Очередной вариант вируса «LoveLetter» маскируется под резюме
для найма на работу
«Лаборатория Касперского» сообщает об обнаружении очередного варианта
нашумевшего в мае этого года скрипт-вируса «LoveLetter».
«I-Worm.LoveLetter.bd»,
такое техническое название получил найденный вирус, обнаружен в диком виде.
На данный момент эксперты компании получили несколько сообщений о случаях заражения
в России и Швейцарии.
Вирус использует известный психологический прием, когда пользователю предлагается
ознакомиться с резюме, находящимся во вложенном файле RESUME.TXT.VBS, якобы
от Швейцарской Интернет компании, приглашающей на работу профессионального программиста.
После запуска зараженного файла вирус автоматически открывает текстовый редактор
Notepad (по умолчанию поставляется со всеми версиями операционной системы Windows)
где демонстрирует содержание резюме:
Knowledge Engineer, Zurich
Intelligente Agenten im Internet sammeln Informationen, erkluren Sachverhalte
[skipped]
im
Customer Service, navigieren im Web, beantworten Email Anfragen oder verkaufen
Produkte.
Одновременно с этим, незаметно для пользователя, вирус получает доступ к почтовой
программе Outlook и, подобно своему оригиналу — «LoveLetter», рассылает
свои копии (вместе с тем же вложенным резюме) по всем адресам из адресной книги
программы.
Отличительной особенностью вируса является его способность «докачивать»
дополнительные вредоносные компоненты из сети Интернет. Однако, это функция
активизируется только в случае, если на компьютере используется программа USB
PIN Объединенного банка Швейцарии «Union Bank of Switzerland» для
осуществления банковских операций через Интернет.
Абсолютно незаметно для пользователя вирус последовательно пытается соединиться
с одним из трех web сайтов, для того, чтобы загрузить троянскую программу. Эта
версия вируса пытается «скачать» файл HCHECK.EXE, в котором находится
«троянец» «Hooker». Он, в свою очередь, собирает на зараженном
компьютере всю информацию о пользователе, включая имя, фамилию, установленное
программное обеспечение, адреса, имена и пароли для входа в Интернет и др.,
а также полностью контролирует все нажатия клавиш на клавиатуре. Позднее, все
эти сведения отсылаются автору вируса на анонимный адрес электронной почты.
Необходимо заметить, что вирус «докачивает» троянскую компоненту
с web сайтов достаточно солидных организаций, которые вовремя не позаботились
о правильном разграничении прав доступа к своим ресурсам. Среди них — Мичиганский
государственный институт и Национальный институт здравоохранения США. По случайности,
на сайтах этих организаций открыт полный доступ как на запись, так и на чтение
файлов в публичной директории. Это дало автору вируса возможность использовать
их для своих криминальных целей.
Для предотвращения заражения данным вирусом пользователи ни в коем случае не
должны запускать вложенный файл RESUME.TXT.VBS, ровно как и другие подозрительные
файлы полученные из неизвестных источников, либо странные файлы от Ваших коллег
или знакомых.
Кроме того, «Лаборатория Касперского» настоятельно рекомендует установить
AVP Script Checker. Эта программа
не требует никаких дополнений антивирусной базы и, в то же время, эффективно
блокирует действие скрипт-вирусов, в том числе семейства «LoveLetter».
«Script Checker является уникальным инструментом перехвата скрипт-вирусов
непосредственно в памяти компьютера. Кроме того, в него внедрен не имеющий аналогов
в мире эвристический механизм защиты от неизвестных вирусов. Благодаря этому,
программа успешно обнаруживает все разновидности «Любовных писем»,
— комментирует Евгений Касперский, руководитель антивирусных исследований «Лаборатории
Касперского».
Процедуры удаления вируса уже добавлены в очередное ежедневное обновление
антивирусной базы «Антивируса Касперского».
Осторожно! Резюме!