В семействе так называемых "рождественских вирусов" - пополнение. Компания Panda Software сообщает о появлении нового интернет-червя, получившего название W32/Shoho.A.
Подобно большинству своих собратьев, W32/Shoho.A распространяется через
электронную почту. Он использует уязвимость механизма IFRAME, позволяющего автоматически запускать вложенные файлы. Для рассылки сообщений W32/Shoho.A обращается к SMTP серверу. В качестве мишени червь ищет адреса электронной почты в системных файлах со следующими расширениями: eml, wab, dbx, mbx, xls, xlt и mdb. Все найденные адреса он сохраняет в файл EMAILINFO.TXT.
Внедрившись в почтовую программу зараженного компьютера, W32/Shoho.A отправляет по найденным адресам письма следующего характера:
Тема: Welcome to Yahoo! Mail
Текст письма: Welcome to Yahoo! Mail
Вложение: README.TXT .PIF
Пробелы между расширениями файла предназначены для визуального обмана
пользователя - чтобы тот принял вложение за безобидный текстовый документ, который можно безбоязненно открыть.
Затем червь копирует себя в директории Windows и Windows\System под именем WINL0G0N.EXE, после чего вносит изменения в системный реестр Windows - для того, чтобы загружаться каждый раз при запуске системы.