Как сообщила в пятницу на своем сайте "Лаборатория Касперского", в Рунете в диком виде появился новый почтовый червь и троянский конь в одном лице. Монстра зовут "Stator". Поскольку сотрудникам "Нетоскопа" довелось лично убедиться в реальности письма, содержащего вирус, они посчитали своим долгом сообщить о его существовании.

Вирус приходит в письме некой Светы Ковалевой, с адреса "zgnubip@mail.ru". При этом в поле "тема" значится: "привет". В теле письма содержится пространное послание, рассчитанное на пользователя, не отягощенного опытом пользования Интернетом вообще и почтовыми программами в частности. Социальный инжиниринг в послании сведен к минимуму, следующим шагом в этом направлении может быть только что-нибудь типа: "Я тут шлю вам всем "трояна" - посмотрите, не пожалеете".

Текст письма гласит: "Привет! Твой адрес мне дал один наш общий друг ( первый адрес, который ему пришел в голову). Я недавно в интернете и только что получила этот почтовый ящик! Так что я первый раз пишу электронное письмо!!! Он сказал что если у меня возникнут вопросы, то я могу спрашивать у тебя... Я довольно симпатичная и общительная. (можешь на фото посмотреть) Жду ответа от тебя!!! Напиши немного себе и то что ты хочешь знать обо мне. Пока! Пока! :)))))))))".

К письму приложен обещанный аттачмент, который, по сведениям "Лаборатории Касперского", действительно, помимо вируса содержит также и фотографию некой девушки. Имя вложенного файла обладает обычным для подобных "фотографий" двойным расширением: "photo1.jpg.pif". Напомним, что .pif - расширение исполняемых файлов DOS, а присланные от неизвестного исполняемые файлы, как известно, открывать не надо.

Как пишет "Лаборатория Касперского", вирус рассчитан на владельцев почтовой программы "The Bat", которая приобрела в последнее время большую популярность среди опытных пользователей Интернета, прежде всего, в Центральной и Восточной Европе. По сведениям "Лаборатории" - это первая вредоносная программа, использующая возможности "The Bat" во вредительских целях.

Червь рассылает себя, используя базу данных "TheBat". При рассылке червь использует протокол SMTP (прямой доступ) и отсылает свои письма через почтовый сервер smtp.mail.ru.

Чтобы замаскировать свое присутствие после активизации, червь создает на диске jpeg-файл с фотографией девушки и открывает его. После активации червь внедряется в файлы Windows mplayer.exe, WINHLP.exe, notpad.exe, control.exe, scanregw.exe, после заражения расширение файлов заменяется на .vxd, а сами файлы заменяются на копии червя.

Червь также копирует себя в системный каталог Windows в качестве scanregw.exe и loadpe.com, а в главный каталог Windows - под именем ifnhlp.sys. Файл loadpe.com затем регистрируется в системном реестре, в секции автозапуска, в результате чего при запуске любого .exe файла происходит активизация червя, после чего и этот файл превращается в одну из копий червя с расширением .vxd.

Характерной чертой всех вредоносных файлов, создаваемых на зараженной машине, является их размер - 61 Кб.

Вирус ворует и отсылает хозяину логины и пароли подключения к локальной сети, Интернету и многое другое.