Антивирусная компания F-Secure сообщает о появлении Welyah - нового червя,
использующего для своего распространения довольно нехарактерный для вирусов
способ.
Как известно, большинство почтовых вирусов полагаются на многочисленные уязвимые
места в почтовых программах Microsoft Outlook и Outlook Express. Как правило,
после активизации они используют Outlook, для того чтобы разослать свои копии по
всем занесённым в адресную книгу адресам.
Хотя большинство пользователей не слишком беспокоятся о своей безопасности,
растёт число тех, кто всё же установил патчи и в значительной степени обезопасил
себя от проникновения вирусов. Welyah в меньшей степени полагается на Outlook,
так что защититься от него куда сложнее. Кроме того, эта "самостоятельность"
делает его опасным не только для пользователей Outlook.
Вирус, написанный на Visual Basic, содержит в себе целый SMTP-сервер и способен
рассылать электронные письма самостоятельно, не надеясь, что это сделает
Outlook. Кроме того, он ищет почтовые адреса не только в адресной книге;
программа сканирует все файлы, где может обнаружиться что-то для него
интересное, в том числе, базу писем.
Welyah распространяется в виде приложенного к письму 110-килобайтного
исполнимого файла с расширением pif. Попав на компьютер потенциальной жертвы, он
пытается активизироваться автоматически, используя широко известную дыру в
Outlook. Если это не удаётся, вирусу остаётся надеяться на беспечность
пользователя, который сочтёт его обыкновенным текстовым файлом и запустит сам.
После активизации вирус копирует себя в каталог Windows под названием
Winl0g0n.exe и изменяет реестр системы таким образом, чтобы автоматически
запускаться при включении компьютера.
О деструктивных последствиях работы вируса не сообщается. Тем не менее, у
относительно безобидного Welyah неизбежно появятся последователи, и вряд ли
стоит надеяться, что все они будут такими же мирными.
В Матрице безопасности выбор очевиден