Новая мутация Kelvir

Сегодня мы обнаружили новую разновидность червя семейства IM-Worm.Win32.Kelvir — она получила версию Kelvir.k. Как обычно, Kelvir распространяется с ботом, который мы детектим как Backdoor.Win32.Rbot.gen.

Новый вариант Kelvir использует любопытный метод социального инжиниринга: вместо отправки ссылки на pif- или scr-файл, червь рассылает ссылку на файл с расширением php.

Обработчик php-файлов позволяет добавлять к ним любые цифры и буквы — в виде запросов, после символа «?». Именно это делает Kelvir.k — указывает после php-файла электронный адрес пользователя MSNM.

Например:

Email пользователя №1: some@thing.qqq
Email пользователя №2: other@thing.zzz

Пользователь №1 получает ссылку, которая выглядит следующим образом:
http://www.[edited].us/[edited]/pictures.php?email=some@thing.qqq

Пользователь №2 получает ссылку, которая выглядит следующим образом:
http://www.[edited].us/[edited]/pictures.php?email=other@thing.zzz.

Когда пользователь щелкает по ссылке, ему выдается предложение запустить или сохранить файл. Хотелось бы надеяться, что на этом этапе большинство пользователей заподозрят неладное и не станут сразу запускать этот файл.

Однако, как только пользователь щелкает по ссылке, злоумышленники получают адрес его электронной почты. То есть, адрес попадает в спамерские базы даже если сам червь так и остается не активированным.

Вызвана ли эта новая тактика сбора адресов появившимися в MSNM 7 защитными функциями? Не думаю. Пока писался этот текст, мы обнаружили перепакованную версию Kelvir.e. А Kelvir.e для своего размножения использует ссылку на scr-файлы, которые не фильтруются MSNM 7.

Использование социальной инженерии заставляет предположить, что пользователи интернет-пейджеров стали внимательнее относиться к получаемым по ним ссылкам, и создатели подобных червей вынуждены искать пути повышения эффективности механизмов размножения своих творений.