Вчера "Лаборатория Касперского" сообщила об обнаружении новой разновидность червя семейства IM-Worm.Win32.Kelvir — она получила версию Kelvir.k. Как обычно, Kelvir распространяется с ботом, который мы определяется как Backdoor.Win32.Rbot.gen. Новый вариант Kelvir использует любопытный метод социального инжиниринга: вместо отправки ссылки на pif- или scr-файл, червь рассылает ссылку на файл с расширением php. Обработчик php-файлов позволяет добавлять к ним любые цифры и буквы — в виде запросов, после символа «?». Именно это делает Kelvir.k — указывает после php-файла электронный адрес пользователя MSNM. Например: Email пользователя №1: some@thing.qqq; Email пользователя №2: other@thing.zzz. Пользователь №1 получает ссылку, которая выглядит следующим образом: http://www.[edited].us/[edited]/pictures.php?email=some@thing.qqq. Пользователь №2 получает ссылку, которая выглядит следующим образом: http://www.[edited].us/[edited]/pictures.php?email=other@thing.zzz. Когда пользователь щелкает по ссылке, ему выдается предложение запустить или сохранить файл. По идее, уже на этом этапе большинство пользователей заподозрят неладное и не станут сразу запускать этот файл. Однако, как только пользователь щелкает по ссылке, злоумышленники получают адрес его электронной почты. То есть, адрес попадает в спамерские базы даже если сам червь так и остается не активированным. Вызвана ли эта новая тактика сбора адресов появившимися в MSNM 7 защитными функциями? Не думаю. Пока писался этот текст, мы обнаружили перепакованную версию Kelvir.e. А Kelvir.e для своего размножения использует ссылку на scr-файлы, которые не фильтруются MSNM 7.
Веблог "Лаборатории Касперского"