Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщила о начале достаточно быстрого распространения в сети Интернет новой разновидности червя из семейства Gibe. Новый почтовый червь массовой рассылки, названный другими антивирусными вендорами Gibe.F или Swen, распространяется по электронной почте, используя собственную реализацию протокола SMTP, а также по файлообменной сети KaZaa и сети диалогового общения в Интернете IRC.
Программный модуль червя попадает на компьютеры пользователей с почтовым сообщением, отправленным якобы от имени компании Microsoft. Тема сообщения New Microsoft Patch и прилагаемый к письму текст предлагают пользователям программных продуктов корпорации установить на компьютерах новейший кумулятивный патч к MS Internet Explorer, MS Outlook и MS Outlook Express. Приходящее с письмом вложение, в котором содержится исполняемый модуль червя, имеет длину 106496 байт и его название генерируется червем случайным образом, начинаясь с символов i, p, q, и содержит расширение .EXE.
Запуск червя на компьютере при отсутствии антивирусных программ или в случае несвоевременного обновления вирусных баз возможен без участия пользователя, поскольку червем используется достаточно старая брешь в программе Microsoft Internet Explorer.
Будучи активированным, червь производи в пораженной системе следующие действия:
- демонстрирует на экране дисплея несколько ложных сообщений якобы от имени компании Microsoft
- помещает свою копию в директорию Windows и обеспечивает доступ к ней, модифицировав соответствующую реестровую запись
для распространения по сети IRC помещает в директорию \Mirc файл Script.ini, после чего становится доступным всем пользователям системы после осуществления соединения пораженного червем компьютера с сервером IRC - для распространения по файлообменной сети KaZaa создает собственную папку со случайным названием и прописывает ссылку к ней в соответствующий ключ реестра
- останавливает некоторые антивирусные программы и брандмауэры.
