Тревога: I-Worm.Goner

«Лаборатория Касперского», ведущий российский разработчик систем информационной безопасности, предупреждает об обнаружении нового Интернет-червя I-Worm.Goner. На данный момент уже получено несколько сообщений о случаях заражения компьютеров пользователей данной вредоносной программой.

Для активизации «Goner» пользователь должен самостоятельно запустить файл-носитель червя (GONE.SCR), после чего начинается процедура внедрения вредоносного кода на компьютер жертвы. Для этого «Goner» записывает свою копию в системный каталог Windows под тем же именем (GONE.SCR) и регистрирует этот файл в секции автозагрузки системного реестра Windows. Таким образом, червь автоматически запускается при каждой перезагрузке операционной системы.

Затем «Goner» начинает процедуру распространения по сети Интернет. Для этого одновременно используются два канала передачи данных: электронная почта и популярный Интернет-пейджер ICQ.
Для распространения по электронной почте червь получает доступ к почтовой программе Microsoft Outlook, создает письмо, содержащее зараженный файл GONE.SCR и незаметно для пользователя рассылает его по всем получателям из адресной книги Outlook. Рассылаемые сообщения выглядят следующим образом:

После этого последовательно выводятся следующие окна:

«Goner» также пытается рассылать свои копии при помощи Интернет-пейджера ICQ. Для этого он постоянно отслеживает список активных (online) пользователей и периодически пытается передать им файл-носитель червя. Для сокрытия своего присутствия в системе и несанкционированной работы с ICQ «Goner» постоянно сканирует имена вновь появившихся окон и закрывает служебные окна ICQ.

Помимо распространения по Интернет червь также проводит атаку на IRC-канал #pentagonex через сервер twisted.ma.us.dal.net. Для достижения этой цели на зараженном компьютере незаметно запускается вредоносная скрипт-программа, которая с помощью клиента mIRC регулярно создает в этом канале пользователей со случайными именами. В некоторых случаях это может привести к перегрузке сервиса и безусловно нервирует других участников IRC-канала.

«Мы считаем, что эпидемия «Goner» скоро пойдет на убыль, — комментирует Денис Зенкин, руководитель информационной службы «Лаборатории Касперского», — Каждый раз в случае обнаружения новой вредоносной программы в первые часы наблюдается всплеск ее активности, которая через 2-3 дня постепенно затухает. Этот червь не использует нестандартных методов проникновения на компьютеры, поэтому, скорее всего, его судьба будет развиваться именно по такому сценарию».

Процедуры защиты от «Goner» уже добавлены в очередное обновление базы данных Антивируса Касперского.

Более подробное описание червя доступно в Вирусной Энциклопедии Касперского.