Обнаружен новый интернет-червь "Fizzer". Помимо рассылки по электронной почте, данная вредоносная программа содержит процедуры рассылки через P2P-сеть KaZaA, клавиатурного "жучка" и троянца для удаленного управления зараженным компьютером.
"Fizzer" является классическим сетевым червем, распространяющимся по ресурсам интернета. Эта вредоносная программа доставляется на целевой компьютер в виде исполняемого файла и активизируется при его запуске. После этого на диске создаются 5 дополнительных файлов и модифицируется секция автозапуска программ системного реестра Windows для загрузки "Fizzer" при старте операционной системы.
Отличительной, но отнюдь не уникальной чертой этого червя является
многовекторность: он одинаково эффективно распространяется по электронной почте и через файлообменную сеть KaZaA. Для рассылки по e-mail "Fizzer" сканирует адресные книги Outlook и
Windows (Windows Address Book) или использует в качестве объекта атаки случайные адреса в крупнейших публичных почтовых системах, таких как hotmail.com и yahoo.com. После этого червь от имени владельца компьютера незаметно рассылает зараженные сообщения, которые могут иметь различные темы, тексты и имена вложенных файлов. Например: Тема: Re: I think you might find this amusing... Вложенный файл: Logan6.exe Текст: Let me know what you think of this...
"Fizzer" имеет ряд опасных побочных эффектов, которые могут спровоцировать утечку конфиденциальной информации с зараженного компьютера. Червь устанавливает клавиатурного "жучка", который
перехватывает и записывает в отдельный файл все нажатия клавиш. Для передачи этих и других данных в систему внедряется ackdoor-утилита (утилита несанкционированного удаленного управления), которая позволяет злоумышленникам незаметно контролировать компьютер через чат-каналы IRC и по протоколам HTTP и Telnet. Кроме того, червь регулярно соединяется с web-страницей на общедоступном сервере Geocities и пытается загрузить обновленную версию своих исполняемых модулей. Наконец, для предотвращения обнаружения, "Fizzer" сканирует память компьютера и закрывает активные процессы ряда наиболее популярных антивирусных программ.
Обнаружены сразу пять новых модификаций интернет-червя Lovgate, впервые обнаруженного в конце февраля 2003 г.
По своей сути новые модификации червя, получившие индексы "H", "I", "J", "K" и "L", ничем не отличаются от своих семи предшественников.
"Lovgate" распространяется по электронной почте и локальным сетям.Заражение происходит, только если пользователь самостоятельно запустит файл-носитель червя, присланный в виде вложения или скопированный на открытые сетевые ресурсы компьютера. В дополнение "Lovgate" устанавливает в зараженной системе программу-шпиона, которая позволяет злоумышленникам незаметно управлять компьютером, что может привести к утечке конфиденциальной информации.
За последние несколько дней в рейтинги наиболее распространенных вредоносных программ стремительно ворвались сразу несколько червей (Fizzer, Lovgate), использующие "дедовский" способ заражения через вложенные файлы.
Первые сообщения о случаях заражения "Lovgate" в Японии свидетельствуют, что вскоре эпидемия может захлестнуть другие части мира, прежде всего Европу и США. Копии червя наверняка уже ждут своего часа в почтовых ящиках неосторожных пользователей. С началом рабочего дня в других странах можно ожидать нового всплеска активности "Lovgate".
Необходимымо еще раз напомнить два главных правила компьютерной гигиены - регулярное обновление антивирусной программы и обязательная проверка всех входящих данных, особенно электронных писем.