Энциклопедия компьютерных вирусов
Заражение E-mail
При заражении NE-файлов вирус с вероятностью 1/8 активизирует в них процедуру рассылки зараженных сообщений e-mail, т.е. примерно каждый восьмой зараженный файл распространяет вирус в Internet. Делает он это при запуске в каталоге Eudora. Вирус ищет и открывает файлы данных: NNDBASE.TOC, OUT.TOC, OUT.MBX. Из первого файла ("Nick Names DataBase") вирус считывает имена, по которым затем будет рассылаться сообщение. После этого вирус создает и записывает зараженное сообщение в файл OUT.MBX (Outbox database), а необходимые ссылки на это сообщение записывает в файл OUT.TOC. Зараженное сообщение имеет заголовок "Red Team", содержит текст и вложенный EXE-файл (attach). Текст сообщения (в теле вируса он присутствует в скомпрессированном виде) гласит о том, что обнаружен новый e-mail вирус по имени "Red Team", против этого вируса создан антивирус, который и вложен в письмо:
----------------------------------------------------------------------
Hiya!
Just thought I'd warn you about a destructive new e-mail virus. Here is some info:
> The "Red Team" virus is a complex new computer virus that spreads via > the Microsoft Windows operating system, and Internet E-Mail. Although > it is not the first virus to spread via E-Mail (that was "Good Times"), > the Red Team virus is unparalelled in its destructive capabilities. > Further more, the virus is exceedingly common - it has already been > reported in much of western Europe, the USA, Russia, Australia, and > Japan. In short, everywhere. > > We at QUEST, have spent several weeks analysing this virus, and are proud > to anounce that we finally have a cure! The program, named "K-RTEAM" > (Kill Red Team), can be executed in any Microsoft Windows environment, and > will reliably detect (and remove if nescessary) the Red Team virus from > your system buffers. > > -- > Julia Blumin > QUALCOMM Enterprise Software Technologies > World Wide Web: http://www.qualcomm.com
The reason I thought I should warn you, is that we recently had a run in with this beast. Luckily we managed to get a copy of the excellent 'K-RTEAM' programme before the destruction really started. Just in case you should suffer the same misfortune, I have included this programme for you too.
Bye!
P.S. Make sure you warn all your friends of this new threat! ----------------------------------------------------------------------
Вложенный файл с именем K-RTEAM.EXE ("Kill Red Team") имеет формат NE и длину 6351 байт. Является он зараженной программой-пустышкой, которая при запуске не производит никаких действий (за исключением, естественно, запуска вируса). Вирус создает этот файл на диске C: (C:\K-RTEAM.EXE). В начале и конце файла присутствуют тексты:
K-RTEAM - Red Team Anti-Virus K-RTEAM Red Team Virus Found! Remove Virus? Virus Removed! Could not Remove Virus!
Вирус не посылает повторные сообщения с одного и того же компьютера: при рассылке заражений вирус создает файл-идентификатор с именем RTBASE.TOC и при следующих запусках не вызывает процедуру рассылки писем, если такой файл уже присутствует.
