W32/Fever: помогите, кто чем может, не сочтите за труд…

Две антивирусные компании сообщили о появлении нового вируса-червя под названием W32/Fever, заражающего системы под управлением Win32. Червь работоспособен под Windows 95/98/Me, Windows NT и Windows 2000.

По сообщению Sophos червь копирует себя в системный каталог Windows в виде файла с именем «gp32.exe» и создает в системном реестре ключ:

HKLMSoftwareMicrosoftWindows
CurrentVersionRunServices = «gp32.exe»

таким образом программа червя будет выполняться в фоновом режиме каждый раз при старте системы.

McAfee же утверждает, что червь копирует себя в системный каталог Windows в виде файла с именем «ed32.exe» и создает в системном реестре ключ:

HKLMSoftwareMicrosoftWindowsCurrentVersion
RunServicesed32=C:WINDOWSSYSTEMed32.EXE

Sophos не конкретизирует информацию о том, как червь попадает на компьютер и каким образом распространяет себя.

По сообщению McAfee червь прибывает в письме, имеющем следующие характеристики:

Тема: pic.gif [много пробелов].scr
Вложение: pic.gif.scr

Сообщение червя (тело и заголовок) представляет собой текст в MIME-формате и аттачмент — в кодировке base64. Присоединенный файл не способен в этом состоянии активизироваться автоматически (т.е. при клике на него пользователем) и, следовательно, не сможет инфицировать систему до тех пор, пока пользователь не сохранит аттачмент на локальном диске своего компьютера и затем запустит его вручную. В связи с тем, что для запуска этого червя необходимо произвести такие манипуляции, риск заражения им компьютера невелик, все зависит от настырности пользователя и его желания поэкспериментировать.

При активизации червь инфицирует систему, сохраняя свою копию в системном каталоге Windows и модифицируя системный реестр, чтобы обеспечить свое выполнение при каждом последующем старте системы.

Всякий раз при отправке пользователем инфицированного компьютера сообщения по электронной почте червь следом по тому же адресу отправляет свое письмо (с теми же характеристиками, что описано выше).
Червь предпринимает попытки использовать уязвимость под названием «Incorrect MIME Header vulnerability», изменяя MIME-заголовок на некорректный (см. «Microsoft закрывает новую лазейку в Internet Explorer»).