Отчет о вирусной активности

В течение прошедшей недели было зафиксировано появление программы IFRAME.BoF, а также червей Mydoom.AE, Mydoom.AF и Gavir.A.

IFRAME.BoF – это программа, использующая уязвимость в Internet Explorer версии 6.0 для переполнения буфера. Она позволяет атакующему удаленно выполнить произвольный код на уязвимом компьютере. Эта брешь считается очень критической.
Программа может быть включена во вредоносную веб страницу или электронное сообщение в формате HTML, содержащие выполняемый код. Этот код автоматически запускается в момент переполнения буфера. Код может быть любого типа, это означает, что на зараженном компьютере выполняется любое вредоносное действие.
Поскольку пока не доступны патчи для решения проблемы, рекомендуется обновлять антивирусное программное обеспечение так часто, как это возможно. Хорошей идеей также можно считать дезактивацию функции 'Active Scripting' в браузере и смену настройки почтового клиента так, чтобы сообщения просматривались в режиме простого текста.

Фактически новые версии хорошо известного червя Mydoom AE и AF уже используют программу IFRAME.BoF. Оба червя, очень схожие друг с другом, распространяются в электронных сообщениях, создаваемых самими червями. Для этого они создают HTTP сервер в коммуникационном порту 1639.
Сообщения, рассылаемые Mydoom.AE и Mydoom.AF содержат ссылку на файлы, содержащие программу IFRAME.BoF на других компьютерах. Если пользователь, получивший сообщение, кликнет на эту ссылку, и его компьютер окажется уязвимым к этой программе, черви загрузятся и автоматически запустятся на компьютере.
Mydoom.AE и Mydoom.AF также устанавливают связь с большим числом серверов IRC через порт 6667.

Червь Gavir.A загружает версию трояна Legmir. Gavir.A распространяется по сетевым ресурсам общего пользования, создавая собственные копии на доступных ресурсах.
Gavir.A также создает скрипт во временной папке для удаления своей копии в момент запуска.