Как сообщают специалисты компании «Доктор Веб», червь, написанный на языке программирования Delphi, способен оказывать деструктивное воздействие на операционные системы Windows NT, 2000 и XP. Для обеспечения своего запуска при каждой загрузке Windows вирус прописывает сам себя в автозагрузку.
Вполне возможно, что в августе с появлением нового червя спокойная вирусная обстановка может обостриться
При попадании в компьютер Gavir сканирует все локальные и сетевые диски, а также ресурсы общего доступа, ищет исполняемые файлы и заражает их. Затем вирус ищет в Сети активные машины и пробует подключиться к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха червь создает свою копию на инфицированной машине и удаленно запускает ее.
Однако это лишь начало. Как только вирус активизируется, он тут же начинает закачивать с разных URL (в зависимости от своей модификации) несколько вариантов программ, которые определяются антивирусом Dr.Web как Trojan.PWS.Lineage. Префикс PWS обозначает, что вредоносная программа предназначена для воровства паролей. Поэтому в случае обнаружения в компьютере таких троянских программ специалисты рекомендуют пользователям сменить все используемые в системе пароли.
На зараженных дисках вирус создает файлы _desktop.ini с датой последнего заражения, чтобы повторно не искать в директориях файлы для заражения в этот же день. При запуске инфицированных исполняемых файлов червь исцеляет их.
Новый червь похож на обнаруженный в 2004 году сотрудниками компании Symantec вирус Myfip. После активации этот вирус, заражающий компьютеры с операционными системами Microsoft Windows, создает на винчестере машины-жертвы свою копию, регистрируется в ключе автоматического запуска реестра и затем пытается проникнуть на плохо защищенные сетевые ресурсы, применяя в процессе аутентификации простые пароли, такие как «Admin» или «111».
Кроме того, червь отправляет своему автору найденные в определенных директориях инфицированного компьютера файлы с расширениями PDF, DOC, DWG, SCH, PCB, DWT, DWF и MAX. Таким образом злоумышленники не только получают доступ к паролям, но также могут завладеть конфиденциальной информацией, хранящейся в документах.
Вполне возможно, что в августе с появлением нового червя спокойная вирусная обстановка может обостриться. В июле на вирусном фронте было относительное затишье, если не считать нескольких вялотекущих эпидемий почтовых червей семейств Win32.HLLM.Netsky, Win32.HLLM.MyDoom.
Однако нельзя не отметить стремительное распространение «новой» модификации
Win32.HLLM.Beagle, начавшееся в конце июля. «Новой» – потому как механизм распространения этого представителя семейства почтовых червей
остался неизменным с 2004 года - вложение в виде защищенного паролем ZIP архива, а сам пароль указывался в теле инфицированного письма в виде графического изображения. Такой способ распространения был изобретен для максимального затруднения обнаружения червя почтовыми антивирусными фильтрами.
Цели киберпреступников неизменны – рассылка спама через компьютер пользователя, получение доступа к конфиденциальной информации. Главными «помощниками» злоумышленников остаются уязвимости в программном обеспечении и беспечность пользователей.
В качестве очередного показательного примера беспечности пользователей можно отметить заражение более 1 млн. компьютеров через баннер на сайте MySpace.com. Баннер эксплуатировал известную уязвимость в Windows Metafile (WMF), информация о которой была опубликована еще в январе 2006. В результате пользователю на компьютер загружались вредоносные программы, получившие названия по классификации «Доктор Веб» Trojan.PurityAd и Adware.ClickSpring.