По заявлению представителей компании Network Associates, занимающейся производством антивирусного программного обеспечения, интернет-червь, распространяемый по каналам электронной почты и маскируемый под мультимедийный ролик, заразил более 50 американских компаний в последние часы рабочего дня пятницы. Об этом сообщает новостное агенство Postnet.
По информации "Лаборатории Касперского", многочисленные случаи заражения вредоносной программой были зарегистрированы в конце прошлой недели в Польше.
Вирус, названный "ProLin", рассылается в виде вложения к письму, поле "subject" которого читается как "A great Shockwave Flash movie" . Вирус распространяется путем получения доступа к адресной книге почтовой программы Outlook, откуда он считывает имеющиеся адреса электронной почты и рассылает по ним сообщения с вложенным файлом creative.exe. Именно в нем и содержится сам червь.
После запуска этого файла, "Prolin" регистрируется в каталоге автозапуска Windows и посылает сообщение автору программы на специальный адрес электронной почты, находящийся в домене yahoo.com.
Затем он ищет файлы с расширениями ZIP, MP3 и JPG, перемещает их в корневой каталог диска C и изменяет их имена, добавляя к ним строку "change atleast now to LINUX".
По сообщению лаборатории Касперского, червь способен работать только под Windows 2000. Для нормального функционирования под Windows 95/98 и Windows NT ему необходима библиотека Visual Basic 6.0 MSVBVM60.DLL, которая не входит в стандартную поставку пакета.
Вирус оставляет предупреждающее сообщение о том, что он может быть запрограммирован таким образом, что все файлы с жесткого диска пользователя будут удалены. Сообщение подписано неизвестным хакером, именующим себя "The Penguin" (Пингвин). Как известно "пигвин" является знаком, ассоциированным с операционной системой Linux.
По заявлению Винсента Джулотто, директора антивирусного подразделения Network Associates - McAfee Avert Labs, автором вируса может быть любой фанат Линукса. Возможно, что он демонстрирует компаниям, занимающимся программным обеспечением, дыры, существующие в их защите. Джулотто добавил, что его гипотезы - не более, чем гипотезы.
Особенно активно вирус проявил себя на территории США, носящей название Среднего Запада, среди фирм, связанных с компьютерной техникой или производящих компьютеры. Специалисты из Network Associates (конкурента антивирусного центра Symantec) заявили, что вирус не будет распространяться столь стремительно, как вирус "I love you", период максимальной активности которого пришелся на май этого года.
"Корпорациям не составит труда заблокировать почтовые клиенты от приема сообщений с соответствующей строкой "subject" или вложением", - заявил директор антивирусного исследовательского центра Symantec Винсент Вэйфер.
По мнению Symantec, ProLin может быть отнесен к вирусам средней опасности, в то время как Network Associates относит его к вирусам высокой опасности.
"Лаборатория Касперского" оценивает степень опасности данного червя как среднюю, так как Prolin не наносит ущерба, способного безвозвратно нарушить нормальное функционирование компьютерных систем. Несмотря на это, не следует запускать зараженный файл creative.exe: в некоторых особых случаях (наличие файлов с одинаковыми именами в разных директориях, нехватка места на диске, превышение количества допустимых файлов в корневой директории) червь может полностью уничтожить файлы, с которыми производит манипуляции.
Процедуры защиты от интернет-червя "Prolin" и программа, позволяющая быстро и эффективно восстановить файлы на зараженных компьютерах, уже добавлены в очередное обновление Антивируса Касперского (AVP) и доступны на сайте компании по адресу www.kaspersky.ru.