«Cuerpo»: Червь-невидимка с усовершенствованной технологией распространения

«Лаборатория Касперского» сообщает об обнаружении нового полиморфного Интернет-червя «Cuerpo». Компания уже получила несколько сообщений о случаях заражения данной вредоносной программой.

Важно отметить, что благодаря интегрированной технологии перехвата скрипт-вирусов «Script Checker» Антивирус Касперского эффективно блокирует атаки «Cuervo» без дополнительных обновлений базы данных.

«Cuerpo» заражает только компьютеры под управлением операционной системы MS Windows 95/98/ME с установленным Internet Explorer 5.0. Червь доставляется на компьютер в сообщениях электронной почты, которые не имеют постоянных признаков (тема, имя вложенного файла, тело письма). Кроме того, программный код «Cuerpo» обладает полиморфными свойствами и также не имеет постоянного вида.

Код вредоносной программы содержится одновременно в двух частях зараженного письма: невидимой подписи (в виде HTML-скрипта) и вложенном файле. Оба варианта червя используют хорошо известную брешь в системе безопасности Internet Explorer (Scriptlet.TypeLib). В случае, если на компьютере не установлена «заплатка», устраняющая данную брешь, то первый вариант «Cuerpo» проникает в компьютер непосредственно в момент чтения письма. Такой метод ранее использовался Интернет-червями «KakWorm», «BubbleBoy» и рядом других. Второй вариант червя активизируется только если пользователь собственноручно запустит вложенный файл.

Будучи запущенным, червь инициирует процедуру внедрения в систему и распространения. Главная особенность «Cuerpo» — использование сразу двух способов массовой рассылки с зараженных компьютеров. Во-первых, подобно другим Интернет-червям, он получает доступ к почтовой программе Outlook и отсылает свои копии по электронной почте. Во-вторых, он ищет на доступных дисках почтовые базы данных, собирает найденные в них e-mail адреса и отправляет их стандартным HTTP-запросом на удаленный Web-сайт. Там пакет автоматически обрабатывается и по всем найденным адресам направляется еще одна копия «Cuerpo». На данный момент вредоносный Web-сайт еще функционировал, но «Лаборатория Касперского» принимает меры к его скорейшему закрытию.

Среди других побочных действия червя следует отметить изменение на зараженных компьютерах стартового адреса Internet Explorer на пустую страницу. Через 4 дня стартовый адрес снова меняется на «http://www.freedonation.com».

Более подробная информация о «Cuerpo» доступна в Вирусной Энциклопедии Касперского.

Вы можете загрузить «заплатку» для системы безопасности Internet Explorer с сайта Microsoft.