Интернет и СМИ
21:18, 17 августа 2000

Новый вирус маскируется под резюме и шпионит за клиентами швейцарских банков

В России и Швейцарии обнаружен очередной вариант "любовного" вируса, который маскируется теперь под резюме для найма на работу.

Узнайте больше в полной версии ➞

Как сообщает Лаборатория Касперского, вирус I-Worm.LoveLetter.bd использует известный психологический прием, когда пользователю предлагается ознакомиться с резюме, находящимся во вложенном файле RESUME.TXT.VBS, якобы от швейцарской интернет-компании, приглашающей на работу профессионального программиста.

После запуска зараженного файла вирус автоматически открывает текстовый редактор Notepad (по умолчанию поставляется со всеми версиями операционной системы Windows), где демонстрирует содержание резюме, которое начинается так:

Knowledge Engineer, Zurich

Intelligente Agenten im Internet sammeln Informationen, erkluren Sachverhalte im
Customer Service, navigieren im Web, beantworten Email Anfragen oder verkaufen
Produkte.

Одновременно с этим, незаметно для пользователя, вирус получает доступ к почтовой программе Outlook и, подобно своему оригиналу – вирусу LoveLetter, рассылает свои копии (вместе с тем же вложенным резюме) по всем адресам из адресной книги программы.

Отличительной особенностью вируса является его способность "докачивать" из Интернета файл HCHECK.EXE, в котором находится "троянец" Hooker. Он, в свою очередь, собирает на зараженном компьютере всю информацию о пользователе, включая имя, фамилию, установленное программное обеспечение, адреса, имена и пароли для входа в Интернет и др., а также полностью контролирует все нажатия клавиш на клавиатуре. Позднее все эти сведения отсылаются автору вируса на анонимный адрес электронной почты. Однако это функция активизируется только в случае, если на компьютере используется программа USB PIN Объединенного банка Швейцарии "Union Bank of Switzerland" для осуществления банковских операций через Интернет.

Как отмечает Лаборатория Касперского, вирус "докачивает" троянскую компоненту с web сайтов достаточно солидных организаций, которые вовремя не позаботились о правильном разграничении прав доступа к своим ресурсам. Среди них – Мичиганский государственный институт и Национальный институт здравоохранения США. По случайности на сайтах этих организаций открыт полный доступ как на запись, так и на чтение файлов в публичной директории. Это дало автору вируса возможность использовать их для своих криминальных целей.

Для предотвращения заражения данным вирусом пользователи ни в коем случае не должны запускать вложенный файл RESUME.TXT.VBS, ровно как и другие подозрительные файлы полученные из неизвестных источников, либо странные файлы от ваших коллег или знакомых. Напомним, что первая версия подобного вируса, поразившая тысячи компьютеров по всему миру, притворялась признанием в любви, что и заставляло многих бездумно открывать вложения. В последующем появлялись другие версии, где вирус маскировался под подборку анекдотов, подарок или счет за авиабилеты.

Лаборатория Касперского, естественно, рекомендует также установить свою программу AVP Script Checker.

Кроме того, можно установить специальную заплатку для почтовой программы Microsoft Outlook, которая блокирует открытие любых исполняемых файлов из почтовой программы. Есть и более радикальная мера - вообще не использовать Outlook. В некоторых европейских интернет-кафе ее использование до сих пор запрещено из-за прокатившейся там эпидемии "вируса любви".

< Назад в рубрику