Почтовые сервера уже не справляются с лавинообразно выросшей нагрузкой

Минувшей ночью в Рунете отмечено появление вируса I-Worm.Novarg. В самые кратчайшие сроки вирус заразил тысячи компьютеров. Специалисты уже говорят о крупнейшей за последние два года вирусной эпидемии. При этом сам вирус по сути своей является вполне заурядным "сетевым червем", эксплуатирующим излишнюю доверчивость неопытных пользователей.

Вот что сказано о нем на сайте Viruslist.com, принадлежащем Лаборатории Касперского:

Вирус-червь. Также известен как Mydoom.

Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB. Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайт www.sco.com 1 февраля 2004 года. При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому серверу получателя. Для обнаружения адресов электронной почты, по которым будет вестись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения:

asp
dbx
tbb
htm
sht
php
adb
pl
wab
txt

и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, оканчивающиеся на ".edu".

Содержание зараженных писем:

Адрес отправителя:

[произвольный]

Тема письма выбирается произвольно из списка:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Тело письма выбирается произвольно из списка:

test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.

Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":

document
readme
doc
text
file
data
test
message
body

Вложения могут иметь одно из расширений:

pif
scr
exe
cmd
bat

Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.

* * *
Пожалуйста, последите за своевременным обновлением антивирусных баз и установкой всех необходимых "заплаток" к операционной системе. И ни в коем случае не запускайте файлы, приложенные к письмам неизвестного происхождения.

Viruslist.com