Вирусная лаборатория Panda Software сообщила сегодня о появлении нового «червя» Lirva (W32/Lirva) и «обновлении» старого — обнаружен N-вариант «червя» W32/Explorezip, распространяющегося по электронной почте.

Вредоносный код Lirva использует для распространения различные средства, включая электронную почту, файл подкачки программы KaZaA, а также программы для IRC и ICQ-чатов. Если Lirva рассылается по электронной почте, он эксплуатирует известную уязвимость в Microsoft Internet Explorer для того, чтобы автоматически запускаться всякий раз, когда письмо с «червем» будет просматриваться в окне предварительного просмотра.

Характеристики письма с новым «червем» различны, поскольку тема письма, содержание и название прикрепленного файла выбираются из определенного списка. Там может упоминаться как юная певица Авриль Лавинь, так, к примеру, и Давосский саммит.

Если пользователь открывает файл, прикрепленный к этому электронному письму, или если Lirva запускается автоматически, «червь» создает несколько файлов на зараженном компьютере, включая копии самого себя. Также Lirva создает файлы и сохраняет их под случайным именем в совместно используемом каталоге в KaZaA. Если на зараженном компьютере установлена программа IRC, Lirva модифицирует файл «script.ini».

Также этот «червь» запрограммирован для блокировки антивирусов и межсетевых экранов для того, чтобы визуализировать незащищенность компьютера жертвы. И, наконец, этот вирус будет запускаться каждый раз при включении компьютера посредством внесения соответствующей записи в системный реестр.

Кроме того, появился N-вариант «червя» W32/Explorezip, распространяющегося по электронной почте. Распространение этого «червя» может носить быстрый и массовый характер. W32/Explorezip.N рассылает себя, используя MAPI-команды в почтовых программах MS Outlook, MS Outlook Express и MS Exchange. На компьютеры он попадает в электронном письме в файле, который называется zipped_files.exe. В отличие от своего предшественника, этот «червь» сжат с помощью UPX, и размер файла составляет 91,048 байта.

W32/Explorezip является чрезвычайно деструктивным вирусом. Будучи однажды активирован, он отбирает файлы и документы на зараженной машине и уменьшает их до 0 байтов (как если бы они были опустошены или уничтожены). Далее он повторяет эту операцию каждые 30 минут. Это действие может на привести к невосполнимым потерям важной информации. В локальных сетях этот «червь» ищет доступ в папку Windows машинах других пользователей и, обнаружив ее, копирует себя и изменяет WIN.INI файлы на этих машинах. Далее он активирует свою вредоносную загрузку, уменьшая размеры файлов.

W32/Explorezip впервые появился в 1999 году и стал, подобно вирусу Melissa, одним из самых опасных и «дорогостоящих» для компаний.

Служба технической поддержки Panda Software уже зарегистрировала несколько инцидентов, вызванных новыми червями, и поэтому советует всем пользователям с повышенным вниманием относиться к своей электронной почте и немедленно обновить свои антивирусные программы.