"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает о обнаружении новой модификации печально известного почтового червя "Mimail" - "Mimail.Q". Новая версия отличается криптографической защитой от антивирусов и уже вызвала отдельные случаи заражения среди пользователей. "Лаборатория Касперского" прогнозирует расширение эпидемии в ближайшие дни и рекомендует пользователям немедленно обновить антивирусную программу.
"Mimail.Q" распространяется через электронную почту в письмах разнообразного содержания (несколько десятков вариантов) и произвольными названиями вложенных файлов. Червь состоит из двух частей: "дроппера" (модуль установки основной части) и носителя (основная часть). Если пользователь имел неосторожность запустить файл, вложенный в зараженное письмо, то "дроппер" выводит на экран окно с ложным сообщением об ошибке, копирует себя в каталог Windows под именем SYS32.EXE и регистрирует в ключе автозапуска системного реестра. После этого распаковывает основную часть червя (файл OUTLOOK.EXE) и запускает ее на выполнение.
Важным отличием "Mimail.Q" является использование алгоритмов криптографии для защиты от антивирусов (полиморфность). При каждой перезагрузке зараженного компьютера червь меняет ключ шифрования таким образом, что рассылаемые копии вредоносной программы каждый раз выглядят по-разному. Это, в свою очередь, требует от установленного антивируса функции дешифрации файлов.
Основная часть червя осуществляет сразу несколько функций. Во-первых, рассылку копий "Mimail.Q". Для этого червь сканирует содержимое диска и считывает из них электронные адреса. Далее по ним проводится рассылка зараженных писем с использованием встроенного почтового механизма. Во-вторых, основная часть открывает злоумышленникам лазейку на зараженный компьютер, используя порты 6667, 3000, 80, 1433 и 1434. Через эти порты червь получает команды от своих "хозяев" и отправляет данные о выполнении команд на анонимные почтовые ящики публичных e-mail систем. В-третьих, "Mimail.Q", подобно предыдущим версиям, собирает информацию об установленных на компьютере счетах платежных систем PayPal и E-Gold и отсылает коды доступа к ним на те же почтовые ящики.
Наконец, в коде червя содержатся угрозы в адрес публичных почтовых систем в случае закрытия используемых "Mimail.Q" ящиков:
*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS'ed in next version. WARNING: centrum.cz will be DDoS'ed in next versions, coz they have closed my mimail-email account. Who next? ***
Процедуры защиты от Mimail.Q с использованием дешифрации уже добавлены в базу данных Антивируса Касперского.
Болд мой - GDV.