Именно под таким лозунгом началось утро понедельника на рабочих местах тех пользователей, которые страдают повышенным любопытством по отношению к аттачментам в незнакомых письмах. Вирусописатели не дремлют!
"
Лаборатория Касперского" распространила сообщение о том, что еще два вируса развили бурную активность в сети с началом рабочей недели.
Первый - уже знакомый нам Sexer, в нынешней ипостаси получивший название Sexer.d. Теперь червь решил предстать перед неискушенными пользователями в виде службы технической поддержки корпорации Microsoft. Даже email отправителя выглядит "по-настоящему": support@microsoft.com. И предлагает-то червь обновить Windows Media Player - какая забота о пользователе - доставка прямо в компьютер :).
В теле письма можно прочесть следующее послание:
"Enjoy fast and flexible music and video playback with Microsoft Windows Media Player 9 Series.
Over 120 new features, including Fast Streaming, quicker startup, and smart jukebox features make this the best Player yet."И ненавязчиво в аттаче лежит файлик WMPUpdate.exe. Тут бы и задуматься пользователям: а с чего бы такой крупной корпорации рассылать, не побоюсь этого слова, спам по электронным ящикам пользователей и просто удалить письмо. Ан нет, находятся еще индивидуумы, которые охотно запускают подобные программы и становятся жертвами вирусов. Как раз на таких легковерных личностей и рассчитывают злоумышленники - и в очередной раз не ошибаются.
А червь тем временем прописывает себя по адресу "Program Files\Common Files\System" под "своим собственным" именем (WMPUpdate.exe) и регистрируется в системном реестре (в ключе автозапуска). Далее, по уже отлаженной схеме, Sexer.d создает файл WMPUpdate.bmp, который становится рисунком Рабочего стола, и пользователь может лицезреть агитацию, аналогичную той, что была использована в самом первом черве Sexer.a. Все остальные "червивые" действия совпадают с предыдущими версиями - так что ваши собеседники по электронной почте тоже могут получить подобный подарок от "Майкрософт".
Второй червь, почтивший своим присутствием почтовые ящики, носит имя Sober, и распространяется по электронной почте. Опознать червя визуально гораздо сложнее, потому что заголовки писем могут быть на любом языке, также как имя файла и его расширение. Вот какой пример зараженного письма приводится на сайте "Лаборатории Касперского":
Тема письма:
New Sobig-Worm variation (please read)
Текст письма:
New Sobig variation in the net.
You must change any settings before the worm control your computer! But, read the official statement from Norton Anti Virus!
Имя вложенного файла:
NAV.pif
При запуске файла выдается сообщение об "ошибке" запуска: File not complete!
При этом Sober трижды "клонирует" себя под разными именами и прописывается в системном каталоге Windows, регистрируясь также в ключе автозапуска. Затем он ищет на компьютере файлы, которые могут содержать email-адреса, и втайне от пользователя рассылается по ним.
Интересен также тот факт, что в теле червя есть строки, в которых автор Sober'a выражает свое восхищение автором Sobig'a - еще одного Интернет-червя. Интересно, это - одно и то же лицо или же так называемый "подражатель"?
Как бы то ни было, мы еще раз призываем вас не открывать (а по возможности, и не получать) незнакомые письма, не сохранять на свой компьютер вложенные файлы из подобных писем, а уж тем более - не запускать их.
Помните, что вирусописатели - не дремлют!