Внимание! I-Worm.Sexer.b

«Лаборатория Касперского» сообщает о появлении новой версии обнаруженного неделю назад почтового червя I-Worm.Sexer. На этот раз вместо антирекламы одного из кандидатов на должность мэра Москвы, автор вируса решил устроить антирекламу самой «Лаборатории Касперского».

Как и первая версия, червь распространяется в качестве вложений в зараженные письма с темой «Утилита для выявления и удаления почтового червя I-Worm.Sexer».

Обратный адрес письма — support@kaspersky.com — утверждает, что оно якобы написано службой технической поддержки «Лаборатории Касперского».

Вложенный в письмо файл (собственно, сам червь) называется KAVUtil.exe и сопровождается следующим текстом:

В связи с появлением в Сети нового почтового червя I-Worm.Sexer предлагаем Вам утилиту для выявления и удаления этого червя из системы. Описание I-Worm.Sexer доступно в Вирусной Энциклопедии Касперского по адресу: http://www.viruslist.com/viruslist.html

Если пользователь запускает вложенный в письмо файл, Sexer.b копирует себя в папку «Program FilesCommon Filessystem» и регистрируется в ключе автозапуска системного реестра Windows, чтобы получать управление при каждом перезапуске операционной системы.

Затем червь создает в той же папке файл KAV.bmp и устанавливает его как заставку рабочего стола Windows:

«Лаборатория Касперского» призывает пользователей не попадаться на дешевые методы социального инжиниринга, используемые автором червя, и не пытаться запускать вложения из подобных писем.

Кроме того, компания напоминает, что её служба технической поддержки в соответствии со стандартами информационной безопасности никогда не рассылает исполняемые файлы.

Подробное описание I-Worm.Sexer.b можно прочитать в «Вирусной энциклопедии»:

• I-Worm.Sexer.b
  Интернет-червь. Распространяется через интернет в виде файла KAVUtil.exe, прикрепленного к зараженным письмам. Написан на языке Delphi, имеет размер около 310KB, упакован PKLite32 (размер распакованного файла — около 350KB)…

Данил Гридасов