Интернет-червь I-Worm.Jer проникает на компьютеры при посещении зараженного Web-сайта

04 июля 2000 13:07
 9334
Российский разработчик антивирусных систем безопасности компания «Лаборатория Касперского» сообщает о появлении
нового Интернет-червя I-Worm.Jer, проникающего на компьютеры пользователей при посещении ими зараженного Web-сайта.

«Jer» не является чрезвычайно опасным, поскольку не несет в себе серьезного деструктивного воздействия. Кроме
того, его код содержит ряд ошибок, которые делают возможным его распространение только по каналам IRC, но не по
электронной почте. В случае, если бы этих ошибок не было, то мир оказался бы под угрозой эпидемии, по масштабам
сопоставимой с «Любовными письмами», — комментирует Евгений Касперский, руководитель антивирусных исследований
«Лаборатории Касперского», — «Однако само появление этого червя свидетельствует о вхождении в моду новой технологии
«раскрутки» вируса в Интернет. Сначала червь помещается на Web-сайт, а потом проводится массированная рекламная компания
для привлечения пользователей. Расчет сделан точно: среди тысяч посетителей найдется хотя бы несколько десятков, кто
пропустит его на свой компьютер».

Червь «Jer» использует «топорный» метод проникновения на компьютер. На Web-сайт добавляется скрипт-программа
(тело червя), которая автоматически активизируется при открытии соответствующей HTML-страницы. После этого пользователю
выдается предупреждение о том, что на его диске создается неизвестный файл. Тонкий расчет сделан на «дыры в голове»,
т.е. что пользователь автоматически ответит «да», чтобы отвязаться от назойливой скрипт-программы. Тем самым он
пропустит на свой компьютер Интернет-червя.

Именно таким образом 2 июля 2000 г. автор «Jer» разместил этого червя на одном из сайтов системы Geocities
(www.geocities.com). Заголовок сайта содержал заманчивый текст: «»» THE 40 WAYS WOMEN FAIL IN BED» («40 способов
затащить женщину в постель»). Затем информация об этой странице была анонсирована в нескольких каналах IRC, после чего
количество посещений этой страницы превысило 1000 за первый день.

Зараженная HTML страница содержит VBS-скрипт (тело червя), который автоматически выполняется при открытии
страницы и червь активизируется. Червь создает копию зараженной HTML страницы в системном каталоге Windows с именем
JER.HTM и регистрирует ее в системном реестре в секции автозапуска:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunGinSenG =»JER.HTM»

В результате червь автоматически активизируется при каждой загрузке Windows.

Затем червь переходит в каталог C:MIRC и, если такой каталог существует, создает в нем файл SCRIPT.INI. Этот
файл содержит команды которые исполняет клиент mIRC во время своей работы. Червь записывает в этот файл команды, которые
отсылают файл JER.HTM на каждый компьютер, который подключается к тому же каналу, к которому подключен и зараженный
компьютер. Кроме того, эти команды предоставляют доступ к локальному диску тому, кто написал в IRC канале указанное в
команде кодовое слово.

Червь отключает некоторые функции системы: отображение значков на рабочем столе, поиск файлов, настройку
сетевого окружения, возможность выключить компьютер. Также меняется информация о регистрации Windows:

  • Пользователь: I Love You, Min
  • Организация: GinsengBoyo 2000.
Процедуры защиты от червя «Jer» добавлены в очередное ежедневное обновление антивирусной базы «Антивируса
Касперского» (www.avp.ru).


InfoArt

Источник: нет источника

Для комментирования войдите через любую соц-сеть:
Комментарии
Мнения

Вы пойдете на выборы 9 сентября?

Просмотреть результаты

Загрузка ... Загрузка ...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: