28 мая 2003, 14:28

Новый червь "Nocana" спекулирует на популярности "Матрицы"

Лаборатория Касперского поямала нового червя, однако, что радует, пока никто им не заболел. Новичок "Nocana", также известный как "Naco", распространяется обычным для червей способом - через интернет в виде файлов, прикрепленных к зараженным письмам. Кроме того, он ползет и по P2P-сетям обмена файлами.

В копии червя могут стоять имена:

The Matrix Reloaded.jpg.exe
The Matrix Evolution.mpg.exe
The Matrix Reloaded Preview.jpg.exe

"Nocana" написан на Visual Basic. Он "родственник" червя "I-Worm.Melare". Известно несколько версий "Nocana", которые незначительно отличаются друг от друга. "Nocana.a" : около 29K (упакован UPX, размер распакованного файла - около 80K); "Nocana.b" : около 86K; "Nocana.c" : около 32K (упакован UPX, размер распакованного файла - около 100K).

Нужно иметь в виду, что реальное .EXE-имя файла во вложении скрыто "ложным" .JPG-именем при помощи дополнительных возможностей MS Outlook. Таким образом зараженное EXE-вложение в письме выглядит как .JPG-файл, однако, при открытии этого вложения оно обрабатывается как EXE-файл. Вложения подобного рода автоматически блокируются по умолчанию версиями MS Outlook 97 SP2 и выше. "Nocana" останавливает и выгружает активные процессы некоторых антивирусов и файерволов. Червь записывает свои копии в каталоги обмена файлами сетей KMD, Kazaa, Morpheus, Grokster, BearShare, Edonkey2000, Limewire.

Ежемесячно по числам: 1, 4, 8, 12, 16, 20, 24 и 28 червь случайным образом выполняет одно из действий:

  • запускает все файлы из текущего каталога (как правило - в системном каталоге Windows)
  • выводит сообщение:
    Anacon W0rm
    The only I have to say is, I need you babe!
  • форматирует диск D:
  • уничтожает все файлы в текущем каталоге (как правило - в системном каталоге Windows)
Оцените новость:
  • 0 оценок