3 июля 2000 г.
Российский разработчик антивирусных систем безопасности "Лаборатория Касперского" сообщила о появлении нового Internet-червя I-Worm.Jer, проникающего на компьютеры пользователей при посещении ими зараженного Web-сайта.
■Jer■ не является чрезвычайно опасным, поскольку не несет в себе серьезного деструктивного воздействия. Кроме того, его код содержит ряд ошибок, которые делают возможным его распространение только по каналам IRC, но не по электронной почте. По словам Евгения Касперского, руководителя антивирусных исследований ╚Лаборатории Касперского╩, ╚само появление этого червя свидетельствует о вхождении в моду новой технологии ╚раскрутки╩ вируса в Internet. Сначала червь помещается на Web-сайт, а потом проводится массированная рекламная компания для привлечения пользователей╩.
2 июля автор ╚Jer╩ разместил этого червя на одном из сайтов системы Geocities. Заголовок сайта содержал заманчивый текст: ╚THE 40 WAYS WOMEN FAIL IN BED╩ (╚40 способов затащить женщину в постель╩). Затем информация об этой странице была анонсирована в нескольких каналах IRC, после чего количество посещений этой страницы превысило 1000 за первый день.
Червь "Jer" использует ╚топорный╩ метод проникновения на компьютер. На Web-сайт добавляется скрипт-программа (тело червя), которая автоматически активизируется при открытии соответствующей HTML-страницы. После этого пользователю выдается предупреждение о том, что на его диске создается неизвестный файл. Тонкий расчет сделан на ╚дыры в голове╩, т.е. на то, что пользователь автоматически ответит ╚да╩, чтобы отвязаться от назойливой скрипт-программы и тем самым пропустит на свой компьютер Internet-червя.
Червь создает копию зараженной HTML-страницы в системном каталоге Windows с именем JER.HTM и регистрирует ее в системном реестре в секции автозапуска. В результате червь автоматически активизируется при каждой загрузке Windows. Затем червь переходит в каталог C:\MIRC и, если такой каталог существует, создает в нем файл SCRIPT.INI. Этот файл содержит команды которые исполняет клиент mIRC во время своей работы. Червь записывает в этот файл команды, которые отсылают файл JER.HTM на каждый компьютер, который подключается к тому же каналу, к которому подключен и зараженный компьютер. Кроме того, эти команды предоставляют доступ к локальному диску тому, кто написал в IRC канале указанное в команде кодовое слово.
Червь отключает некоторые функции системы: отображение значков на рабочем столе, поиск файлов, настройку сетевого окружения, возможность выключить компьютер. Также меняется информация о регистрации Windows (Пользователь: I Love You, Min; Организация: GinsengBoyо 2000).
Чтобы восстановить работоспособность системы нужно восстановить измененные червем ключи системного реестра, однако это рекомендуется только опытным пользователям. Информацию о том, как изменять ключи системного реестра, можно найти в справке программы Registry Editor (REGEDIT.EXE), пункт "Changing Keys And Values".
Процедуры защиты от червя ╚Jer╩ добавлены в очередное ежедневное обновление антивирусной базы ╚Антивируса Касперского╩.
|