Эпидемия червя «Mydoom» («Novarg») в Интернете продолжается. «Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении новой версии сетевого червя «Mydoom» («Novarg») — «Mydoom.B».
Уже поступили сообщения о случаях заражения этой вредоносной программой. «Лаборатория Касперского» допускает, что для распространения «Mydoom.B» были использованы компьютеры, зараженные предыдущей версией червя (на данный момент их число достигает 600 000 единиц). Возможно, они получили централизованную команду начать рассылку «Mydoom.B». По этой причине не исключено, что сегодня в странах СНГ начнется новая вирусная эпидемия, по масштабам многократно превосходящая «Mydoom.A».
Новая версия червя содержит минимум технологических отличий. Она также распространяется по электронной почте и файлообменной сети KaZaA. При e-mail рассылке используется другой набор текстовых строк для создания тела письма. «Mydoom.B» в период с 1 по 12 февраля проводит DDoS-атаку сразу на два веб-сайта: www.sco.com и www.microsoft.com.
Кроме того, червь модифицирует операционную систему таким образом, что пользователь зараженного компьютера не в состоянии соединиться с сайтами многих антивирусных компаний, новостными лентами, различными разделами сайта Microsoft и загружать данные из баннерных сетей.
Как и в предыдущей модификации, вирус активизируется только в случае, когда пользователь сам откроет вложенный файл. После этого червь копирует себя в системную папку Windows с именем explorer. exe, запускает программу Notepad, в которой отображает произвольный набор символов. Также червь I-Worm.Novarg.B создает в системной папке Windows файл с именем ctfmon. dll, который является backdoor-компонентой данного вируса. Кроме того, червь вносит ряд изменений в системный реестр, что позволяет ему автоматически активироваться при каждом запуске Windows.
Кроме того, червь I-Worm.Novarg.B вносит изменения в файл «hosts» в каталоге Windows, это позволяет блокировать доступ пользователю к серверам ряда антивирусных и ИТ-компаний. Это может привести к тому, что пользователи таких антивирусных продуктов, как F-secure, Mcafee, AVP (KAV), Symantec (NAV), sophos и E-Trust не будут защищены от этого червя — они не смогут обновить свои антивирусные продукты.
Как узнать, заражен ли ваш компьютер? Проверьте системную папку windows/system на наличие файлов shimgapi. dll или ctfmon.dll. Наличие хотя бы одного из этих файлов с высокой степенью вероятности свидетельствует о том, что ваш компьютер не избежал участи многих его «собратьев».
Между тем, в связи с массовыми случаями заражения вирусом Novarg, лаборатория Касперского выпустила бесплатную утилиту для поиска и нейтрализации вируса. Несмотря на то, что вирус блокирует доступ к сайту «Лаборатории Касперского» — www.avp.ru, утилиту CLRAV можно скачать по адресу ftp://ftp.kaspersky.com/utils/clrav.zip