Энциклопедия компьютерных вирусов

         

Заражение электронной почты


Вторая нитка (наиболее ваажная) рассылает с зараженного компьютера электронные письма, в которые вложена копия червя. Для это червь использует установленную электронную почту, поддерживаающую стандартный протокол (Messaging Application Program Interface) - MS Outlook, MS Outlook Express, и т.д. При поможи MAPI червь активизирует установленного в системе почтового клиента, пытаясь подсоединиться к нему четырьмя различными способами (профайлами MAPI): default, Microsoft Outlook, Microsoft Outlook Internet Settings, Microsoft Exchange.

После подсоединения в E-mail червь постоянно следит за почтовым ящиком, проверяет входящие сообщения и "отвечает" на них. Письмо-ответ имеет тот-же Subject, что и оригинальное письмо, тело письма-ответа содержит текст:

Hi [имя адресата] I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs.

(Я получил письмо и отвечу на него при первой возможности. Пока же взгляните на вложенный ZIP-архив с документацией)

Сообщение заканчивается одной из двух возможных вариантов подписи (в зависимости от того, удалось ли червю определить имя пользователя):

bye. sincerely [имя пользователя]

Копия червя вкладывается в письма в виде файла "Zipped_Files.Exe".

Червь не отвечает на письма дважды и не отвечает на свои собственные письма. Для этого он детектирует такие письма по символу табуляции, которые он добавляет к уже "отвеченным" и отсылаемым зараженным письмам. Червь также проверяет статус письма и отвечает только на непрочитанные письма. Здесь следует отметить, что оба этих условия (не отвечать на письмо дважды, и отвечать только на непрочитанные письма) опциональны в процедуре рассылки писем и передаются в нее в виде параметров. В существующей версии червя они установлены в положения, запрещающие повторную рассылку, однако их значения могут быть легко изменены, что может привести к массовой рассылке зараженных писем и переполнению почтовых баз данных и лимитов траффика локального Интернет-провайдера.

В результате процедура рассылки зараженных писем выглядит следующим образом. При первом старте червь сканирует ящик входящих сообщений и отвечает на все непрочитанные, помечая их при этом символом табуляции и более не обращает на них внимания. Затем червь постоянно проверяет этот ящик и, как только в нем оказывается новое сообщение, немедленно создает "ответ" с приведенным выше текстом, и отправляет его по указанному в письме адресу отправителя.



Содержание раздела