«Homepage» — обыкновенный интернет-червь

«Лаборатория Касперского» предупреждает пользователей об обнаружении нового Интернет-червя «Homepage», уже вызвавшего массовую эпидемию по всему миру. В течение последних часов служба технической поддержки компании получила сотни сообщений о фактах проникновения червя на компьютеры пользователей.

«Homepage» написан на скрипт-языке Visual Basic Script (VBS) и работоспособен только в операционных системах с установленным обработчиком скрипт-программ Windows Scripting Host (в Windows 98, Windows2000 он установлен по умолчанию). В обратном случае, файл-носитель червя просто не сможет быть выполнен.

Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в ее адресной книге. В результате, пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Главной отличительной чертой червя является то, что его код зашифрован, для того чтобы избежать обнаружения эвристическими анализаторами.

Рассылаемые червем письма имеют следующий вид:

При активизации (если пользователь открывает прикрепленный файл) червь получает доступ к функциям Microsoft Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше.

После массовой рассылки писем «Homepage», чтобы не вызвать подозрений пользователя, действительно, как и обещано в тексте сообщения, открывает один из четырех порнографических Web-сайтов, адреса которых содержатся в коде червя.

«Homepage» является очередным вредоносным кодом, использующим для внедрения примитивный метод социального инжиниринга и не представляет опасности для тех, кто строго следует правилам «компьютерной гигиены». Под ударом оказались лишь те пользователи, которые, несмотря на многочисленные предупреждения, до сих пор позволяют себе роскошь запускать файлы сомнительного содержания на своих компьютерах», — комментирует Денис Зенкин, руководитель информационной службы «Лаборатории Касперского.

Процедуры обнаружения и удаления Интернет-червя «Homepage» уже добавлены в базу данных Антивируса Касперского.