ZDNet News в четверг сообщил о распространении почтового червя . Вредоносная программа маскируется под "заплатку" для программных продуктов Microsoft. Она распространяется по электронной почте и 11 ноября сотрет все данные с винчестеров зараженных компьютеров.
По данным специалистов, у Redesi есть и второй вариант – обычное мусорное письмо. В первом варианте заголовок зараженного письма в той или иной форме гласит, что это форвард письма с темой Microsoft security update. Также в некоторых случаях упоминаются террористы, которые распространяют вирусы и которых надо остановить.
Полный список тем писем с первым вариантом вируса:
FW: Microsoft security update
FW: Security Update by Microsoft
FW: IT departments on state of HIGH ALERT
FW: Important news from Microsoft
FW: Stop terrorists computer viruses reign
FW: Terrorists release computer virus
FW: Emergency response from Microsoft Corp. FW: Terrorist Emergency. Latest virus can wipe disk in minutes
FW: Microsoft Update. Final Release Candidate
FW: New computer virus
В теле письма содержится сообщение на английском языке о том, что "я посылал этот патч по электронной почте в компанию Microsoft и там подтвердили, что он настоящий". Затем следует "оригинальное" письмо, якобы из службы поддержки Microsoft, в котором говорится, что компания работает над уменьшением электронных посланий, распространяющих вирусы, и предлагает поставить этот патч на компьютер. Подпись – "служба поддержки Microsoft".
После запуска червь копирует себя в следующие файлы:
C:\Si.exe
C:\ReDe.exe
c:\Disk.exe
c:\Common.exe
c:\UserConf.exe
Затем червь рассылает себя по всем адресам из адресной книги Outlook. Если на компьютере-"жертве" Outlook отсутствует, червь не сможет распространяться. Из списка заражаемых файлов выбирается аттач к письму с копией червя.
11 ноября 2001 года, если на компьютере установлен формат короткой даты dd/mm/yy или mm/dd/yy, червь записывает в файл autoexec.bat команду форматирования диска c:.
Для того, чтобы запускаться с Windows автоматически, червь записывает в реестр следующий ключ: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Rede.
Вторая версия содержит сообщение совсем другого характера. Вот список тем:
Kev Gives great orgasms to ladeez!! -- Kev
hell is coming for u, u will be sucked into a bottomless pit!!! -- Gaz
Scientists have found traces of the HIV virus in cows milk...here is the proof -- Will
Yay. I caught a fish -- Six
I don't want to write anything but Si is bullying me. -- Jim
I want to live in a wooden house -- Arwel
Michelle still owes me г10 ... shit ! -- Si
Why have I only got cheese and onion crisps? I hate them !! -- Si
A new type of Lager / Weed variant...... sorted !
My dad not caring about my exam results -- by Michelle
Текст письма гласит: heh. I tell ya this is nuts ! You gotta check it out !
Обе версии вируса в равной степени опасны, сообщает "". Особо уязвимыми для них являются только те компьютеры, на которых стоят операционные системы Windows старших версий, использующие файл autoexec.bat. Только они могут пострадать 11 ноября, когда червь решит стереть информацию на жестком диске компьютера. Windows 2000 и Windows XP не пострадают. Однако любой компьютер, на котором стоит почтовый клиент Outlook, может заразить другие компьютеры.
Защитить компьютер от форматирования можно довольно легко: необходимо только исправить формат представления даты с короткого (11/11/01) на полный (11/11/2001). При этом вирус никогда больше не активируется.
Copyright © 2000-2002 Нетоскоп