Осторожно: новый червь Win32/Eira@mm

Немецкий сайт BlueMerlin-Security сообщает о появление нового червя Win32/Eira@mm. «Eira» написан на Visual Basic и рассылается по электронной почте.

Когда червь запускается, он выдает в отдельном окне следующее сообщение:

Welcome to Rocket Arena 3
This program will install Rocket Arena 3 into your Quake4 directory
It will also install the full version of Quake 4
Once install, you can play Rocket Arena 3 by launching it
will the icon on the StartMenu.

После этого червь создает соединение с сочетаемым с MAPI браузером и рассылает свои копии на все найденные на компьютере адреса.

Тема письма может содержать следующие фразы:

Something very special
I know you will like this
Yes, something I can share with you
Wait till you see this!
A brand new game! I hope you enjoy it

Тело письма:

Hey you, take a look at the attached file. You won’t believe your eyes when you open it!
You like games like Quake? You will enjoy this one.
Did you see the pictures of me and my battery operated boyfriend?
My best friend, This is something you have to see! Till next time
Is Internet that safe? Check it out

Прикреплённый файл:

setup.exe
honey.exe
quake4demo.exe

По окончании рассылки «Eira» уничтожает все копии разосланных писем и копирует названные файлы в папку Windows. Затем заводит папку c:eiram и копирует туда файл quake4demo.exe. Если на компьютере есть диск F:, то файл сохраняется и на него. Вслед за этим «Eira» создает ключ для автостарта в регистре Windows, которые нужен для того, чтобы червь загружался при каждом запуске системы.

Червь ищет успешно инфицированные и разосланные файлы с расширением ocx, exe, xls, doc, mdb, htm, html и txt и переписывает их следующим текстом:

You’ve didn’t protected your files well enough
Let this be a lesson! Never trust someone else
eiram 1999-200

Во избежание заражения червем Win32/Eira@mm рекомендуем посетить сайт производителя вашего вирусного сканера или произвести автоматический апдейт.