Нетоскоп/Новости/29.01.2002
http://www.netoscope.ru/news/2002/01/29/4660.html
Червь MyParty не трогает русских
Вячеслав Ансимов

29.01.2002 17:39

Появившийся в понедельник новый почтовый червь MyParty успел распространиться в более чем 50 стран Азии, Европы и Северной Америки, - сообщают мировые информационные агентства со ссылками на антивирусные компании и почтовые службы.

Его простой, но весьма остроумный способ маскировки затмил в сообщениях СМИ даже собственно вредоносное действие – внедрение в компьютеры под Windows NT/2000/XP программы, открывающей дыру для возможного хакерского проникновения. "Лаборатория Касперского" назвала это действие побочным и определило в разряд "Прочее".

Главное же внимание все уделяют новому слову в социальном инжиниринге, сделанному автором червя. Представитель "Лаборатории Касперского" Денис Зенкин назвал это "новой техникой манипуляции сознанием пользователя".

Почтовые черви в массе своей используют один и тот же механизм распространения. Различаются они лишь методами маскировки. В условиях возрастания осмотрительности и подозрительности пользователей становится все труднее заставить ткнуть их на вложенный в письмо файл с телом червя. Его маскируют под картинки, документы, звуковые или видеофайлы.

Автор MyParty догадался использовать сходство доменной зоны .com с точно таким же по написанию расширением выполняемых файлов. Он назвал вложенный com-файл с червем "www.myparty.yahoo.com", имитируя, таким образом, адрес веб-сайта. Для завлечения в самом письме говорится, что на указанной страничке размещены фотографии с некоей "ошеломляющей" вечеринки.

Как выяснилось, трюк сработал достаточно эффективно. Саморазмножение MyParty идет по классической схеме через адресные книги Windows и работающие с ними почтовые программы Microsoft. Червь прописывает себя в системный реестр, что также является обычным делом.

Кроме хитрой маскировки, MyParty привлек внимание еще двумя особенностями. В нем заложено ограничение времени действия (распространения) конкретными датами: с 25 по 29 января 2002 года. Уже в среду червь самоуничтожится на всех зараженных компьютерах.

Еще более интересным обстоятельством является его гуманное отношение к русскоязычным пользователям. Перед активизацией процессов размножения, MyParty проверяет наличие в системе поддержки русского языка (кириллицы). В случае обнаружения таковой червь самоуничтожается.

Именно это проявление позволило западным специалистам антивирусных компаний предположить российское происхождение вируса. Подтверждением этой выдающейся догадки они считают тот факт, что при заражении MyParty отсылает пустое контрольное письмо по адресу napster@gala.net. Этот аккаунт расположен на бесплатном почтовом сервисе портала Gala.Net. Несмотря на русскоязычность, этот информационно-развлекательный портал является украинским и базируется в Киеве. Впрочем, на Западе по инерции считают всех жителей бывшего СССР русскими.

Руководитель антивирусных исследований финской компании F-Secure Микко Гиппонен уверен, что MyParty написал тинэйджер из России.

Одним из побочных действий червя является открытие в браузере сайта www.disney.com. В то же время западные антивирусные компании считают, что начальной точкой распространения MyParty является Сингапур.


Copyright © 2000-2002 Нетоскоп
www.netoscope.ru
Hosted by uCoz