"Лаборатория Касперского" сообщает об учащении случаев заражения новой версией почтового червя I-Worm.NetSky.q. Данная версия была обнаружена 21 марта, однако лишь теперь уровень её распространенности превысил критическую отметку. Червь распространяется через интернет в виде вложений в зараженные электронные письма. Также червь обладает функцией размножения через P2P-сети и доступные HTTP и FTP каталоги. Основной компонент червя представляет собой PE EXE-файл, размером около 29KB. Червь упакован FSG, размер распакованного файла около 40KB.
Характеристики зараженных писем Зараженные письма формируются из произвольных комбинаций. Адрес отправителя выбирается произвольно из числа найденных на зараженной машине. Тема формируется из набора заготовок. То же самое касается и текста письма. Также червь может дописывать в конец зараженного письма ложное сообщение о том, что данное письмо было проверено каким-либо антивирусом. Имя вложения имеет множество различных вариантов. Зачастую это файлы с двойным расширением, где первое "doc" или "txt", а второе выбирается из списка: .exe, .pif, .scr. Также червь способен посылать свои копии в виде ZIP-архивов. Червь может посылать письма, содержащие IFRAME Exploit (аналогично червям Klez.h или Swen). В таком случае, при просмотре письма из уязвимого почтового клиента, произойдет автоматический запуск вложенного файла червя.
Источник - http://www.kaspersky.ru