IMHO.WS - Появилась новая версия червя Mimail

Появилась новая версия червя Mimail
27 января 2004 года, 17:08

"Лаборатория Касперского" сообщила об обнаружении очередной модификации почтового червя Mimail. Вредоносная программа Mimail.Q отличается от предшественников, прежде всего, встроенной криптографической защитой от антивирусов. Механизм работы данной системы заключается в следующем: при перезагрузке инфицированного компьютера червь меняет ключ шифрования таким образом, что рассылаемые копии вируса каждый раз выглядят по-разному. Это, в свою очередь, требует от антивируса поддержки функции дешифрации файлов.

Новая версия Mimail распространяется по электронной почте в письмах с вложениями. Возможны несколько десятков вариантов названий как самих сообщений, так и вложенных файлов. Червь состоит из двух компонентов - модуля установки основной части и носителя. После неосторожного запуска вложения модуль установки вредоносной программы копирует себя в каталог Windows под именем sys32.exe и регистрируется в ключе автозапуска системного реестра. Далее запускается основная часть червя с именем outlook.exe, выполняющая сразу несколько функций. Во-первых, вирус рассылает свои копии по найденным на компьютере адресам электронной почты. Во-вторых, программа открывает черный вход в систему через порты 6667, 3000, 80, 1433 и 1434. Наконец, в-третьих, Mimail.Q пытается найти на ПК конфиденциальные данные о счетах платежных систем PayPal и E-Gold и отправить эту информацию на анонимные почтовые ящики на публичных серверах.

Процедуры защиты от червя Mimail.Q уже включены в базы данных антивирусных пакетов "Лаборатории Касперского", а также других разработчиков защитного программного обеспечения.