Компания Trend Micro обнаружила новый «червь»
Компания Trend Micro обнаружила новый «червь», распространяющийся через IM-приложения (приложения для мгновенного обмена сообщениями), – WORM_OPANKI.Y – который использует имя файла ITUNES.EXE для выполнения своих команд. Этот червь распространяется через ПО AOL Instant Messenger – одну из трех наиболее популярных в мире IM-систем – и использует широко распространенное приложение iTunes, предназначенное для загрузки музыки.
Червь OPANKI.Y отправляет сообщение «this picture never gets old» («эта фотография никогда не устареет») по всем онлайновым адресам, содержащимся в зараженном компьютере. Это сообщение также содержит ссылку за загружаемый файл с расширением JPG, который кажется вполне правдоподобным и невинным. Однако данный загружаемый файл записывается в системе пользователя как файл ITUNES.EXE.
Негативное влияние
Помимо открытия «задней двери» для проникновения другого вредоносного ПО, червь OPANKI.Y устанавливает четыре других известных приложения, которые относятся к рекламному/нежелательному ПО:
• ADW_DYFUCA.EI: Это рекламное приложение создает каталог «Internet Optimizer» и устанавливает другое шпионское приложение, которое выводит на экран всплывающую рекламу.
• ADW_MEDTICKS.A: Представляет собой популярную рекламную программу «Media Tickets» (www.mediatickets.net), которая способна отслеживать действия (щелчки) пользователя и их частоту, а также может отображать на экране всплывающую рекламу. Кроме того, эта программа обещает «заплатить» пользователю 15 центов каждый раз, когда он щелкает ссылку на рекламную программу. В течение последних нескольких месяцев различные варианты данной рекламной программы также устанавливались червями из достаточно «популярного» семейства MYTOB. Дополнительную информацию можно найти в энциклопедии вирусов Trend Micro Virus Encyclopedia по адресу: (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYTOB.BI).
• ADW_SOLU180.H: Эта программа представляет собой широко известное приложение «нежелательного» ПО (greyware) «180 Search Assistant». Это приложение отслеживает операции программы Internet Explorer зараженного компьютера, создавая журнал посещений каждого сайта с целью формирования «профиля пользователя» и запуска тех рекламных объявлений, которые «соответствуют» его привычкам.
• ADW_SOLU180.K: Эта рекламная программа обычно упаковывается с другими подобными программами, как и в данном конкретном случае.
Вредоносные программы, которые распространяются через IM-приложения, известны уже достаточно давно; первым подобным червем была программа WORM_MENGER.A, которая появилась в мае 2001 г. Большинство таких IM-программ используют одну из трех наиболее популярных систем мгновенного обмена сообщениями – AIM, MSN Messenger и Yahoo! Messenger – в основном из-за их широкого распространения. И поскольку популярность IM-приложений продолжает увеличиваться, они стали широко использоваться создателями вирусов как средство для распространения своих вредоносных программ. Эти приложения используют миллионы потенциальных жертв вирусов, большинство из которых ничего не подозревают об угрозах со стороны вирусов и вредоносного ПО.
Джейми Линдон Янеза (Jaime Lyndon Yaneza), старший исследователь компании Trend Micro, которая занимается обеспечением безопасности контента и производством антивирусных программ, считает что подобные методы социотехники могут быть очень эффективны. «С ростом популярности iPod и iTunes пользователи очень легко могут принять файл ITUNES.EXE за полезную программу», - говорит Янеза. «Эффективная социотехника базируется на максимальном привлечении внимания людей. Апеллирование к потребностям людей является давно проверенным методом».
Для того, чтобы защититься от таких угроз, эксперты советуют пользователям тщательно проверять получаемые ими AIM-сообщения – даже если они поступили от друга или из другого знакомого источника.
Дополнительную информацию о черве WORM_OPANKI.Y и инструкции по его удалению из зараженной системы можно найти в энциклопедии вирусов Trend Micro Virus Encyclopedia по адресу: (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_OPANKI.Y).
Ещё рекомендуем прочитать:
В Челябинске появился специализированный поиск оборудования в Интернете
«АНДЭК» и « SecurIT » заключили партнерское соглашение
Sostav.ru проводит конкурс совместно с компанией NetPromoter
InterSystems объявила о начале партнерства с компанией InsiTech
Итоги вирусной активности за июнь 2005 года от украинских вирусологов
| К списку статей |
