Cразу четыре новых варианта червя Beagle выпущены на волю

[19.03.2004]
Служба мониторинга вирусной активности ЗАО 'ДиалогНаука' сообщает о появлении сразу четырех новых вариантов полиморфного почтового червя массовой рассылки из семейства Beagle. Все четыре модификации определяются антивирусными программами DRWEB_REG как Win32.HLLM.Beagle.49152. В классификациях других антивирусных вендоров они названы Beagle.Q, Beagle.R, Beagle.S и Beagle.T.

Наверняка многие пользователи получили странные сообщения, в которых кроме темы письма не было привычного, пусть даже короткого сопроводительного текста. Вряд ли у них возникли подозрения, что это было вредоносное послание - в письме не было и вложения. Спокойно удалив, или не удалив эти послания из папки входящей корреспонденции, пользователи и не подозревали, что процесс инфицирования их систем идет полным ходом, а контроль за компьютером уже не принадлежит им одним. На это и рассчитывали авторы новых представителей, пожалуй, одного из самых успешных в истории компьютерной вирусологии семейства.

Проникновение в системы новых Beagle стало возможным на компьютерах, не пропатченных от обнаруженной и закрытой еще в августе 2003 года уязвимости в системе безопасности Internet Explorer версий 5.01, 5.0 и 6.0. Дополнительно, в октябре того же года корпорация Microsoft выпустила фикс MS03-040. То самое «бестелесное» послание является специальным образом сконструированным сообщением, которое, даже при простом открытии почтового клиента, через порт TCP\81 подгружает из сети интернет HTML файл, помещающий в систему скрипт, написанный на VBS, который, в свою очередь, загружает и активирует на компьютере-жертве исполняемый модуль червя. Загрузка производилась с огромного числа сайтов, список которых содержался в его теле. На данный момент многие из этих ресурсов блокированы.

Под ударом оказались, главным образом, пользователи домашних компьютеров, так как, скорее всего, компании давно позаботились о соответствующей заплатке для своих сетей. Опасность их распространения увеличивает невозможность получить «прививку» от новой угрозы, так как подобно предыдущим вариантам новые Beagle блокируют доступ пользователей к сайтам антивирусных компаний.