Украинский Антивирусный Центр, ведущий разработчик систем антивирусной защиты UNA, сообщает о начале эпидемии, вызванной новым червем I-Worm.Maslan. I-Worm.Maslan (в т.ч. модификации А и B) – это резидентный многокомпонентный червь, распространяющийся по электронной почте. Приходит по почте в виде присоединённого к письму файла PlayGirls2.exe. После попададния в систему создаёт в системной папке Windows (WINDOWS/SYSTEM32) файлы со своими компонентами:
___r.exe
___n.exe
___synmgr.exe
В реестре создаётся записи, приводящие к автоматическому запуску червя при загрузке операционной системы:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
“Microsoft Windows DHCP” = %SysDir%\___r.exe
“Microsoft Synchronization Manager” = ___synmgr.exe
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices
“Microsoft Synchronization Manager” = ___synmgr.exe
Размножение по электронной почте:
Червь перебирает на локальных дисках файлы с расширениями: adb, asp, cfg, cgi, dbx, dhtm, eml, htm, jsp, mbx, mdx, mht, mmf, msg, nch, ods, oft, php, sht, shtm, stm, tbb, txt, uin, wab, wsh, xls, xml. Из найденых файлов извлекаются адреса электронной почты, по которым производится дальнейшая рассылка писем.
Рассылаемые письма имеют следующий вид:
Тема письма: %Имя из списка ниже%
Текст письма: Hello %Имя из списка ниже%
Best regards,
%Имя из списка ниже%
Присоединённый файл: PlayGirls2.exe
Более подробная информация о вирусе находится здесь.
Модуль обнаружения и лечения данного червя добавлен в антивирусные базы UNA и доступен для зарегистрированных пользователей. Вирусная база UNA на 08.12.2004 года в 15.30 насчитывает 91347 записей.
