"Корейский червь" легко проникает сквозь новые дыры даже в последних версиях Outlook
Во вторник "Лаборатория Касперского" предупредила пользователей о появлении нового сетевого червя "Winevar" (также известного под именем "Корейский червь", - первые случаи заражения зарегистрированы в Южной Корее в конце ноября), а уже на следующий день, судя по всему, началась эпидемия в России. Winevar грозит стать новым лидером вирусного мира и окончательно подорвать доверие к самой популярной на сегодняшней день почтовой программе - Outlook Express производства Microsoft.
Подобно печально известному семейству червей Klez, новый вирус способен заражать компьютер непосредственно в момент чтения письма, ему не требуется согласие пользователя на открытие каких-либо файлов и его нельзя заблокировать с помощью опции "Не разрешать сохранение или открытие вложений, которые могут содержать вирусы". Но в отличие от Klez.h, Klez.e и т.д., которые продолжительное время могут сравнительно мирно существовать с рабочими программами на компьютере жертвы, Winevar наделен исключительными деструктивными свойствами, которые проявляются после того, как он разошлет себя по всем возможным адресам, обнаруженным в файлах *.HTM (интернет-страницы) и *.DBX (базы, в которых хранятся все письма). Он попросту уничтожает все содержимое винчестера.
Червь является приложением Windows (PE EXE-файл), имеет размер около 91 килобайт, что довольно много для почтового послания, так как он написан на Microsoft Visual C++ (в принципе, такие вирусы можно отфильтровать по размеру файлов). Зараженные письма могут иметь различные заголовки, текст и имена вложенных файлов. При доставке в почтовый ящик потенциальной жертвы червь пытается незаметно проникнуть на компьютер, используя для этого бреши в системе безопасности Internet Explorer - Microsoft VM ActiveX Component и IFRAME Vulnerability. Как это сейчас модно в среде вирусописателей, червь уничтожает в памяти и на дисках антивирусные программы, программы-отладчики и межсетевые экраны, а также организует DoS-атаку на Web-сайт компании Symantec, запуская бесконечный цикл обращений к нему. После этого (возможно, что по причине ошибки в коде) червь уничтожает все файлы на всех дисках.