Почтовые сервера уже не справляются с лавинообразно выросшей нагрузкой
Минувшей ночью в Рунете отмечено появление вируса I-Worm.Novarg. В самые кратчайшие сроки вирус заразил тысячи компьютеров. Специалисты уже говорят о крупнейшей за последние два года вирусной эпидемии. При этом сам вирус по сути своей является вполне заурядным "сетевым червем", эксплуатирующим излишнюю доверчивость неопытных пользователей.
Вот что сказано о нем на сайте Viruslist.com, принадлежащем Лаборатории Касперского:
Вирус-червь. Также известен как Mydoom.
Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB. Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайт www.sco.com 1 февраля 2004 года. При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому серверу получателя. Для обнаружения адресов электронной почты, по которым будет вестись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения:
asp dbx tbb htm sht php adb pl wab txt
и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, оканчивающиеся на ".edu".
Содержание зараженных писем:
Адрес отправителя:
[произвольный]
Тема письма выбирается произвольно из списка:
test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error
Тело письма выбирается произвольно из списка:
test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":
document readme doc text file data test message body
Вложения могут иметь одно из расширений:
pif scr exe cmd bat
Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.
* * * Пожалуйста, последите за своевременным обновлением антивирусных баз и установкой всех необходимых "заплаток" к операционной системе. И ни в коем случае не запускайте файлы, приложенные к письмам неизвестного происхождения.
