|
Несмотря на то, что пока неизвестный автор сетевой бяки решил схитрить и написал пять разных вариантов зараженных писем – разные заголовки, текст и названия прикрепленного файла, – узнать вирус довольно легко по размеру и формату: упакованный в формате FSG файл занимает 16208 байт, распакованный – 57856. Червь написан на языке Microsoft Visual C++, основная текстовая информация внутри файла зашифрована.
При запуске вирус копирует себя в каталог Windows/System32 с именем upu.exe и регистрируется в ключе автозагрузки системного реестра:
[HKEY_LOCAL_MACHINE/SOFT/WARE/Microsoft/Windows/CurrentVersion/Run] "NvClipRsv"=[путь к исполняемому файлу].
Он использует следующие имена:
AVP5.xcrack.exe (маскировка под "Касперского"!),
hx00def.exe, (мимо, мимо...),
ICQBomber.exe (я бы испугался такое открывать),
InternetOptimizer1.05b.exe (хм, он вам так оптимизирует Интернет, что мало не покажется...),
Shrek_2.exe (любители "Шрека", аккуратнее!),
UnNukeit9xNTICQ04noimageCrk.exe (вот еще, Nuke какой...),
YahooDBMails.exe (Yahoo здесь ни при чем, честное слово!).
Помимо этих действий червь создает уникальный идентификатор "Expletus" для определения своего присутствия в системе.
Худо то, что I-Worm.Plexus.a умеет по-свойски обращаться, например, с антивирусной программой "Лаборатории Касперского". Он противодействует обновлению антивирусных баз программы, для чего заменяет содержимое файла "hosts" в каталоге Windows "Windows/System32/drivers/etc/hosts" следующими данными:
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com.
Бороться с этой гадостью не просто, а очень просто. Не следует открывать незнакомые письма с заголовками "RE: order", "For you", "Hi, Mike" (особенно если вас зовут Наташа или Сигизмунд), "Good offer.", "RE:".
Не стоит, "my darling :)" покупаться на обещания какой-то "твоей Liz'ы", которая предлагает тебе посмотреть ее "new screensaver". Уверяю, ничего хорошего там нет. Разве вы "asked" какого-то незнакомого доброхота по поводу "archive with those information"?! Лучше сразу нажать на Delete, а то случится то, что обещано в постскриптуме письма: "Don't forget my fee ;)". Вы же помните, где бывает бесплатный сыр, и вряд ли купитесь на предложение заполучить "full base of accounts with passwords of mail server yahoo.com". Ну, и так далее. Наше благоразумие – залог спокойной сетевой жизни.