24 декабря 2001 г.
Техническая лаборатория компании Panda Software сообщила об обнаружении нового червя, зарегистрированного под названием W32/Shoho.A.
Подобно большинству обнаруженных в последнее время червей, W32/Shoho.A распространяется через электронную почту. Он использует уязвимость механизма IFRAME, позволяющего автоматически запускать вложенные файлы.
Как правило, вирус W32/Shoho проникает в систему через файлы-вложения в электронных сообщениях следующего характера: "Welcome to Yahoo! Mail". При этом он содержит вложенный файл под названием "Readme.txt.__________pif". Пробелы между расширениями файла предназначены для визуального обмана пользователя так вирус легко принять за текстовый документ.
Для рассылки сообщений W32/Shoho обращается к SMTP-серверу. В качестве мишени червь ищет адреса электронной почты в системных файлах со следующими расширениями: eml, wab, dbx, mbx, xls, xlt и mdb. Все найденные электронные адреса он сохраняет в файл Emailinfo.txt.
Основные признаки заражения заключаются в том, что червь копирует себя в директории Windows и Windows\System под именем Winl0g0n.exe. Следует отметить, что в названии этого файла букве "О" соответствует цифра 0, а не наоборот. Кроме того, червь создает еще один файл Email.txt. Это файл формата MIME, использующий преимущества механизма IFRAME как уязвимого места системы.
До настоящего времени вирус не получил широкого распространения, однако эксперты по сетевой безопасности призывают пользователей Интернета проявлять осторожность при получении почты.
Источник: CNews.ru
|