В сети обнаружен интернет-червь «Cult.b», который представляет собой приложение Windows (PE EXE-файл) размером около 16K в неупакованном виде или 9K, если упакован UPX (обнаружены оба варианта червя) и распространяется через интернет в виде файлов, прикрепленных к зараженным письмам и через сеть обмена файлами Kazaa.
При запуске своего EXE-файла «Cult.b» копирует себя в системный каталог Windows с именем «wuauqmr.exe». Червь также создаёт файл «awqewqed.dll» в системном каталоге Windows и записывает в файл себя в кодировке MIME. Данный файл затем используется червём при рассылке писем.
Зараженные письма содержат поля:
Заголовок: Hi, I sent you an eCard from BlueMountain.com
Текст:
To view your eCard, open the attachment
If you have any comments or questions, please visit
http://www.bluemountain.com/customer/index.pd
Thanks for using BlueMountain.com.
Имя вложения:BlueMountaineCard.pif
«Cult.b» активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Червь создаёт в системном каталоге Windows подкаталог «jdfghtrg» и копирует себя туда с различными
именами, затем каталог «jdfghtrg» регистрируется как каталог обмена файлов сети Kazaa.
Помимо прочих «радостей», «Cult.b» организует DoS-атаку на два сервера: chat.planet.nl и
www.chat-planet.nl
Процедуры защиты от данной вредоносной программы уже добавлены в очередное обновление базы данных Антивируса Касперского®.
Более подробное описание «Cult.b» доступно в Вирусной Энциклопедии Касперского.
Червь «Cult.b» прикидывается почтовой открыткой от BlueMountain.com