Червь MYTOB также быстро распространяется в Венгрии.
Trend Micro поддерживает средний уровень оповещения о последних вариантах червя MYTOB — последние 2 варианта были обнаружены во многих странах, в том числе и в нашей стране.
За последние два месяца, с момента его выпуска 2 февраля 2005 г., TrendLabs, глобального центра антивирусных исследований и поддержки компании Trend Micro, выявило более 26 вариантов червя MYTOB. Согласно сегодняшней статистике из Вируширадо, за последние 100 дней в Венгрии появилось 7 вариантов MYTOB и нанесло ущерб, в результате чего в системе бесплатной почты было зарегистрировано в общей сложности 39 588.037 заражений. На это приходится почти 7% атак за последние 30 дней, весь зараженный файл содержит 2 миллиона электронных писем.
Как распространяется MYTOB
Как и предыдущие версии, этот резидентный червь распространяется путем отправки своих копий получателям через механизм SMTP в виде вложенного файла в сообщениях электронной почты. После запуска червь загружает шпионскую программу, которая размещает рекламу на компьютерах жертв. Червь также может открывать бэкдоры и имеет встроенный бот Internet Relay Chat (IRC), который позволяет ему подключаться к указанному IRC-серверу.
Тактика, используемая для распространения
Используя классическую тактику доверчивости пользователей, MYTOB представляет себя как важное сообщение для этого почтового ящика - как если бы сообщение было отправлено администратором. Червь может приходить в виде нескольких писем с разными темами и текстом. Он просит пользователя ответить на письмо, если он хочет избежать блокировки или закрытия своего почтового ящика.
Рекомендации экспертов Trend Micro по защите
«Это не первый раз, когда мы видим подобную тактику, основанную на доверчивости, со стороны авторов вредоносного кода, и в прошлом мы видели имена знаменитостей во вредоносных приложениях. Однако большее беспокойство вызывает растущее количество шпионского и рекламного ПО в сочетании с возможностями бэкдора, поскольку эти приложения позволяют злоумышленнику обмануть свою жертву. Trend Micro рекомендует системным администраторам отключать несущественные расширения файлов, такие как .exe, .pif и .scr, а конечным пользователям избегать открытия подозрительных электронных писем и вложений и следить за тем, чтобы файлы антивирусных образцов всегда были актуальными. -дата." - сказал Дэвид Копп, глава TrendLabs EMEA.
Клиенты Trend Micro защищены от этой угрозы с помощью последнего образца файла под номером 2.653.00. Клиенты Outbreak Prevention Services могут защититься от распространения этой угрозы, загрузив политику предотвращения заражения OPP 177 (или более поздней версии). Клиенты, использующие услуги Damage Cleanup Services, могут облегчить автоматическое восстановление затронутых систем, загрузив файл шаблона № 622.
Остальным пользователям мы рекомендуем бесплатную онлайн-антивирусную службу Trend Micro Housecall, доступную по адресу http://housecall.trendmicro.com/.
WORM_MYTOB.BI и WORM_MYTOB.AR
После запуска червь помещает в системные папки Windows файл, в названии которого часто присутствует имя известной бельгийской актрисы Лиен Ван де Келдер. Компонент шпионского ПО, обозначенный как TSPY_AGENT.H, позволяет злоумышленнику отслеживать щелчки мыши на шпионском веб-сайте mediatickets.net, включая показатели заражения и предпочтения пользователя.
