Техническая лаборатория компании Panda Software сообщила об обнаружении нового червя, зарегистрированного под кодовым названием W32/Shoho.A.
Подобно большинству обнаруженных в последнее время червей, W32/Shoho.A распространяется через электронную почту. Он использует уязвимость механизма IFRAME, позволяющего автоматически запускать вложенные файлы.
Как правило, вирус W32/Shoho проникает в систему через файлы-вложения в электронных сообщениях следующего характера: «Welcome to Yahoo! Mail». При этом он содержит вложенный файл под названием «Readme.txt.__________pif».
Пробелы между расширениями файла предназначены для визуального обмана пользователя — так вирус легко можно принять за текстовый документ.
Для рассылки сообщений W32/Shoho обращается к SMTP серверу. В качестве мишени червь ищет адреса электронной почты в системных файлах со следующими расширениями: eml, wab, dbx, mbx, xls, xlt и mdb. Все найденные электронные адреса он сохраняет в файл Emailinfo.txt.
Червь копирует себя в директории Windows и WindowsSystem под именем Winl0g0n.exe. Следует отметить, что в названии этого файла букве «О» соответствует цифра 0, а не наоборот. Кроме того, червь создает еще один файл — Email.txt. Это файл формата MIME, использующий преимущества механизма IFRAME как уязвимого места системы.
Как только запускается инфицированный файл-вложение, червь копирует себя в директорию Windows под именем WINL0G0N.EXE. Далее, он вносит изменения в системный реестр Windows для того, чтобы загружаться каждый раз при запуске системы:
KEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionRun WINL0G0N.EXE
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRunWINL0G0N.EXE
До настоящего времени вирус не получил широкого распространения, однако эксперты по сетевой безопасности призывают пользователей Сети проявлять осторожность при получении почты.