|
Имён у него ещё много, но вся эта многоликость скрывает одну и ту же зловредную программку, совмещающую функции почтового вируса, сетевого червя и шпионской закладки с возможностью удалённого управления. Впрочем, отличает его от поделок других вирусописак прежде всего оригинальная задумка автора: текст, находящийся в поле письма, к которому и пристёгнут вирус, очень похож на стандартный ответ почтового сервера, извещающего о невозможности доставить послание адресату. Само послание при этом обычно возвращается в виде одного или нескольких прикреплённых файлов, так что "пристёгнутый" к письму документ с осмысленным названием и расширением .zip, .bat или даже .exe может быть открыт просто по недоразумению. Стартовав, Novarg запускает для отвода глаз стандартный "Блокнот", демонстрируя в нём набор бессмысленных кракозябр, а сам в это время проводит массовую рассылку собственных копий по обнаруженным на данном компьютере почтовым адресам, проверяет на машине наличие клиента файлообменной сети KaZaA и записывает себя в его обменный фонд в случае положительного результата проверки (так к разрастанию эпидемии подключаются пользователи популярнейшей P2P-сети), а кроме того устанавливает на инфицированный компьютер "троянского коня", открывая для удалённого управления порты с 3127 по 3198. Собственно шпионская закладка носит название shimgapi.dll и размещается в папке system32 в директории Windows, а вирус прячется в файле taskmon.exe в папке system (заметьте, что в основном каталоге Windows есть одноимённый файл, никакого отношения к вирусу не имеющий). Каких-то дополнительных мер для маскировки MyDoom не предпринимает, поэтому удалить его достаточно просто даже вручную - соответствующие инструкции есть, к примеру, на сайте F-Secure. Впрочем, 12 февраля, следуя заложенным в него инструкциям, вирус должен прервать своё существование самостоятельно. Но до этого счастливого момента он наделает ещё немало шуму. Дело в том, что, опять же следуя указаниям своих программистов, 1 февраля MyDoom начнёт крупномасштабную распределённую атаку типа "отказ в обслуживании" (DDoS) на веб-сервер всем известной компании SCO Group. Уже в предыдущие три дня, очевидно из-за календарных неточностей на заражённых компьютерах, доступ к сайту sco.com временами был затруднён. Что ожидает его в ближайшие дни страшно даже представить: эпидемия MyDoom разрастается темпами, уже перекрывшими эпидемический всплеск считавшегося самым быстрым и массовым вируса Sobig.F В среднем, каждое двенадцатое письмо, переправляемое почтовыми серверами сегодня, содержит копию Novarg - и это только начало. А пока форумы полнятся ехидными комментариями злорадствующих линуксоидов - мол, не перенесли ли уже MyDoom под Linux и если да, то откуда можно выкачать копию. SCO не преминула использовать ситуацию себе во благо: компанией объявлена награда в 250 тысяч долларов тому, кто сможет предоставить ценную информацию касательно авторства нового вируса. То ли ещё будет!
|
