Автор компьютерного червя, атака которого
в конце минувшей недели вызвала
заметный ажиотаж, называет себя "Иракским Сопротивлением" (Iraq Resistance).
А червя он создал, чтобы привлечь внимание к войне в Ираке.
Вредонос является классическим почтовым червём на Visual Basic.
Распространяется по электронной почте и, заразив компьютер, автоматически
рассылает с него новые письма аналогичного содержания. "Настоящая старая школа!"
— так прокомментировал это явление Александр Гостев из "Лаборатории
Касперского", где этого червя назвали VBMania.
Западные эксперты также отмечают "старую школу" - червь не скрывается, не
крадет данные кредиток, не требует денег. В общем, чистое искусство, на которое
редко способны современные корыстные хакеры.
Отличительными особенностями червя являются строка "Here you have" в качестве
темы письма и ссылка якобы на PDF- или WMF-файл в теле письма. Чтобы заразиться,
пользователь должен сохранить этот файл на компьютере и "открыть" его, а точнее
— запустить, поскольку в действительности данный файл является исполняемым.
Обосновавшись в системе, VBMania считывает адреса из адресной книги Windows и
рассылает по ним такие же письма от имени пользователя-жертвы. Также
производятся некоторые действия деструктивного характера: удаляются определённые
файлы, изменяется файл hosts. По данным Sophos, червь также загружает на
компьютер некие утилиты, предназначенные для кражи паролей.
Легко видеть, что червь довольно бесхитростен и использует для
распространения исключительно метод социальной инженерии. Однако данный способ
оказался вполне эффективным: атака задела многих и получила большую огласку. По
данным Cisco, в течение нескольких часов минувшего четверга, письма с этим
червём занимали 6-14% от общего почтового мусора. Среди компаний, пораженных
червем - Disney и Proctor and Gamble, а также американское аэрокосмическое
агентство NASA.
В пятницу все вредоносные файлы, ссылки на которые генерируются в письмах
червя, были удалены с сервера, поэтому он потерял способность к размножению.
Письма с заражённых компьютеров продолжают рассылаться, но они не несут угрозы.
В апреле этого года уже действовал похожий червь, созданный тем же автором,
однако в этот раз его атака оказалась куда эффективнее. Удостоверившись, что он
привлёк достаточно внимания, автор червя выложил на YouTube видео, в котором
объявил свое авторство, и посетовал, что получилось не так много шума, как у
флоридского пастора Терри Джонса, который недавно угрожал сжечь все копии
Корана.
Журналисту IDG News Роберту Макмиллану удалось списаться с хакером по email
(адрес фигурировал в предыдущей версии червя). Хакер заявил, что созданный им
вирус — всего лишь инструмент для того, чтобы донести свой голос людям, и заодно
покритиковал американскую военную операцию в Ираке.
