16-17 августа 2010 года наблюдается активное распространение нового червя для Интернет-пейджеров.
Официальное наименование:
IM-Worm.Win32.QiMiral.ax (Лаборатория Касперского)
DeepScan:Generic.Malware.FPPkTkg.7388E5A8 (BitDefender)
Самоназвание:
За вредоносной программой закрепилось неофициальное название "Snatch" - по имени ее основного файла.
Как можно заразиться?
Вредоносная программа распространяется через Интернет-пейджер ICQ. Потенциальной жертве приходит сообщение с предложением скачать исполняемый файл snatch.exe, который якобы является развлекательным приложением (мини-игрой и т.п.) и запустить его. Как только файл запущен, начинается вредоносная активность.
Что происходит при заражении?
При запуске основной файл snatch.exe (размер - 938496 байт) захватывает контроль над учетной записью ICQ пользователя и начинает рассылать сообщения с предложением загрузить свою копию по всему списку контактов жертвы. Вредоносная программа способна поддерживать несложный разговор с собеседником, реагируя на определенные слова; к примеру, если пользователь присылает ответное сообщение со словами "вирус" или "троян", то робот отвечает письмом наподобие "ну что ты ? как можно ?" или "да нет, глянь", а при ошибках загрузки вредоносная программа советует включить в ICQ-клиенте сервис передачи файлов.
Что делать?
Если вы запустили присланный вам файл
snatch.exe или подобный ему (в будущем злоумышленники могут изменить имя распространяемого файла) и заразились, то вам необходимо:
1. Уничтожить собственно вредоносную программу. Для этого достаточно провести сканирование вашего компьютера с помощью антивирусной утилиты AVPTool (описание см. здесь:
http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки:
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ ), либо, если вы опытный пользователь, завершить вредоносный процесс в Диспетчере задач и удалить собственно тело вируса (тот самый файл, загруженный через ICQ).
2. Срочно сменить пароль к вашей учетной записи ICQ.
Также мы рекомендуем вам пройти диагностику в
лечебном сервисе Антивирусного портала VirusInfo, чтобы убедиться, что удаление вредоносной программы прошло успешно и на компьютере нет сопутствующих инфекций.
Напоминаем о правилах безопасности
Помните, что вредоносная программа может довольно убедительно имитировать живого пользователя. Если ваш собеседник ведет себя необычным для него образом и настойчиво предлагает загрузить и запустить некий файл, свяжитесь с ним по каким-либо другим каналам и убедитесь, что это действительно он, а не робот, - или хотя бы проверяйте присланные вам файлы в онлайн-сканере
VirusTotal, если у вас нет времени на выяснение всех обстоятельств.
Источник: Антивирусный портал VirusInfo