I-Worm.NetSky.q

«Лаборатория Касперского» сообщает об учащении случаев заражения новой версией почтового червя I-Worm.NetSky.q. Данная версия была обнаружена 21 марта, однако лишь теперь уровень её распространенности превысили критическую отметку.

Червь распространяется через интернет в виде вложений в зараженные электронные письма. Также червь обладает функцией размножения через P2P-сети и доступные HTTP и FTP каталоги.

Основной компонент червя представляет собой PE EXE-файл, размером около 29KB. Червь упакован FSG, размер распакованного файла около 40KB.

Характеристики зараженных писем

Зараженные письма формируются из произвольных комбинаций:

Адрес отправителя:

Выбирается произвольно из числа найденных на зараженной машине.

Тема письма:

или произвольный набор символов.

Текст письма:

Также червь может дописывать в конец зараженного письма ложное сообщение о том, что данное письмо было проверено каким-либо антивирусом:

Имя вложения имеет множество различных вариантов. Зачастую это файлы с двойным расширением, где первое «doc» или «txt», а второе выбирается из списка:

Также червь способен посылать свои копии в виде ZIP-архивов.

Червь не посылает себя на адреса, в которых имеются подстроки:

Червь может посылать письма, содержащие IFRAME Exploit (аналогично червям Klez.h или Swen). В таком случае, при просмотре письма из уязвимого почтового клиента, произойдет автоматический запуск вложенного файла червя.

Процедуры детектирования и удаления нового червя были добавлены в базу данных «Антивируса Касперского» еще в момент его обнаружения.

Подробное описание I-Worm.NetSky.q будет доступно в «Вирусной энциклопедии» в ближайшее время.