"Лаборатория Касперского" сообщает об обнаружении нового сетевого червя, который занимается борьбой с брандмауэрами. Точнее, только с одной его моделью: червь ищет и пытается закрыть запущенные копии брандмауэра ZoneAlarm, а также отсылает по электронной почте "уведомления" по одному из двух адресов, возможно, принадлежащих автору червя. Эти письма содержат информацию о заражённой системе. Червь Worm.Win32.Datom состоит из трех разных компонентов: MSVXD.EXE, MSVXD16.DLL и MSVXD32.DLL. Первый компонент, MSVXD.EXE, активизирует червя при запуске, загружая библиотеку MSVXD16.DLL. В свою очередь, MSVXD16.DLL загружает компонент MSVXD32.DLL, который выполняет основные функции размножения. Отыскав доступные сетевые ресурсы червь пытается соединиться с компьютером, на котором эти ресурсы находятся. В случае успешного соединения червь ищет доступную папку, которая может быть директорией Windows. Для этого он пытается использовать имя "WinNT", а также читает раздел "WinDir" из файла MSDOS.SYS, если такой существует. Затем червь копирует в удалённую директорию Windows все свои компоненты и настраивает автозагрузку файла MSVXD.EXE при старте Windows. Кроме того, "Лаборатория" обнаружила в Сети очередного интернет-червя под названием Calil. Сей "зверь" распространяется во вложениях email-сообщений. Для размножения используются функции программы Outlook. Отсылаемые червём письма содержат в качестве аттача файл LILAC_WHAT_A_WONDERFULNAME.avi.exe. Червь меняет имя владельца зараженной системы на xEnOcrAtEs. Источник: Журнал "Компьютерра" |