Aliz распространяется через Internet в виде файлов, прикрепленных к зараженным письмам. "Червь" является Windows-приложением размером около четырех килобайт. Зараженные письма при различных заголовках содержат пустое HTML-письмо и вложенный файл с именем whatever.exe. Для запуска себя из зараженных писем "червь" использует "брешь" в системе безопасности почтового клиента (IFRAME), которую использовал также Internet-"червь" Nimda. При этом зараженное вложение активизируется без участия пользователя - при чтении или предварительном просмотре сообщения. "Червь" распаковывает свой основной код и передает на него управление. Данный код затем считывает адреса получателей зараженных писем из файла WAB (Windows Address Book), подключается к зарегистрированному в системе SMTP-серверу, отсылает зараженные письма и на этом заканчивает свою работу. "Червь" не инсталлирует себя в систему и не запускается повторно (за исключением случаев, когда пользователь повторно открывает зараженное вложение). По мнению Евгения Касперского, руководителя антивирусных исследований "Лаборатории", тот факт, что спустя полгода после его обнаружения вирус смог вызвать серьезную эпидемию, свидетельствует лишь о том, что "пользователи по-прежнему игнорируют элементарные правила компьютерной безопасности и с завидным упорством наступают на одни и те же грабли".

Поделитесь материалом с коллегами и друзьями