Новое пришествие вируса SouthPark

Об очередном пришествии вируса-червя SouthPark предупреждают сразу несколько антивирусных компаний. По сообщению Computer Associates вирус был замечен в «диком» виде в Австрии.

Вирус-червь SouthPark впервые появился в марте этого года и является новым вариантом ранее обнаруженного червя PrettyPark.

SouthPark распространяется по электронной почте, используя Microsoft Outlook. Заражению подвержены компьютеры, на которых установлены следующие операционные системы: Windows 95, Windows 98, Windows NT 4.0 или Windows 2000.

Червь прибывает по e-mail в виде прикрепленного файла к письму, написанному на немецком языке, тема письма:

Servus Alter!

Тело письма содержит текст:

Hier ist das Spiel, das du unbedingt wolltest!;-)
(Здесь есть игра, которую ты так отчаянно искал)

Прикрепленный файл имеет имя South Park.exe.
Вирус написан на Visual Basic 5 и для заражения необходимо, чтобы в системе присутствовала необходимая библиотека — MSVBVM50.DLL. Эта DLL обычно располагается в системном каталоге Windows. Даже если исполняемый файл будет запущен, видимых следов деятельности вируса пользователь может и не обнаружить. Однако, червь, используя MS Outlook, рассылает себя по всем адресам, обнаруженным на зараженном компьтере в адресной книге Outlook. Червь также создает свои копии с именем South Park.exe в корневых каталогах на каждом жестком диске и копирует себя в C:WinGuard.exe и вносит необходимые изменения в системный регистр, чтобы запускаться при каждой следующей загрузке системы. Дополнительно вирус создает следующие файлы:

C:Windowsstart.dll
C:Windowssystem.dll

В файле Windowssystem.dll хранится дата инфицирования, а в Windowsstart.dll накапливаются данные о количестве перезапусков системы, начиная с момента инфицирования.

После первого перезапуска Windows создается файл C:WindowsSwapfile.vxd. Если каталога C:Windows не существует, то он (каталог) будет создан все равно. Файл Swapfile.vxd заполняется мусором и его размер постоянно растет, так что в конце концов свободного пространства жестком диске не остается.

Все антивирусные компании, предупреждающие о данном вирусе, отмечают, что червь не получил пока широкого распространения.