В среду в Рунете началась эпидемия интернет-червя Aliz, который распространяется по электронной почте и активизируется без участия пользователя даже при предварительном просмотре писем.
Вирус приходит как вложение к электронному письму. Зараженные письма могут иметь различные заголовки - текст заголовка генерируется из группы примерно в 50 слов. Обычно это выглядит как предложение посмотереть какой-то сайт ("Fw: funky url to see :-)" или "Fw: Re: Great shit - check it!!")
Однако письма с вирусом отличает похожее содержание: это пустое HTML-письмо и вложенная вредоносная программа whatever.exe, которая является приложением Windows (PE EXE-файл).
Вирус написан на ассемблере и имеет размер всего около 4K. Для запуска себя из зараженных писем червь использует брешь в системе безопасности почтового клиента (IFRAME), которую использовал интернет-червь "Nimda". При этом зараженное вложение активизируется само при чтении или предварительном просмотре сообщения.
При активизации червь распаковывает свой основной код и передает на него управление. Данный код затем считывает адреса электронной почты из файла адресной книги WAB (Windows Address Book), подключается к зарегистрированному в системе SMTP-серверу, отсылает зараженные письма по найденным адресам и на этом заканчивает свою работу. Использование вирусом файла Windows Address Book указывает на то, что он особенно опасен для пользователей Outlook Express и других почтовых программ под Microsoft Windows.
Как сообщает "", процедура отсылки зараженных писем содержит неточности, в результате чего червь "оказывается неработоспособным на большинстве конфигураций почтовых клиентов и серверов". Тем не менее, редакция "Нетоскопа" за последние два дня получила уже десятки зараженных писем от своих корреспондентов, а также через списки рассылки, зараженные вирусом. Зараженные письма приходят от таких известных деятелей Рунета, как Андрей Себрант и Ирина Иванова, а также из агентства "Интерфакс".
Вирус Aliz был обнаружен еще в мае. Тогда же он был добавлен в базы данных Антивируса Касперского.
"Удивительно, что вирус смог вызвать серьезную эпидемию спустя полгода после его обнаружения. Причина проста: пользователи по-прежнему игнорируют элементарные правила компьютерной безопасности и с завидным упорством наступают на одни и те же грабли. Видимо, многочисленные вирусные эпидемии пока так и не научили простым правилам – быть предельно осторожными с электронной корреспонденцией и вовремя устанавливать "заплатки", устраняющие бреши в защите данных используемых программ", - комментирует Евгений Касперский.
Остается только добавить, что в данном случае пользователям еще повезло: кроме рассылки самого себя по найденным на компьютере адресам, червь Aliz никак больше не проявляет своего присутствия в системе. Он не инсталлирует себя в систему и не запускается повторно (за исключением случаев, когда пользователь повторно открывает зараженное вложение). Однако легко представить себе появление новых модификаций, которые могут содержать и более вредоносные функции - как, например, у вируса SirCam, который при рассылке самого себя еще и "прихватывает" крупные файлы с зараженного компьютера.
Copyright © 2000-2002 Нетоскоп