Вірусныя аналітыкі кампаніі Eset выявілі новую шкоднасную праграму, якая распаўсюджваецца праз Windows Live Messenger, сацыяльныя сеткі MySpace, Hi5. Шкоднаснае праграма ў цяперашні час дэтэктуецца антывіруснымі прадуктамі і не ўяўляе небяспекі для карыстачоў антывірусных рашэнняў Eset NOD32.
Праграма класіфікаваная як самореплицирующийся чарвяк. Пры пранікненні на кампутар карыстача чарвяк рассылае па кантакце-лісту Windows Live Messenger паведамленне на іспанскай мове «Yo creo que esta es tu fotografia!» са спасылкай на загрузку шкоднаснага кода. Пры гэтым у лісце ўтрымоўваецца просьба адкрыць спасылку і запампаваць малюнак аўтара ліста.
Як толькі атрымальнік паведамлення перайшоў па спасылцы, чарвяк дадае сябе ў тэчку [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] і захоўваецца як %windir%winrofl32.exe. Праграма функцыянуе як стандартны IRC-бот і прапісваецца ў логу канала IRC.
Цікава, што кампанент шкоднаснай праграмы, які адказвае за рассыланне спам-паведамленняў, а таксама тэкст паведамлення могуць быць лёгка змененыя. Шырокім распаўсюджваннем у сацыяльных сетках і сярод карыстачоў Windows Live Messenger чарвяк абавязаны метадам сацыяльнай інжынерыі, якія ўжылі зламыснікамі — карыстач атрымлівае паведамленне ад знаёмага кантакту, якому пахілены давяраць.
«Важна адзначыць, што фармулёўка, утрыманне, нават мова пасланага паведамлення могуць змяніцца. Сам чарвяк, хутчэй за ўсё, будзе мадыфікавацца распрацоўнікамі, што абцяжарыць яго дэтэктаванне сигнатурными метадамі. Аднак мы ўпэўненыя, што эўрыстычныя тэхналогіі, выкарыстоўваныя ў прадуктах кампаніі Eset, дазволяць дужацца не толькі з гэтай пагрозай, але і з яе мадыфікацыямі», — адзначыў Рыгор Васільеў, тэхнічны дырэктар Eset.