Новая версия Dumaru пришла из Германии

"Лаборатория Касперского" сообщила о появлении сразу трех новых модификаций почтового червя Dumaru, которые получили индексы J, K и L. Использованная авторами технология массовой рассылки зараженных сообщений и высокая скорость распространения уже вызвали многочисленные заражения компьютеров по всему миру, что позволяет говорить о начале новой крупномасштабной эпидемии.

Первая версия Dumaru была обнаружена в сентябре 2003 г., и с тех пор червь не покидал списки самых распространенных вредоносных программ. Оригинальный образец был создан в России, в то время как последние экземпляры, скорее всего, происходят из Германии, считают в "Лаборатории Касперского". Новые версии Dumaru содержат лишь незначительные внутренние отличия.

Особого внимания заслуживает многоэтапный метод их распространения, который позволил червям всего за несколько дней вызвать глобальную эпидемию. Первоначальное распространение Dumaru было инициировано массовой рассылкой электронного письма якобы от службы технической поддержки Microsoft. В письме предлагалось установить обновление для защиты от вирусов.

В действительности же письмо содержит троянскую программу UrlSpoof. При активации ссылки в письме на компьютере пользователя открывается веб-сайт, совпадающий по оформлению с веб-сайтом Microsoft. UrlSpoof использует уязвимость браузера Internet Explorer и в качестве адреса сайта показывает www.microsoft.com, хотя в действительности адрес у сайта совершенно иной. При посещении этого сайта на компьютер незаметно устанавливается носитель червя Dumaru, который, в свою очередь, начинает рассылку зараженных писем.