Червь “Novarg” вызывает новую глобальную эпидемию.

«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового опасного интернет-червя “Novarg” (также известный как “Mydoom”). Всего за несколько часов существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все шансы побить рекорды распространения в 2003 г.

Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки “Novarg”. Такая технология уже была применена ранее в почтовом черве Sobig.F.

Подробный анализ географии распространения позволяет говорить, что “Novarg” был создан в России.

Профилактика, диагностика и защита

“Novarg” распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA.

Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем.

В сети KaZaA “Novarg” присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).

Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения.

Сразу же после запуска “Novarg” открывает текстовый редактор Notepad и показывает произвольный набор символов.

Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера.

Затем “Novarg” начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.

“Novarg” имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер — модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы. Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др. В-третьих, в “Novarg” заложена функция организации DoS-атаки на сайт “www.sco.com”. Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.

«Опасность сращивания вирусных и спам-технологий и формирования объединенной, мотивированной сети кибер-преступников становится реальностью. За первые два дня этой недели мы обнаружили сразу две вредоносные программы, подтвердившие эту тенденцию, — комментирует Евгений Касперский, руководитель антивирусных исследований „Лаборатории Касперского”, — Уже в ближайшем будущем эта проблема может означать новый этап в компьютерной вирусологии, который ознаменуется еще более серьезными и частыми эпидемиями».

Процедуры защиты от “Novarg” уже добавлены в базу данных Антивируса Касперского®.

Более подробная информация о данной вредоносной программе доступна в Вирусной Энциклопедии Касперского.