Вирусная лаборатория Panda Software сообщила сегодня о появлении нового "червя" Lirva (W32/Lirva) и "обновлении" старого - обнаружен N - вариант "червя" W32/Explorezip, распространяющегося по электронной почте.

Вредоносный код Lirva использует для распространения различные средства, включая электронную почту, файл подкачки программы KaZaA, а также программы для IRC и ICQ - чатов. Если Lirva рассылается по электронной почте, он эксплуатирует известную уязвимость в Microsoft Internet Explorer для того, чтобы автоматически запускаться всякий раз, когда письмо с "червем" будет просматриваться в окне предварительного просмотра.

Характеристики письма с новым "червем" различны, поскольку тема письма, содержание и название прикрепленного файла выбираются из определенного списка. Там может упоминаться как юная певица Авриль Лавинь, так, к примеру, и Давосский саммит.

Если пользователь открывает файл, прикрепленный к этому электронному письму, или если Lirva запускается автоматически, "червь" создает несколько файлов на зараженном компьютере, включая копии самого себя. Также Lirva создает файлы и сохраняет их под случайным именем в совместно используемом каталоге в KaZaA. Если на зараженном компьютере установлена программа IRC, Lirva модифицирует файл "script.ini".

Также этот "червь" запрограммирован для блокировки антивирусов и межсетевых экранов для того, чтобы визуализировать незащищенность компьютера жертвы. И, наконец, этот вирус будет запускаться каждый раз при включении компьютера посредством внесения соответствующей записи в системный реестр.

Кроме того, появился N - вариант "червя" W32/Explorezip, распространяющегося по электронной почте. Распространение этого "червя" может носить быстрый и массовый характер. W32/Explorezip.N рассылает себя, используя MAPI - команды в почтовых программах MS Outlook, MS Outlook Express и MS Exchange. На компьютеры он попадает в электронном письме в файле, который называется zipped files.exe. В отличие от своего предшественника, этот "червь" сжат с помощью UPX, и размер файла составляет 91,048 байта.

W32/Explorezip является чрезвычайно деструктивным вирусом. Будучи однажды активирован, он отбирает файлы и документы на зараженной машине и уменьшает их до 0 байтов (как если бы они были опустошены или уничтожены). Далее он повторяет эту операцию каждые 30 минут. Это действие может на привести к невосполнимым потерям важной информации. В локальных сетях этот "червь" ищет доступ в папку Windows машинах других пользователей и, обнаружив ее, копирует себя и изменяет WIN.INI файлы на этих машинах. Далее он активирует свою вредоносную загрузку, уменьшая размеры файлов.

W32/Explorezip впервые появился в 1999 году и стал, подобно вирусу Melissa, одним из самых опасных и "дорогостоящих" для компаний.

Служба технической поддержки Panda Software уже зарегистрировала несколько инцидентов, вызванных новыми червями, и поэтому советует всем пользователям с повышенным вниманием относиться к своей электронной почте и немедленно обновить свои антивирусные программы.