»Лаборатория Касперского» предупреждает о распространении новой версии интернет-червя Sexer. Червь рассылает себя, маскируясь под сообщение технической службы »Лаборатории Касперского» с вложенным exe-файлом. При открытии файла-вложения происходит заражение компьютера. Зафиксировано несколько обращений от российских пользователей.

Напомним, предыдущая версия вредоносной программы Sexer была обнаружена 15 октября этого года. Будучи ничем не примечательным с точки зрения технического исполнения, вирус представлял собой первый образец комбинированного использования методов социального инжиниринга и политических пиар-технологий.

Автор новой версии вредоносной программы также ограничился примитивными техническими средствами, сделав ставку на психологию пользователя. Для распространения вредоносной программы используется один из излюбленных методов социального инжиниринга – фальсификация адреса отправителя, маскировка письма под сообщение технической службы производителя популярного программного обеспечения или антивирусной компании.

В данном случае вредоносная программа рассылается якобы с адреса технической поддержки »Лаборатории Касперского» support@kaspersky.com. Тема письма: «Утилита для выявления и удаления почтовых червей». Письмо содержит вложенный файл KAVUtil.exe.

Текст письма: «В связи с появлением в Сети нового почтового червя I-Worm.Sexer предлагаем Вам утилиту для выявления и удаления этого червя из системы. Описание I-Worm.Sexer доступно в Вирусной Энциклопедии Касперского»

Червь получает управление, только если пользователь самостоятельно откроет вложенный файл.

При открытии файла, вредоносная программа устанавливает фоном рабочего стола Windows картинку с текстом »АБОРТ – узаконенное убийство».

Для запуска процедуры размножения червь копирует себя в директорию »Program FilesCommon Filessystem» c именем KAVUtil.exe и регистрирует в ключе автозапуска системного реестра: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun KAVUtil]

»KAVUtil» = «kavutil.exe».

Червь также ищет в системном реестре ключ: [SoftwareMicrosoftWABWAB4Wab File Name] и рассылает себя по всем адресам электронной почты, найденным в адресной книге. Для рассылки писем используется прямое подключение к SMTP-серверу.

»Заражение компьютеров пользователей — не лучший способ для демонстрации собственной социальной позиции. Фальсификация адреса отправителя и маскировка письма под сообщение службы технической поддержки антивирусной компании довольно распространенный метод особенно среди начинающих вирусописателей, — прокомментировала появление вредоносной программы Светлана Новикова, менеджер по корпоративным коммуникациям и PR »Лаборатории Касперского». — Использование вирусописателем технически примитивных средств, а также общая компьютерная грамотность большинства современных пользователей, делают шансы на распространение данной вредоносной программы невысокими. Кроме того, важно отметить, что в соответствии со стандартами информационной безопасности, техническая служба »Лаборатории Касперского» никогда не рассылает исполняемые файлы, и наши пользователи прекрасно об этом осведомлены».

Процедуры защиты от данного сетевого червя уже добавлены в базу данных Антивируса Касперского.

Более подробное описание I-Worm.Sexer.b доступно в Вирусной Энциклопедии Касперского.