Win32.Roger.45056 - новый почтовый червь, заражающий исполняемые файлы
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении нового почтового червя массовой рассылки, детектируемого антивирусным ядром Dr.Web® как Win32.Roger.45056. В классификации некоторых антивирусных компаний червь также получил название Ganda или Densux.
Win32.Roger.45056 - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Размер червя 45,056 байт.
Для распространения червь использует электронную почту, рассылая свои инфицированные копии по всем адресам, найденным в адресной книге Windows и файлах формата .eml, . htm и .dbx, собственную реализацию протокола SMTP и почтовый сервер в Швеции.
Червь инфицирует исполняемые PE - файлы, увеличивая их размер на 567 байт.
Червь формирует и рассылает с пораженного компьютера три типа почтовых сообщений.
Почтовые сообщения первого типа, рассылаемые червем, содержат тему на шведском и английском языках и название вложения, состоящее из двух символов, за которыми следует расширение .scr. Например, ab.scr.
Почтовые сообщения второго типа не содержат темы и сопроводительного текста; вкладываемое в них вложение содержит название xx.scr. При попадании такого сообщения в систему оно открывается в ней без ведома пользователя на компьютерах, где используются почтовые клиенты, некорректно обрабатывающие MIME заголовки, что позволяет вложенному в письмо программному файлу (с вирусом) автоматически запускаться при простом просмотре почты в таких клиентах, как MS Outlook и MS Outlook Express (версии 5.01 и 5.5).
Почтовые сообщения третьего типа червь отправляет по нескольким адресам в Швеции, подставляя в поле отправителя вымышленный адрес skrattahaha@hotmail.com, с сопроводительным текстом на шведском языке и темой сообщения DISKRIMINERAD !!!!
При попадании на компьютер червь осуществляет следующие действия:
Более подробную информацию о вирусе можно прочитать здесь.