Лаборатория Касперского: «Интернет-червь «Курникова» не опасен для тех, кто использует Антивирус Касперского»

«Лаборатория Касперского» также сообщает об обнаружении в «диком виде» новой модификации интернет-червя «Lee», более известной как «Курникова». Червь уже успел поразить ряд компьютерных систем в США и Восточной Азии. Вместе с тем, он не представляет никакой опасности для пользователей Антивируса Касперского: благодаря интегрированной в программу уникальной технологии эвристического анализа программного кода, эта вредоносная программа обнаруживается без каких-либо дополнительных обновлений антивирусной базы.

Методы распространения и работы данного червя практически идентичны печально известному «ILOVEYOU», вызвавшему глобальную эпидемию в мае прошлого года. «Курникова» создан при помощи генератора вирусов «[K]Alamar’s Vbs Worms Creator», позволяющему даже начинающим пользователям выпускать свои собственные вирусы. Червь написан на языке программирования Visual Basic Script (VBS), зашифрован и распространяется по сети Интернет при помощи сообщений электронной почты, содержащих вложенный файл «AnnaKournikova.jpg.vbs».

После запуска файла червь регистрирует себя в системном реестре Windows, получает доступ к адресной книге почтовой программы MS Outlook и незаметно для пользователя рассылает свои копии по всем найденным адресам электронной почты. Во избежание повторной рассылки червь создает дополнительный ключ в системном реестре:

HKEY_CURRENT_USERSoftwareOnTheFlymailed

Червь не содержит каких-либо опасных побочных действий. Помимо массовой рассылки зараженных файлов, перегружающей корпоративные и персональные каналы передачи данных, 26 января «Курникова» запускает Интернет-броузер и открывает голландский Web сайт:

Подобно «ILOVEYOU» данный червь использует уловку с «двойным» расширением файла-носителя вируса: «JPG.VBS». Присутствие ложного расширения «JPG» в имени файла преследует цель дезориентировать пользователя, уверенного в том, что программы такого типа не могут содержать вирусы. Однако при запуске файла он передается на обработку процессору скрипт-программ Windows Scripting Host, который и выполняет код червя.

Предотвращение заражения

В целях недопущения проникновения червя «Лаборатория Касперского» советует пользователям ни в коем случае не запускать файл «AnnaKournikova.jpg.vbs». А также рекомендует системным администраторам настроить фильтры входящей и исходящей почтовой корреспонденции таким образом, чтобы блокировать пересылку электронных сообщений, содержащих такие файлы.

Методы удаления

Для удаления из системы данного Интернет-червя необходимо выполнить следующие шаги:

1) удалить файл «AnnaKournikova.jpg.vbs» из системного каталога Windows;

2) стереть следующие ключи системного реестра Windows:

HKEY_CURRENT_USERSoftwareOnTheFly
HKEY_CURRENT_USERSoftwareOnTheFlymailed

Напомним, что данный Интернет-червь определяется «Антивирусом Касперского» по умолчанию и не требует никаких дополнений антивирусной базы.