“Лаборатория Касперского” сообщает об обнаружении сетевого червя I-Worm.Swen. Вредоносная программа распространяется через электронную почту, сеть файлообмена Kazaa и каналы IRC.
В качестве отправителя зараженных писем могут значиться различные службы компании Microsoft, например MS Technical Assistance, Microsoft Internet Security Section и т. д. Текст же письма призывает пользователя установить “специальный патч к Microsoft”, который прилагается во вложении.
Активизация червя происходит в двух случаях: при запуске зараженного файла пользователем, либо если почтовая программа содержит уязвимость IFrame.FileDownload. Затем червь инсталлирует сам себя в систему и запускает процедуры своего распространения. При этом вредоносный код блокирует работу различных антивирусных программ и сетевых экранов.
Отсканировав файловую систему пораженного компьютера, I-Worm.Swen извлекает из файлов адреса электронной почты и само рассылается по всем найденным адресам, используя прямое подключение к SMTP-серверу. Зараженные письма имеют формат HTML и содержат вложенный файл, содержащий червя.
В некоторых случаях червь может отсылать свои копии в заархивированном виде (zip или rar). Размножаясь через систему файлообмена Kazaa, он копируется под различными именами в каталог файлообмена программы Kazaa Lite, а также создает во временном каталоге Windows подкаталог с произвольным названием и переносит туда несколько своих копий, также с различными именами. Данный каталог указывается в системном реестре Windows как источник для системы файлообмена, в результате чего файлы становятся доступны для загрузки другими пользователями сети Kazaa.
Наконец, для распространения по каналам IRC червь ищет на компьютере установленный клиент mIRC и если таковой обнаружен, то модицифирует файл script.ini, добавляя к нему свои процедуры рассылки. Затем этот файл-скрипт отсылает зараженный файл из каталога Windows каждому, кто подключается к зараженному IRC-каналу.
Процедуры защиты от I-Worm.Swen уже добавлены в базу данных “Антивируса Касперского”.
А. Л.
