четверг, 23 сентября 2010 г.

Иракское сопротивление запустило в Сеть червя

Автор компьютерного червя, атака которого в конце минувшей недели вызвала заметный ажиотаж, называет себя "Иракским Сопротивлением" (Iraq Resistance). А червя он создал, чтобы привлечь внимание к войне в Ираке.

Вредонос является классическим почтовым червём на Visual Basic. Распространяется по электронной почте и, заразив компьютер, автоматически рассылает с него новые письма аналогичного содержания. "Настоящая старая школа!" — так прокомментировал это явление Александр Гостев из "Лаборатории Касперского", где этого червя назвали VBMania.

Западные эксперты также отмечают "старую школу" - червь не скрывается, не крадет данные кредиток, не требует денег. В общем, чистое искусство, на которое редко способны современные корыстные хакеры.

Отличительными особенностями червя являются строка "Here you have" в качестве темы письма и ссылка якобы на PDF- или WMF-файл в теле письма. Чтобы заразиться, пользователь должен сохранить этот файл на компьютере и "открыть" его, а точнее — запустить, поскольку в действительности данный файл является исполняемым.

Обосновавшись в системе, VBMania считывает адреса из адресной книги Windows и рассылает по ним такие же письма от имени пользователя-жертвы. Также производятся некоторые действия деструктивного характера: удаляются определённые файлы, изменяется файл hosts. По данным Sophos, червь также загружает на компьютер некие утилиты, предназначенные для кражи паролей.

Легко видеть, что червь довольно бесхитростен и использует для распространения исключительно метод социальной инженерии. Однако данный способ оказался вполне эффективным: атака задела многих и получила большую огласку. По данным Cisco, в течение нескольких часов минувшего четверга, письма с этим червём занимали 6-14% от общего почтового мусора. Среди компаний, пораженных червем - Disney и Proctor and Gamble, а также американское аэрокосмическое агентство NASA.

В пятницу все вредоносные файлы, ссылки на которые генерируются в письмах червя, были удалены с сервера, поэтому он потерял способность к размножению. Письма с заражённых компьютеров продолжают рассылаться, но они не несут угрозы.

В апреле этого года уже действовал похожий червь, созданный тем же автором, однако в этот раз его атака оказалась куда эффективнее. Удостоверившись, что он привлёк достаточно внимания, автор червя выложил на YouTube видео, в котором объявил свое авторство, и посетовал, что получилось не так много шума, как у флоридского пастора Терри Джонса, который недавно угрожал сжечь все копии Корана.

Журналисту IDG News Роберту Макмиллану удалось списаться с хакером по email (адрес фигурировал в предыдущей версии червя). Хакер заявил, что созданный им вирус — всего лишь инструмент для того, чтобы донести свой голос людям, и заодно покритиковал американскую военную операцию в Ираке.


Источник новости