Как следует из заявлений Central Command Emergency Virus Response Team (EVRT), подобные сообщения распространяет новый сетевой «червь» Win32.Palyh-A, который спрятан во вложении к сообщению. Письма от support@microsoft.com, в поле Subject которых присутствует одна из перечисленных ниже фраз, вероятнее всего, заражены этим вирусом:

  • Screensaver
  • Re: Movie
  • Your details
  • Approved (Ref: 38446-263)
  • Re: Approved (Ref: 3394-65467)
  • Cool screensaver
  • Re: My details
  • Re: My application
  • Re: Movie

Вложения имеют расширение .pif и имя, соответствующее значению поля Subject. Когда получатель открывает вложение, «червь» копирует файл mscon32.exe в каталог windows и создает в реестре определенную запись, после чего скопированный файл запускается каждый раз при перезагрузке системы. В рекомендациях Command Central не объясняет, как ведет себя «червь», если имя каталога отлично от windows. Когда «червь» начинает свою работу, он выполняет сканирование почтовых адресов в файлах с расширениями .dbx, .eml, .htm, .html, .txt и .wab, а затем рассылает самого себя по всем обнаруженным адресам. Если систему удается заразить, в реестре появляется запись HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun «System Tray»=»C:WINDOWSMSCON32.EXE». Я думаю, что избавиться от «червя» можно, удалив эту запись и файл mscon32.exe в системном каталоге. На всякий случай рекомендую связаться с разработчиком антивирусного программного обеспечения и проконсультироваться, как лучше вылечить зараженный компьютер. Если письмо попало в Microsoft Outlook, необходимо удалить его не читая с помощью комбинации клавиш Shift-Delete.

Поделитесь материалом с коллегами и друзьями