Интернет-червь Tanatos.b распространяется по электронной почте как файл-вложение в зараженном письме. При этом письмо может иметь различные тему, тело письма и название вложения. Активизация вредоносной программы происходит при запуске файла-носителя, после чего червь заражает компьютер и запускает процедуру распространения.
При установке Tanatos.b копирует себя под случайным именем в каталог автозапуска программ, создает свои файлы в системной директории Windows, а также копирует себя в каталог Windows и директорию временных файлов.

Затем червь начинает процедуры распространения, используя встроенный SMTP-движок. Для рассылки по электронной почте Tanatos.b ищет новые адреса, сканируя на доступных дисках файлы со следующими расширениями: *.ODS, INBOX.*, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX.

Данная версия сетевого червя обладает несколькими опасными функциями. Tanatos.b заражает исполняемые файлы операционной системы Windows. В списке объектов, которые заражает Tanatos.b — также исполняемые файлы многих популярных программ: Outlook Express, Internet Explorer, архиватора WinZip, системы файлового обмена KaZaA, систем интернет-пейджинга ICQ и MSN Messenger, протоколов передачи данных FTP и CuteFTP, программ ACDSee, Adobe Acrobat, Adobe Acrobat Reader, Windows Media Player и других.

Кроме того, в данной версии сетевого червя заложен потенциал backdoor-программы, позволяющий вирусописателю получить управление над зараженной машиной и осуществить доступ к конфиденциальной информации. Для реализации своей бекдор-функции червь открывает на зараженном компьютере порт 1080. Через этот порт он может осуществлять следующие действия:

передавать информацию о содержимом диска
копировать, запускать, удалять файлы
сообщать об активных приложениях, закрывать их
загружать файлы с удаленных компьютеров, пересылать вирусописателю информацию от 'клавиатурного жучка'
устанавливать http-сервер
Напомним, что первая версия сетевого червя Tanatos была обнаружена в сентябре 2002 года. Тогда Tanatos вызвал многочисленные случаи заражения во всем мире. Червь сочетал в себе функции сетевого червя и 'троянца', что делало ее исключительно опасной программой, допускающей утечку конфиденциальной информации.

Новая версия вредоносной программы представляет собой исполняемый файл Windows размером около 72 килобайт (упакован утилитой сжатия UPX и дополнительно зашифрован), написанный на языке программирования Microsoft Visual C++.

Как вылечить компьютер, заражённый вирусом I-Worm.Tanatos.b? (и другими I-Worm червями !)

1) отключите зараженный компьютер от локальной сети (если он в сети)
2) запустите утилиту clrav.com

Если утилита говорит «nothing to clean» (нечего удалять), запустите её в режиме сканирования командных файлов: из командной строки с параметром /scanfiles

4) перегрузите машину в режиме Safe Mode
5) запустите утилиту clrav.com еще раз
6) переустановите антивирусный пакет и обновите антивирусные базы
7) запустите антивирусный сканер и проверьте все диски

Все машины в локальной сети следует пролечить отдельно.

06.06.2003