Oбнаружен новый охотник на "Mydoom"

        "Лаборатория Касперского" предупреждает об обнаружении новой вирусной эпидемии, вызванной четвертой модификацией сетевого червя "Netsky" – "Netsky.D" (Также известен как "Moodown.D"). На данный момент уже получено несколько десятков сообщений о случаях заражения компьютеров. В этой связи "Лаборатория Касперского" рекомендует пользователям срочно обновить антивирусные программы и ознакомиться с более подробной информацией о данной вредоносной программе.
        "Netsky.D" распространяется через письма электронной почты. Зараженные сообщения могут иметь самый разный внешний вид: червь случайным образом выбирает заголовок из 25 вариантов, текст письма (6 вариантов), имя вложенного файла (21 вариант).
        Вложенный файл имеет фиктивное расширение .PIF, в действительности представляя собой обычный EXE-программу (размер около 17Кб). Если пользователь имел неосторожность запустить этот файл, то червь устанавливает себя в систему и запускает процедуры распространения.
        При установке "Netsky.D" копирует себя с именем WINLOGON.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра. Таким образом он обеспечивает свою активизацию при каждой загрузке операционной системы.
        Для дальнейшей рассылки червь сканирует файлы наиболее распространенных интернет-приложений (например, WAB, EML, DOC, HTML, MSG и др.), считывает из них адреса электронной почты и незаметно для владельца компьютера отсылает на них свои копии. Важно отметить, что рассылка писем осуществляется в обход установленного на компьютере почтового клиента, но с использованием встроенной SMTP-подпрограммы. С ее помощью "Netsky.D" распространяется через 23 прокси-сервера, расположенных в разных концах мира.
        Червь имеет ряд побочных действий. В частности, он удаляет из системного реестра ключи другого сетевого червя – "Mydoom", а также пытается нарушить работу Антивируса Касперского.