BadtransII является модификацией вируса, появившегося в апреле этого года, и использует ту же "брешь" в защите почтовых клиентов, что и вирусы Nimda и Aliz. Уязвимость в MS Outlook ведет к тому, что файл, вложенный в письмо, запускается без ведома пользователя. "Червь" проникает на компьютеры в виде электронного письма, тема которого может быть пустой или иметь значение ; тело письма также пустое. Имя вложенного файла случайно выбирается из нескольких вариантов: Pics или PICS, images или IMAGES, README, New_Napster_Site, news_doc или NEWS_DOC, HAMSTER, YOU_are_FAT! или YOU_ARE_FAT!, stuff, SETUP ,Card или CARD, Me_nude или ME_NUDE, Sorry_about_yesterday, info, docs или DOCS, Humor или HUMOR, fun или FUN, SEARCHURL, S3MSONG. Сам файл имеет два расширения: первое - DOC, ZIP или MP3, второе - SCR или PIF, например info.DOC.scr. Зараженное письмо может быть отправлено как с реального почтового адреса (в случае, если письмо рассылается с зараженного компьютера), так и с ложного, с именем адресата, случайно выбранным из списка: Anna, JUDY, Rita Tulliani, Tina, Kelly Andersen, Andy, Linda, Mon S, Joanna, JESSICA BENAVIDES, Administrator, Admin, Support, Monika Prado, Mary L. Adams, Anna, JUDY, Tina. При запуске вложенного файла вирус пытается ответить на все непрочитанные сообщения в клиенте MS Outlook, а также отсылает IP-адрес зараженного компьютера на адрес uckyjw@hotmail.com. Затем вирус прописывает себя в реестр системы, и обеспечивает неавторизованное проникновение извне на зараженный компьютер. "Лаборатория Касперского" рекомендует пользователям обновить антивирусную базу данных "Антивируса Касперского", в которую уже внесены соответствующие процедуры для нейтрализации BadtransII.

Поделитесь материалом с коллегами и друзьями