21.12.2001
Новый почтовый вирус использует для распространения довольно необычный способ.

Антивирусная компания F-Secure сообщает о появлении Welyah - нового червя, использующего для своего распространения довольно нехарактерный для вирусов способ.
Как известно, большинство почтовых вирусов полагаются на многочисленные уязвимые места в почтовых программах Microsoft Outlook и Outlook Express. Как правило, после активизации они используют Outlook, для того чтобы разослать свои копии по всем занесённым в адресную книгу адресам.
Хотя большинство пользователей не слишком беспокоятся о своей безопасности, растёт число тех, кто всё же установил патчи и в значительной степени обезопасил себя от проникновения вирусов. Welyah в меньшей степени полагается на Outlook, так что защититься от него куда сложнее. Кроме того, эта "самостоятельность" делает его опасным не только для пользователей Outlook.
Вирус, написанный на Visual Basic, содержит в себе целый SMTP-сервер и способен рассылать электронные письма самостоятельно, не надеясь, что это сделает Outlook. Кроме того, он ищет почтовые адреса не только в адресной книге; программа сканирует все файлы, где может обнаружиться что-то для него интересное, в том числе, базу писем.
Welyah распространяется в виде приложенного к письму 110-килобайтного исполнимого файла с расширением pif. Попав на компьютер потенциальной жертвы, он пытается активизироваться автоматически, используя широко известную дыру в Outlook. Если это не удаётся, вирусу остаётся надеяться на беспечность пользователя, который сочтёт его обыкновенным текстовым файлом и запустит сам.
После активизации вирус копирует себя в каталог Windows под названием Winl0g0n.exe и изменяет реестр системы таким образом, чтобы автоматически запускаться при включении компьютера.
О деструктивных последствиях работы вируса не сообщается. Тем не менее, у относительно безобидного Welyah неизбежно появятся последователи, и вряд ли стоит надеяться, что все они будут такими же мирными.

Источник: Журнал "Компьютерра"