Москва, 27 августа 2008 г. Сегодня ESET — международный разработчик антивирусного ПО и решений в области компьютерной безопасности — сообщает о том, что вирусными аналитиками компании обнаружена новая вредоносная программа, распространяющаяся через Windows Live Messenger, социальные сети MySpace, Hi5. Вредоносное программа в настоящее время детектируется антивирусными продуктами и не представляет опасности для пользователей антивирусных решений ESET NOD32, однако, распространение программы в Интернете продолжается за счет незащищенных компьютеров и за счет клиентов других антивирусных компаний.
Программа классифицирована как самореплицирующийся червь. При проникновении на компьютер пользователя червь рассылает по контакт-листу Windows Live Messenger сообщение на испанском языке «Yo creo que esta es tu fotografia!» со ссылкой на загрузку вредоносного кода. При этом в письме содержится просьба открыть ссылку и скачать изображение автора письма.
Как
только получатель сообщения перешел по ссылке, червь добавляет себя в папку [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] и сохраняется как %windir%winrofl32.exe. Программа функционирует как стандартный IRC-бот и прописывается в логе канала IRC.
Интересно, что компонент вредоносной программы, отвечающий за рассылку спам-сообщений, а также текст сообщения могут быть легко изменены. Широким распространением в социальных сетях и среди пользователей Windows Live Messenger червь обязан методам социальной инженерии, которые применили злоумышленники — пользователь получает сообщение от знакомого контакта, которому склонен доверять.
«Важно отметить что, формулировка, содержание, даже язык посланного сообщения могут измениться. Сам червь, скорее всего, будет модифицироваться разработчиками, что затруднит ее детектирование сигнатурными методами. Однако мы уверены, что эвристичеcкие технологии, используемые в продуктах компании ESET, позволят бороться не только с этой угрозой, но и с ее модификациями», — говорит Григорий Васильев, технический директор ESET.
