Разработчики систем антивирусного ПО сообщили сегодня об обнаружении новой разновидности сетевого червя Tanatos - Tanatos.b (также известного как Bugbear.b). Данная версия вредоносной программы обладает рядом опасных функций. В частности, она способна заражать исполняемые файлы многих программ, хранящихся на жестком диске, а также спровоцировать утечку конфиденциальной информации с зараженного компьютера. В настоящий момент уже зарегистрированы многочисленные случаи заражения новым вирусом по всему миру.

В частности, по данным работы онлайнового антивируса Panda ActiveScan, 12,72 % проверенных компьютеров заражены червем Tanatos.b. Это первая строка в списке наиболее распространенных вирусов.

Интернет-червь Tanatos.b распространяется по электронной почте как файл-вложение в зараженном письме. При этом письмо может иметь различные тему, тело письма и название вложения. Активизация вредоносной программы происходит при запуске файла-носителя, после чего червь заражает компьютер и запускает процедуру распространения. Для запуска файла-вирусоносителя используются несколько способов: автоматически, через брешь IFRAME в системе безопасности Internet Explorer, при помощи пользователя, через локальные сети.

При установке Tanatos.b копирует себя под случайным именем в каталог автозапуска программ, создает свои файлы в системной директории Windows, а также копирует себя в каталог Windows и директорию временных файлов. Затем червь начинает процедуры распространения, используя встроенный SMTP-движок. Для рассылки по электронной почте Tanatos.b ищет новые адреса, сканируя на доступных дисках файлы со следующими расширениями: *.ODS, INBOX.*, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX.

Данная версия сетевого червя обладает несколькими опасными функциями. Tanatos.b заражает исполняемые файлы операционной системы Windows. В списке объектов, которые заражает Tanatos.b, – также исполняемые файлы многих популярных программ: Outlook Express, Internet Explorer, архиватора WinZip, системы файлового обмена KaZaA, систем интернет-пейджинга ICQ и MSN Messenger, протоколов передачи данных FTP и CuteFTP, программ ACDSee, Adobe Acrobat, Adobe Acrobat Reader, Windows Media Player и других.

Кроме того, в данной версии сетевого червя заложен потенциал backdoor-программы, позволяющий вирусописателю получить управление над зараженной машиной и осуществить доступ к конфиденциальной информации. Для реализации своей backdoor-функции червь открывает на зараженном компьютере порт 1080. Через этот порт он может осуществлять следующие действия: передавать информацию о содержимом диска, копировать, запускать, удалять файлы, сообщать об активных приложениях, закрывать их, загружать файлы с удаленных компьютеров, пересылать вирусописателю информацию от ”клавиатурного жучка”, устанавливать http-сервер.

Напомним, что первая версия сетевого червя Tanatos была обнаружена в сентябре 2002 года. Тогда Tanatos вызвал многочисленные случаи заражения во всем мире. Червь сочетал в себе функции сетевого червя и “троянца”, что делало его исключительно опасной программой, допускающей утечку конфиденциальной информации.

Новая версия вредоносной программы представляет собой исполняемый файл Windows размером около 72 килобайт (упакован утилитой сжатия UPX и дополнительно зашифрован), написанный на языке программирования Microsoft Visual C++.