В интернете – эпидемия почтового червя «средней тяжести»

В интернете зафиксирована очередная эпидемия «модернизированного» почтового червя «средней тяжести».

В конце минувшей недели «Лаборатория Касперского» зафиксировала появление новых модификаций вредоносной программы Email-Worm.Win32.Bagle: Email-Worm.Win32.Bagle.bz, .ca, .cb, .cc. «Вирусописателем» были обновлены механизмы работы всех компонентов вредоносной программы, обновлены ссылки, перепакованы и разосланы при помощи спам-рассылки старые версии данного червя.

Email-Worm.Win32.Bagle.cc - это вариант червя Bagle, в котором отсутствует функция саморазмножения, однако все прочие функции полностью соответствуют червям семейства Bagle. Он был разослан при помощи спам-рассылки. По своему функционалу практически повторяет версию Email-Worm.Win32.Bagle.bj и некоторые модификации из детекшена Email-Worm.Win32.Bagle.pac

Зараженные письма либо имеют пустое поле темы и не имеют тела письма, либо содержат произвольный текст и имя вложения. Тело червя прикреплено к письму в виде аттача — ZIP-файла размером около 18 КБ. Вложение может иметь следующее название:

«to_reduce_the_tax.zip»

Червь представляет собой PE EXE-файл. Упакован PEX. Размер в пакованом виде - примерно 36 КБ. После запуска червь открывает пустое окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).

При инсталляции червь создает в системном каталоге Windows файлы с именами «winshost.exe» и «wiwshost.exe». Затем червь регистрирует себя в ключах автозапуска системного реестра.

Червь выгружает из памяти системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.

Данная модификация червя самостоятельно не размножается. Она была разослана по спам-рассылке. Эксперты «Лаборатории Касперского» предупреждают пользователей интернета о том, что необходимо быть максимально осторожными при работе с электронной почтой.