Многие наши читатели сегодня с утра стали свидетелями кошмарного потока хлама, свалившегося в их ящики. Судя по своим собственным впечатлениям могу сказать, что масштабы нынешней вирусной эпидемии не идут ни в какое сравнение ни с одной предыдущей.
Виной всему – новая модификация почтового червя, Mimail.Q. Вот какие подробности о нем сегодня сообщила "Лаборатория Касперского":
"Mimail.Q"... отличается криптографической защитой от антивирусов и уже вызвала отдельные случаи заражения среди пользователей. "Лаборатория Касперского" прогнозирует расширение эпидемии в ближайшие дни и рекомендует пользователям немедленно обновить антивирусную программу.
"Mimail.Q" распространяется через электронную почту в письмах разнообразного содержания (несколько десятков вариантов) и произвольными названиями вложенных файлов. Червь состоит из двух частей: "дроппера" (модуль установки основной части) и носителя (основная часть).
Если пользователь имел неосторожность запустить файл, вложенный в зараженное письмо, то "дроппер" выводит на экран окно с ложным сообщением об ошибке, копирует себя в каталог Windows под именем SYS32.EXE и регистрирует в ключе автозапуска системного реестра. После этого распаковывает основную часть червя (файл OUTLOOK.EXE) и запускает ее на выполнение.
Важным отличием "Mimail.Q" является использование алгоритмов криптографии для защиты от антивирусов (полиморфность). При каждой перезагрузке зараженного компьютера червь меняет ключ шифрования таким образом, что рассылаемые копии вредоносной программы каждый раз выглядят по-разному. Это, в свою очередь, требует от установленного антивируса функции дешифрации файлов.
Основная часть червя осуществляет сразу несколько функций. Во-первых, рассылку копий "Mimail.Q". Для этого червь сканирует содержимое диска и считывает из них электронные адреса. Далее по ним проводится рассылка зараженных писем с использованием встроенного почтового механизма.
Во-вторых, основная часть открывает злоумышленникам лазейку на зараженный компьютер, используя порты 6667, 3000, 80, 1433 и 1434. Через эти порты червь получает команды от своих "хозяев" и отправляет данные о выполнении команд на анонимные почтовые ящики публичных e-mail систем.
В-третьих, "Mimail.Q", подобно предыдущим версиям, собирает информацию об установленных на компьютере счетах платежных систем PayPal и E-Gold и отсылает коды доступа к ним на те же почтовые ящики.
Наконец, в коде червя содержатся угрозы в адрес публичных почтовых систем в случае закрытия используемых "Mimail.Q" ящиков: *** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS´ed in next version. WARNING: centrum.cz will be DDoS´ed in next versions, coz they have closed my mimail-email account. Who next? ***
Процедуры защиты от Mimail.Q с использованием дешифрации уже добавлены в базу данных Антивируса Касперского.
Вот такие новости. Помимо того, что сейчас самое время обновить базу своей антивирусной программы, помните, что если собираетесь писать ответ на оскорбления тому, чей e-mail видите в поле from, лучше перед этим внимательно просмотрите заголовки. Вполне возможно, что вы напишете не по адресу и лишь усилите захламление Сети.