет-червь, ничем не отличающийся от сотен себе подобных созданий, √ комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского". √ Этот случай еще раз подтверждает, что не все, что начинается с www и заканчивается com √ Web-сайты".

В зависимости от версии Windows (Win9x/ME или WinNT/2000/XP) червь инсталлирует себя в систему разными способами. Один из них √ создание копии файла-червя и ее запуск на выполнение. При этом, если имя файла-вложения было изменено (имеет расширение не .COM, как в оригинале, а .EXE), то червь дополнительно открывает Web-страницу "http://www.disney.com".

При повторном запуске червь активизирует процедуру рассылки зараженных писем, считывая как базы данных адресной книги Windows, так и файлы, которые используются в Outlook Express. После этого червь незаметно, якобы от имени владельца зараженного компьютера, рассылает по этим адресам свои копии. Для подтверждения факта заражения также отсылается пустое письмо на адрес "napster@gala.net".

Myparty имеет опасное побочное действие. На компьютерах с Windows NT/2000/XP червь устанавливает программу-шпиона для удаленного несанкционированного управления. Таким образом, злоумышленник может получить полный контроль над компьютером жертвы.

Более подробное описание данного интернет-червя помещено в Вирусной энциклопедии Касперского.