Новый почтовый червь Imsolk

--> Дата: Сен 15, 2010 39

По сообщению службы безопасности компании Symantec, очередной почтовый вирус поразил сотни тысяч компьютеров по всему миру. Из-за большого числа компьютеров, пораженных этим червем, Symantec присвоила этой угрозе третью категорию опасности.

Новый вирус можно отнести к разряду классических почтовых вирусов, таких как Nimda, Melissa и Anna Kournikova, появившихся в 2001 г. Он распространяется посредством почтовых рассылок. Вирус приходит под видом обычного электронного письма (содержащего в теме письма строку ‘Here you have’), которое предлагает пользователю перейти по ссылке. Ссылка перебрасывает пользователя на вредоносный PDF-файл, который компьютер автоматически скачивает. Это приводит к установке вирусной программы на компьютер. Предварительный анализ показал, что червь обезвреживает большинство антивирусных программ (за исключением продуктов Norton и Symantec). И однажды попав на компьютер пользователя, вирус начинает рассылать вредоносный файл по всем контактным адресам, найденным в адресной книге. Он также пытается распространиться с компьютера на компьютер по локальной сети (например, в пределах интранета предприятия), копируя себя на диски с открытым доступом других машин. Вирус копирует себя на другое устройство единожды, и даже если пользователь откроет папку, которая содержит угрозу для нового компьютера, он тем самым запустит вирус, вызвав его дальнейшее распространение и по электронной почте, и по общим дискам.

Основные функциональные особенности червя таковы:

распространяется через автозапуск дисков;
распространяется через электронную почту по списку контактов из адресной книги;
распространяется через IM-мессенджеры;
отключает различные защитные программы, за исключением Norton и Symantec.

Администраторам сети рекомендуется конфигурировать почтовые серверы таким образом, чтобы блокировать или удалять электронную почту, содержащую файловые приложения, которые обычно используются для распространения вирусов (.VBS, .BAT, .EXE, .PIF и .SCR). Файл, используемый в случае сW32.Imsolk.B@mm, является .SCR-файлом.