Как сообщают эксперты «Лаборатории Касперского», данный вирус является новинкой в семействе Zhelatin. Как и многие другие почтовые черви, вредоносная программа использует социальную инженерию: текст письма и заголовок составлены таким образом, чтобы побудить пользователя открыть вложение в письмо.

Возможные темы зараженных писем - «I Always Knew», «I Am Lost In You», «I Believe», «I Can't Function», «I Dream of you» и т.д. Среди имен вложенных файлов встречались «Postcard.exe», «flash postcard.exe», «greeting card.exe» и «greeting postcard.exe». Возможные тексты отсылаемых зараженных писем - «You + Me», «You Are My Guiding Star», «You Asked Me Why», «You Brighten My Day», «You Lucky Duck!» и т.д.

При открытии зараженного вложения червь копирует себя на диск и при следующей загрузке машины запускается автоматически. Вредоносная программа собирает адреса электронной почты с инфицированного компьютера и производит рассылку своих копий. Червь способен выключать брандмауэр и антивирусные сервисы, а также использовать популярные среди вирусописателей rootkit-технологии для сокрытия своего присутствия в системе. Кроме того, вирус заражает исполняемые exe-файлы и файлы экранных заставок (.scr), найденные в системе, путем копирования своего кода в данные файлы.

Версия Zhelatin.o практически идентична первой версии Zhelatin - Zhelatin.a - и отличается только измененной программой-упаковщиком. Детектирование всех новых вариантов уже добавлено в базы ведущих производителей антивирусов. Тем не менее, пользователям настоятельно рекомендуется обновить свои антивирусы и не открывать вложения в электронные письма, полученные от неизвестных адресатов.

Источник информации: cnews.ru