Агентство Reuters временно закрыло свою систему мгновенного обмена сообщениями Reuters Messaging (RM) в результате ее заражения новой версией червя Kelvir, сообщает сайт News.com.

Новая версия червя рассылала себя пользователям службы мгновенного обмена сообщениями, как и все предыдущие версии Kelvir. В посланиях содержалась ссылка, при переходе по которой пользователи заражали свои компьютеры.

«Чтобы защитить наших клиентов и других пользователей, а также избежать превращения RM в инструмент для распространения Kelvir, Reuters временно приостанавливает этот сервис и решает проблему», — было сказано в заявлении агентства в минувший четверг. Впрочем, о случаях заражения пользователей Reuters не сообщило.

В отличие от бесплатных служб мгновенного обмена сообщениями, подобных America Online, Microsoft и Yahoo, RM создавалась как корпоративный инструмент, предназначенный только для внутреннего использования в агентстве. Однако со временем, Reuters стало использовать RM для связи клиентов со своими сетями. В 2003 году агентство подписало соглашение с America Online и Microsoft, которое позволило пользователям этих систем контактировать с пользователями RM.

Технические специалисты Reuters полагают, что новая атака Kelvir может настигнуть и другие системы мгновенного обмена сообщениями. Однако сообщений от других компаний о проблемах, связанных с Kelvir, не поступало.

Промышленный консорциум IMlogic Threat Center во главе с производителем программного обеспечения IMlogic в своем недавнем докладе обозначил Kelvir как одну из трех самых распространенных вредоносных программ для служб мгновенного обмена сообщениями. В тройку «лидеров» входят также черви Bropia и Sumom.

Сегодня мы обнаружили новую разновидность червя семейства IM-Worm.Win32.Kelvir — она получила версию Kelvir.k. Как обычно, Kelvir распространяется с ботом, который мы детектим как Backdoor.Win32.Rbot.gen.

Новый вариант Kelvir использует любопытный метод социального инжиниринга: вместо отправки ссылки на pif- или scr-файл, червь рассылает ссылку на файл с расширением php.

Обработчик php-файлов позволяет добавлять к ним любые цифры и буквы — в виде запросов, после символа «?». Именно это делает Kelvir.k — указывает после php-файла электронный адрес пользователя MSNM.

Например:

Email пользователя №1: some@thing.qqq
Email пользователя №2: other@thing.zzz

Пользователь №1 получает ссылку, которая выглядит следующим образом:
http://www.[edited].us/[edited]/pictures.php?email=some@thing.qqq

Пользователь №2 получает ссылку, которая выглядит следующим образом:
http://www.[edited].us/[edited]/pictures.php?email=other@thing.zzz.

Когда пользователь щелкает по ссылке, ему выдается предложение запустить или сохранить файл. Хотелось бы надеяться, что на этом этапе большинство пользователей заподозрят неладное и не станут сразу запускать этот файл.

Однако, как только пользователь щелкает по ссылке, злоумышленники получают адрес его электронной почты. То есть, адрес попадает в спамерские базы даже если сам червь так и остается не активированным.

Вызвана ли эта новая тактика сбора адресов появившимися в MSNM 7 защитными функциями? Не думаю. Пока писался этот текст, мы обнаружили перепакованную версию Kelvir.e. А Kelvir.e для своего размножения использует ссылку на scr-файлы, которые не фильтруются MSNM 7.

Использование социальной инженерии заставляет предположить, что пользователи интернет-пейджеров стали внимательнее относиться к получаемым по ним ссылкам, и создатели подобных червей вынуждены искать пути повышения эффективности механизмов размножения своих творений.