MyLife: новый червь особенно опасен по утрам...

[22.03.2002]

Характеристики вируса:
Тип: почтовый червь
Имя (по классификации Doctor Web): Win32.HLLM.Generic.36
Другие имена: W32.Caric@mm, W32.MyLife.B@mm

В начале текущей недели появились сообщения о начале распространения по сети Интернет очередного почтового червя, который получил название "MyLife". Антивирус Doctor Web изначально определял этот вирус своим эвристическим анализатором, утром 22 марта отдельная вирусная запись была добавлена в горячее дополнение вирусной базы.

По нашим данным, вирус начал свой путь из Австралии. Пока сложно говорить, насколько широко распространится этот червь: на 22 марта можно говорить лишь о единичных случаях заражения. По методу распространения червь мало чем отличается от своих собратьев: заразив компьютер, он начинает себя рассылать по всем адресам, которые найдет в адресной книге MS Outlook. Однако следует отметить одну важную деструктивную особенность данного вируса, которая грозит большими неприятностями неосторожным пользователям.

Попадая на компьютер (это происходит, если пользователь сам запустит приложение, дважды щелкнув левой кнопкой мыши по обозначающей его иконке), червь сохраняет свою копию в каталоге %WINDOWS%\system (%WINDOWS% - каталог, куда инсталлирована Windows) под именем cari.scr. Данное расширение, свойственное файлам - "хранителям экрана", которые являются разновидностью исполняемых файлов и могут быть запущены системой, многими воспринимается без достаточной настороженности, что и используется авторами вируса. Одновременно с этим, вирус прописывает себя в реестр Windows в ключе автозапуска программ - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - в виде следующей записи: win="%SYSTEM%\cari.scr". Таким образом, при следующем старте системы, вирус запускается вновь и определяет, образно говоря, "который сейчас час". Именно час! Если час равен 8, то есть, если запуск системы произошел между 8:00 и 8:59 утра включительно, вирус начинает уничтожать на компьютере файлы по следующим маскам:

C:\*.*

D:\*.*

E:\*.*

F:\*.*

Кроме того, вирус стирает следующие файлы в различных системных каталогах Windows: *.SYS, *.VXD, *.OCX, *.NLS. Легко догадаться, что в результате этих действий, если они завершатся успешно для вируса (но отнюдь не для пользователя), на компьютере пользователя не останется никаких файлов в корневых каталогах соответствующих дисков, а также целого ряда системных файлов.

Пока не наступило утро...

Чтобы проверить, не попал ли к Вам на компьютер этот вирус, посмотрите, нет ли в системном каталоге Windows файла под названием cari.scr. Если такой файл обнаружен, удалите его. После этого необходимо удалить упоминание о вирусе в реестре Windows. Для этого запустите программу regedit.exe и перейдите в левой панели в секцию HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. При этом найдите в правой панели запись win=C:\WINDOWS\SYSTEM\cari.scr и удалите ее.

Как защититься? Точно так же, как и от множества других назойливых почтовых червей, которые в последнее время сильно досаждают пользователям Интернета - проявлять максимум осторожности при получении писем от неизвестных отправителей либо с необычным или подозрительным содержанием. "Максимум осторожности" в нашем понимании - немедленное удаление поступившего письма, несмотря на очень заманчивый заголовок или картинку. Если письмо пришло от известного адресата - лучше связаться с ним по почте и уточнить, знает ли он сам об отправленном Вам письме. Если знает, попросите прислать еще раз, если не знает - посоветуйте посетить эту страничку.

Тем же, кто уже пользуется антивирусом Doctor Web, советуем как можно чаще запускать утилиту обновления вирусной базы - ведь горячие дополнения от лаборатории Игоря Данилова выходят по нескольку раз в день!