Червям свойственно возвращаться

Обнаружена новая версия сетевого червя «Tanatos.b» (aka Bugbear.b)

«Лаборатория Касперского» сообщает об обнаружении новой разновидности сетевого червя «Tanatos»: Tanatos.b (aka Bugbear.b). Данная версия вредоносной программы обладает рядом опасных функций. В частности, она способна заражать исполняемые файлы многих программ, хранящихся на жестком диске, а также спровоцировать утечку конфиденциальной информации с зараженного компьютера. В настоящий момент уже зарегистрированы многочисленные случаи заражения.

Интернет-червь Tanatos.b распространяется по электронной почте как файл-вложение в зараженном письме. При этом письмо может иметь различные тему, тело письма и название вложения. Активизация вредоносной программы происходит при запуске файла-носителя, после чего червь заражает компьютер и запускает процедуру распространения. Для запуска файла-вирусоносителя используются несколько способов: автоматически, через IFRAME брешь в системе безопасности Internet Explorer, при помощи пользователя, через локальные сети.

При установке Tanatos.b копирует себя под случайным именем в каталог автозапуска программ, создает свои файлы в системной директории Windows, а также копирует себя в каталог Windows и директорию временных файлов.

Затем червь начинает процедуры распространения, используя встроенный SMTP-движок. Для рассылки по электронной почте Tanatos.b ищет новые адреса, сканируя на доступных дисках файлы со следующими расширениями: *.ODS, INBOX.*, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX.

Данная версия сетевого червя обладает несколькими опасными функциями. Tanatos.b заражает исполняемые файлы операционной системы Windows. В списке объектов, которые заражает Tanatos.b — также исполняемые файлы многих популярных программ: Outlook Express, Internet Explorer, архиватора WinZip, системы файлового обмена KaZaA, систем интернет-пейджинга ICQ и MSN Messenger, протоколов передачи данных FTP и CuteFTP, программ ACDSee, Adobe Acrobat, Adobe Acrobat Reader, Windows Media Player и других.

Кроме того, в данной версии сетевого червя заложен потенциал backdoor-программы, позволяющий вирусописателю получить управление над зараженной машиной и осуществить доступ к конфиденциальной информации. Для реализации своей бекдор-функции червь открывает на зараженном компьютере порт 1080. Через этот порт он может осуществлять следующие действия:

• передавать информацию о содержимом диска
• копировать, запускать, удалять файлы
• сообщать об активных приложениях, закрывать их
• загружать файлы с удаленных компьютеров, пересылать вирусописателю информацию от ‘клавиатурного жучка’
• устанавливать http-сервер

Напомним, что первая версия сетевого червя Tanatos была обнаружена в сентябре 2002 года. Тогда Tanatos вызвал многочисленные случаи заражения во всем мире. Червь сочетал в себе функции сетевого червя и ‘троянца’, что делало ее исключительно опасной программой, допускающей утечку конфиденциальной информации.

Новая версия вредоносной программы представляет собой исполняемый файл Windows размером около 72 килобайт (упакован утилитой сжатия UPX и дополнительно зашифрован), написанный на языке программирования Microsoft Visual C++.

Более подробная информация о сетевом черве Tanatos.b доступна в Вирусной Энциклопедии Касперского.

Защита от данной вредоносной программы уже добавлена в базу данных Антивируса Касперского®.