23 октября 2003 года сторонники запрета абортов на территории Российской Федерации предприняли бесчеловечную попытку заражения компьютеров пользователей интернета интернет-червём Sexer (I-Worm.Sexer), пропагандирующим запрет абортов.

Автор вредоносной программы также ограничился примитивными техническими средствами, сделав ставку на психологию пользователя. Для распространения вредоносной программы используется один из излюбленных методов социального инжиниринга - фальсификация адреса отправителя, маскировка письма под сообщение технической службы производителя популярного программного обеспечения или антивирусной компании.

Для увеличения нажмите на картинку!	Вирус маскируется под сообщение технической службы антивирусной компании "Лаборатория Касперского".  Письмо озаглавлено "Утилита для выявления и
удаления почтовых червей". Письмо содержит вложение в виде .EXE файла "KAVUtil.exe" При открытии файла-вложения происходит заражение компьютера.

Текст письма: "В связи с появлением в Сети нового почтового червя I-Worm.Sexer предлагаем Вам утилиту для выявления и удаления этого червя из системы. Описание I-Worm.Sexer доступно в Вирусной Энциклопедии Касперского по адресу: http://www.viruslist.com/viruslist.html"

Червь получает управление, только если пользователь самостоятельно откроет вложенный файл.

При открытии файла, вредоносная программа устанавливает фоном рабочего стола Windows картинку с текстом "АБОРТ - узаконенное убийство".

Для запуска процедуры размножения червь копирует себя в директорию "Program Files\Common Files\system" c именем KAVUtil.exe и регистрирует в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run KAVUtil]
"KAVUtil" = "kavutil.exe".

Червь также ищет в системном реестре ключ: [Software\Microsoft\WAB\WAB4\Wab File Name] и рассылает себя по всем адресам электронной почты, найденным в адресной книге. Для рассылки писем используется прямое подключение к SMTP-серверу.

"Заражение компьютеров пользователей - не лучший способ для демонстрации собственной социальной позиции. Фальсификация адреса отправителя и маскировка письма под сообщение службы технической поддержки антивирусной компании довольно распространенный метод особенно среди начинающих вирусописателей, - прокомментировала появление вредоносной программы Светлана Новикова, менеджер по корпоративным коммуникациям и PR "Лаборатории Касперского".

В настоящее время зафиксировано несколько обращений от пользователей российской части интернета. Однако, по оценке экспертов лаборатории, использование создателем вируса технически примитивных средств, а также общая компьютерная грамотность большинства современных пользователей делают шансы на распространение данной вредоносной программы невысокими.

Процедуры защиты от данного сетевого червя уже добавлены в базу данных Антивируса Касперского и других ведущих антивирусных программ.

Более подробное описание I-Worm.Sexer.b доступно в Вирусной Энциклопедии Касперского.

ССЫЛКИ ПО ТЕМЕ:

Подробная информация о противоабортном вирусе

Церковный бизнес требует жертв