Текст: Владимир Парамонов
"Лаборатория Касперского" предупреждает о начале эпидемии очередного интернет-червя Zafi.B, обнаруженного в минувшую пятницу. Вредоносная программа распространяется по электронной почте в виде вложений, а также через локальные и файлообменные сети.
Червь написан на Assembler и имеет размер 12800 байт в упакованном виде (33292 байта - в распакованном). Механизмы заражения компьютера и осуществления массовых рассылок стандартны. В частности, после запуска вирус создает собственную копию в системном каталоге Windows под произвольным именем и изменяет реестр, обеспечивая себе автоматический запуск. Затем Zafi.B пытается завершить процессы fvprotect.exe, jammer2nd.exe, services.exe, winlogon.exe и удалить данные файлы с жесткого диска. Кроме того, червь отыскивает файлы, принадлежащие антивирусным пакетам, и перезаписывает их своими копиями.
Вредоносная программа рассылает письма по найденным на компьютере-жертве адресам электронной почты, при этом текст сообщения выбирается в соответствии с именем домена адреса получателя. Вирус также копирует себя в папки, содержащие в названиях последовательности символов share и upload, пытаясь, таким образом, проникнуть в пиринговые сети. Сверх того, червь Zafi.B устраивает DoS-атаки на сайты www.2f.hu, www.parlament.hu, www.virusbuster.hu и www.virushirado.hu.
"Лаборатория Касперского" присвоила вирусу рейтинг средней опасности, соответствующие обновления антивирусных баз данных для защиты от Zafi.B уже доступны для загрузки на сайте компании.
