Тревога: I-Worm.Updater

«Лаборатория Касперского» сообщает об обнаружении нового Интернет-червя I-Worm.Updater. На данный момент уже получено несколько сообщений о случаях заражения данной вредоносной программой.

«Updater» написан на языке программирования Visual Basic и представляет собой EXE-файл размером около 12 килобайт, упакованный утилитой сжатия UPX.

Червь распространяется по электронной почте. Для этого червь получает доступ к адресной книге почтовой программы Outlook и, незаметно для владельца компьютера, рассылает по всем найденным адресам зараженные письма.

Некоторые части письма не имеют постоянных внешних признаков.

Строка «Тема» состоит из четырех частей и случайным образом формируется из следующего списка:

Часть 1:
«Have you «, «You Should «, «Just «, «Why Not you «, «How to «, «Re: «, «Fwd : «, » «

Часть 2: «Check «, «Check out «, «Watch out «, «Open «, «Look at «
Часть 3: «this «, «my «, «For this «, «The «
Часть 4: «Picture», «Program», «Patch», «Nude pic», «Report», «Documment», «Quotation», «Transaction», «Bank Account», «WTC Tragedy», «Osama Vs Bush», «Account», «Private Pic»
Например: You Should Look at this Osama Vs Bush

Тело письма:

Hi:
This is the file you ask for, Please save it to disk and open this file,
it’s very important.

Вложенный файл-носитель червя может иметь имена:
«Setup.EXE», «install.exe», «Readme.exe», «Files.exe», «Picture.exe», «Quotation.Doc.exe», «Letter.Doc.exe», «Picture.jpg.exe»

«Updater» имеет опасную деструктивную функцию: червь уничтожает на диске все файлы с расширениями .EXE, .DOC и .VBS.

В ближайшее время «Лаборатория Касперского» сообщит более подробную информацию по данной вредоносной программе.
Процедуры защиты от Интернет-червя «Updater» уже добавлены в очередное обновление базы данных Антиивруса Касперского.