Антивирусная компания Sophos сообщила о появлении первого вируса, играющего на интересе пользователей к событиям, происходящим в Персидском заливе. Вирус, получивший название W32/Ganda - A, был написан в Швеции, причем внутри вируса содержатся строки, в которых автор червя, скрывающийся под псевдонимом Uncle Roger, жалуется на дискриминацию со стороны шведской школьной системы. Возможно, именно это и послужило мотивом для написания вируса.

Распространяется вирус по электронной почте, маскируясь под файл со скринсейвером. Рассылаемые письма имеют несколько вариантов темы и текста. В одном случае скринсейвер якобы состоит из спутниковых фотографий Ирака, в другом - темой скринсейвера является проамериканская пропаганда, а в третьем - пропаганда нацистская. В некоторых вариантах у пользователя спрашивают, может ли данный скринсейвер считаться противозаконным. Наконец, еще один вариант скринсейвера якобы предназначен для знакомства пользователей Windows со средами GNOME и KDE.

При запуске вложенного файла вирус копирует себя в папку Windows с двумя именами: scandisk.exe и именем из восьми случайно выбранных букв и расширением .exe. Помимо этого, вирус добавляет в системный реестр ключ для своего автозапуска и размещает загрузчик во все исполняемые файлы и скринсейверы. Загрузчик вызывает файл вируса со случайным именем, и удаление последнего ликвидирует заразу.

Далее вирус сканирует системную память и закрывает все процессы, содержащие строки virus, firewall, f - secure, symantec, mcafee, pc - cillin, trend micro, kaspersky, sophos или norton. Таким образом, он пытается отключить защиту от вирусов и хакерских атак. Однако в некоторых случаях это может привести к потере информации, например, при закрытии вирусом документа Word, содержащего одно из вышеприведенных слов. Главным действием вируса является рассылка копий по электронной почте. Адреса берутся из имеющихся на диске файлов форматов HTML, DBX, EML (электронные письма) и WAB (адресные книги).

Иван Карташев