Вирус SEXER в образе Касперского снова стучится в двери
Сегодня "Лаборатория Касперского" официально предупредила о распространении новой версии интернет-червя Sexer. Червь рассылает себя, маскируясь под сообщение технической службы "Лаборатории Касперского" с вложенным exe-файлом. При открытии файла-вложения происходит заражение компьютера. Зафиксировано несколько обращений от российских пользователей.
Автор новой версии вредоносной программы также ограничился примитивными техническими средствами, сделав ставку на психологию пользователя. Для распространения вредоносной программы используется один из излюбленных методов социального инжиниринга - фальсификация адреса отправителя, маскировка письма под сообщение технической службы производителя популярного программного обеспечения или антивирусной компании. Сообщает "Лаборатория Касперского"
В данном случае вредоносная программа рассылается якобы с адреса технической поддержки "Лаборатории Касперского" support@kaspersky.com. Тема письма: "Утилита для выявления и удаления почтовых червей". Письмо содержит вложенный файл KAVUtil.exe.
Червь получает управление, только если пользователь самостоятельно откроет вложенный файл.
При открытии файла, вредоносная программа устанавливает фоном рабочего стола Windows картинку с текстом "АБОРТ - узаконенное убийство". Для запуска процедуры размножения червь копирует себя в директорию "Program Files\Common Files\system" c именем KAVUtil.exe и регистрирует в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run KAVUtil]
"KAVUtil" = "kavutil.exe".
Червь также ищет в системном реестре ключ: [Software\Microsoft\WAB\WAB4\Wab File Name] и рассылает себя по всем адресам электронной почты, найденным в адресной книге. Для рассылки писем используется прямое подключение к SMTP-серверу.
"Заражение компьютеров пользователей - не лучший способ для демонстрации собственной социальной позиции. Фальсификация адреса отправителя и маскировка письма под сообщение службы технической поддержки антивирусной компании довольно распространенный метод особенно среди начинающих вирусописателей, - прокомментировала появление вредоносной программы Светлана Новикова, менеджер по корпоративным коммуникациям и PR "Лаборатории Касперского". - Использование вирусописателем технически примитивных средств, а также общая компьютерная грамотность большинства современных пользователей, делают шансы на распространение данной вредоносной программы невысокими. Кроме того, важно отметить, что в соответствии со стандартами информационной безопасности, техническая служба "Лаборатории Касперского" никогда не рассылает исполняемые файлы, и наши пользователи прекрасно об этом осведомлены".
Напомним, что первая версия вируса, о которой мы уже писали (Вирус Sexer, как новый способ предвыборной борьбы ) была обнаружена 15 сентября, тогда вирус агитировал за одного из кандидатов в мэры Москвы.