Снова ZippedFiles! Вторая волна эпидемии опасного Интернет-червя

Обнаружена новая разновидность ставшего печально известным в начале июня этого года Интернет-червя I-Worm.ZippedFiles. Ряд компаний из США уже сообщили о проникновении «червя» в их компьютерные системы.

Новая версия, I-Worm.ZippedFiles.Packed ничем не отличается от предыдущей кроме того, что вложенный файл, содержащий код червя, упакован программой сжатия Neolite.

Распространение

«Червь» незаметно для пользователя рассылает свои копии при помощи популярных почтовых программ Microsoft Outlook, Outlook Express и т.д. Зараженное сообщение электронной почты содержит вложенный зараженный файл
Адреса получателей этого письма «червь» «выдергивает» из полученных ранее и не прочитанных сообщений, находящихся в папке «Входящие» («InBox») на зараженном компьютере. Таким образом, опасное сообщение может прийти даже от хорошо знакомых людей.

При запуске вложенного файла ZIPPED_FILES.EXE на экране появляется предупреждающее окно диалога с сообщением о якобы произошедшей ошибке распаковки архива.

Внедрение

Внедряясь в систему, «червь» прописывает себя двумя путями. Или под именем EXPLORE.EXE в системный каталог Windows (c:windowssystem), или как _SETUP.EXE в каталоге Windows (c:windows). В обоих случаях «червь» добавляет запуск этих программ в конфигурационный файл WIN.INI (команда «run=»).

Обнаружение

«Червь» имеет одну характерную особенность, позволяющую легко узнать о его присутствии на компьютере. Данные о его работе присутствуют в списке задач Windows, вызываемом посредством нажатия комбинации клавиш Ctrl-Alt-Del.

Деструктивное действие

При запуске ZIPPED_FILES.EXE, «червь» просматривает диски от C: до Z: и уничтожает данные в файлах с расширениями DOC, XLS, PPT, ASM, C, HA. Уничтоженные данные восстановлению не подлежат.

Методы защиты

Для недопущения проникновения данного Интернет-червя на Ваш компьютер достаточно не запускать вложенный файл ZIPPED_FILES.EXE.

Техническое описание

Пользователи AntiViral Toolkit Pro (AVP) могут бесплатно получить внеочередное дополнение к антивирусной базе, содержащее процедуры обнаружения и удаления I-Worm.ZippedFiles.Packed.