10.05.2001 19:38:00

"Лаборатория Касперского" о новом Интернет-черве "Homepage"

Российский разработчик систем информационной безопасности компания "Лаборатория Касперского" предупредила пользователей об обнаружении нового Интернет-червя "Homepage", уже вызвавшего массовую эпидемию по всему миру. В течение последних часов служба технической поддержки компании получила сотни сообщений о фактах проникновения червя на компьютеры пользователей.

"Homepage" является очередным вредоносным кодом, использующим для внедрения примитивный метод социального инжиниринга, и не представляет опасности для тех, кто строго следует правилам "компьютерной гигиены". Под ударом оказались лишь те пользователи, которые, несмотря на многочисленные предупреждения, до сих пор позволяют себе роскошь запускать файлы сомнительного содержания на своих компьютерах", - комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского.

"Homepage" написан на скрипт-языке Visual Basic Script (VBS) и работоспособен только в операционных системах с установленным обработчиком скрипт-программ Windows Scripting Host (в Windows 98, Windows 2000 он установлен по умолчанию). В обратном случае, файл-носитель червя просто не сможет быть выполнен. Главной отличительной чертой червя является то, что его код зашифрован, для того чтобы избежать обнаружения эвристическими анализаторами.

Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в ее адресной книге. В результате, пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Рассылаемые червем письма имеют следующий вид: тема - Homepage, текст в теле письма "You've got to see this page! It's really cool ;O)", вложенный файл Homepage.html.vbs или Homepage.html.

При активизации (если пользователь открывает прикрепленный файл) червь получает доступ к функциям Microsoft Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше.

После массовой рассылки писем "Homepage", чтобы не вызвать подозрений пользователя, действительно, как и обещано в тексте сообщения, открывает один из четырех порнографических Web-сайтов, адреса которых содержатся в коде червя, сообщает Россия-Он-Лайн.

Чтобы избежать двойной рассылки зараженных писем с одного и того же компьютера, червь создает в системном реестре ключ "HKCU\software\An\mailed" и записывает в него значение "1".

Процедуры обнаружения и удаления Интернет-червя "Homepage" уже добавлены в базу данных Антивируса Касперского.