Если и дальше продолжится почти ежедекадное появление новых вредоносных программ-вирусов, то такое название можно будет присвоить 2004 году без всяких оговорок.
Компания «Лаборатория Касперского» сообщила о новой троянской программе Xombe, рассылаемой по Интернету с использованием методологии спама. Этот вирус представляет собой утилиту с несанкционированным удаленным управлением, которая устанавливает специальную программу, выполняющую на зараженном компьютере получаемые извне задания. Функционально Xombe состоит из двух частей. Первая — загрузчик, файл размером 4 Кбайт. При его запуске происходит соединение через Интернет зараженного компьютера с одним из удаленных серверов и загрузка второй, основной части вируса. После установки «троянец» постоянно находится в памяти ПК и обращается на удаленный сайт через Интернет, откуда загружает файлы с заданиями для вредоносной программы, а по получении соответствующей команды исполняет их на данном компьютере, в том числе приложения, доступ к которым несанкционирован.
В «Лаборатории Касперского» проанализировали загрузчик Xombe, полученный по электронной почте с фальсифицированного адреса windowsupdate@microsoft. com под заголовком «Windows XP Service Pack 1 (Express) — Critical Update» и предлагавший установить обновление ОС Windows XP с соответствующим комментарием. Имя «троянца» WINXP_SP1.EXE. При анализе был обнаружен дополнительный модуль, проводящий с зараженных компьютеров распределенную DoS-атаку на сервер интернет-форума.
Процедура защиты от Xombe уже добавлена в БД «Антивируса Касперского» (www.viruslist.com).
Следующее сообщение касается почтового «червя» Mimail, точнее, его модификации Mimail.Q, распространяемой через почтовые отправления разнообразного содержания и с различными вложенными файлами. Как и Xmobe, данный «червь» состоит из двух частей: модуля установки основной части («дроппера») и ее носителя. В случае запуска пользователем вложенного файла зараженного письма «дроппер» выводит на экран окно с ложным сообщением об ошибке, копирует себя в каталог Windows под именем SYS32.EXE и регистрирует в ключе автозапуска системного реестра, после чего распаковывает основную часть «червя» (файл OUTLOOK.EXE) и запускает его на исполнение. Отличительной чертой Mimail.Q является его криптографическая защита от антивирусов (полиморфность): при каждой перезагрузке зараженного компьютера «червь» изменяет ключ шифрования, при этом рассылаемые копии вредоносной программы приобретают другой вид.
Основная часть этого вируса многофункциональна. Рассылка копий по электронным адресам, отсканированным с диска, производится с помощью встроенного почтового механизма. Затем основная часть программы открывает путь на зараженный ПК через порты 6667, 3000, 80, 1433 и 1434. По этому пути команды и результаты их исполнения передаются на анонимные почтовые ящики публичных электронных почтовых систем. Далее Mimail.Q подобно предыдущим версиям собирает информацию об установленных на ПК счетах платежных систем PayPal и E-Gold и отсылает по адресам упомянутых почтовых ящиков. Наконец, в коде «червя» содержится текст угрозы в отношении публичных почтовых систем в случае закрытия используемых ящиков.
Процедура защиты от этой программы уже размещена в БД «Антивируса Касперского», а более подробная информация о Mimail.Q имеется в Вирусной энциклопедии Касперского (www.viruslist.com/viruslist.html?id=144483761).
Еще одна маскировка под письма от Microsoft связана с появлением одновременно трех модификаций (J, K и L) известного «червя» Dumaru. Уникальность технологии создания программы и высокая скорость ее распространения породили значительную степень заражения ПК. Как утверждают в «Лаборатории Касперского», это «позволяет говорить о начале новой крупномасштабной эпидемии». Первая версия (www.viruslist.com/viruslist.html?id=2785428) была обнаружена в сентябре прошлого года. Полагают, что «оригинальный образец» был создан в России, а последние экземпляры, похоже, родом из Германии. Последние версии Dumaru содержат лишь незначительные внутренние технологические отличия. Главное, что их выделяет, — это многоэтапный способ распространения, происходящего с очень высокой скоростью. Первоначальное распространение осуществляется традиционно — с помощью рассылки электронного письма об обновлении якобы от Microsoft. На самом деле оно содержит троянскую программу UrlSpoof. При активации ссылки в письме на ПК получателя открывается веб-сайт, оформленный аналогично веб-сайту компании Microsoft. Более того, использована уязвимость браузера Internet Explorer, и в качестве адреса сайт показывает www.microsoft. com. В действительности же пользователю демонстрируется сайт с другим адресом, при посещении которого на зараженный ПК устанавливается носитель «червя» Dumaru, который в свою очередь приступает к рассылке собственных писем.
Как отмечает Евгений Касперский, «данная эпидемия в очередной раз демонстрирует тенденцию сращивания вирусных и спам-технологий».
Защита от новых версий Dumaru добавлена в БД «Антивируса Касперского».