Обнаружена новая версия сетевого червя «Tanatos.b» (aka Bugbear.b)
«Лаборатория Касперского» сообщает об обнаружении новой разновидности сетевого червя «Tanatos»: Tanatos.b (aka Bugbear.b). Данная версия вредоносной программы обладает рядом опасных функций. В частности, она способна заражать исполняемые файлы многих программ, хранящихся на жестком диске, а также спровоцировать утечку конфиденциальной информации с зараженного компьютера. В настоящий момент уже зарегистрированы многочисленные случаи заражения.
Интернет-червь Tanatos.b распространяется по электронной почте как файл-вложение в зараженном письме. При этом письмо может иметь различные тему, тело письма и название вложения. Активизация вредоносной программы происходит при запуске файла-носителя, после чего червь заражает компьютер и запускает процедуру распространения. Для запуска файла-вирусоносителя используются несколько способов: автоматически, через IFRAME брешь в системе безопасности Internet Explorer, при помощи пользователя, через локальные сети.
При установке Tanatos.b копирует себя под случайным именем в каталог автозапуска программ, создает свои файлы в системной директории Windows, а также копирует себя в каталог Windows и директорию временных файлов.
Затем червь начинает процедуры распространения, используя встроенный SMTP-движок. Для рассылки по электронной почте Tanatos.b ищет новые адреса, сканируя на доступных дисках файлы со следующими расширениями: *.ODS, INBOX.*, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX.
Данная версия сетевого червя обладает несколькими опасными функциями. Tanatos.b заражает исполняемые файлы операционной системы Windows. В списке объектов, которые заражает Tanatos.b — также исполняемые файлы многих популярных программ: Outlook Express, Internet Explorer, архиватора WinZip, системы файлового обмена KaZaA, систем интернет-пейджинга ICQ и MSN Messenger, протоколов передачи данных FTP и CuteFTP, программ ACDSee, Adobe Acrobat, Adobe Acrobat Reader, Windows Media Player и других.
Кроме того, в данной версии сетевого червя заложен потенциал backdoor-программы, позволяющий вирусописателю получить управление над зараженной машиной и осуществить доступ к конфиденциальной информации. Для реализации своей бекдор-функции червь открывает на зараженном компьютере порт 1080. Через этот порт он может осуществлять следующие действия:
- передавать информацию о содержимом диска
- копировать, запускать, удалять файлы
- сообщать об активных приложениях, закрывать их
- загружать файлы с удаленных компьютеров, пересылать вирусописателю информацию от ‘клавиатурного жучка’
- устанавливать http-сервер
Напомним, что первая версия сетевого червя Tanatos была обнаружена в сентябре 2002 года. Тогда Tanatos вызвал многочисленные случаи заражения во всем мире. Червь сочетал в себе функции сетевого червя и ‘троянца’, что делало ее исключительно опасной программой, допускающей утечку конфиденциальной информации.
Новая версия вредоносной программы представляет собой исполняемый файл Windows размером около 72 килобайт (упакован утилитой сжатия UPX и дополнительно зашифрован), написанный на языке программирования Microsoft Visual C++.
Более подробная информация о сетевом черве Tanatos.b доступна в Вирусной Энциклопедии Касперского.
Защита от данной вредоносной программы уже добавлена в базу данных Антивируса Касперского®.
Червям свойственно возвращаться