Эксперты антивирусной компании Sophos Labs сообщили об обнаружении нового вируса W32/Impard-A, распространяющегося по системам обмена мгновенными сообщениями AIM и MSN Messenger с помощью необычного метода социальной инженерии.
После заражения вирус сохраняет свою копию в файле IMG009.jpg-www.imagehosting.com, хранящемся в архиве по адресу C:RECYCLERmyphoto.zip. Затем этот архив рассылается по IM-сети вместе с фразой, приглашающей его открыть.
Особенность W32/Impard-A — в том, что приглашение может быть составлено на французском, немецком, итальянском, испанском или английским языке, в зависимости от того, какой из них установлен на инфицированном ПК. Очевидно, автор червя предположил, что пользователь, получающий сообщение на родном языке, с большей вероятностью захочет посмотреть вложение.
В качестве альтернативного варианта распространения червя используется не менее оригинальная схема: если на зараженном компьютере запущена программа BitTorrent, вирус может разместить свою копию в данной пиринговой сети.
Еще одно необычное свойство W32/Impard-A — способность собирать конкурирующие вирусы с инфицированного ПК. Сперва червь сканирует системные процессы и выявляет вредоносные программы, затем отсылает по IRC код подозрительных программ своему автору, после чего удаляет их с жесткого диска.
В своем блоге эксперт SophosLabs Ричард Коэн (Richard Cohen) заявил, что, по его информации, создатель W32/Impard-A столкнулся в работе над червем с непредвиденными сложностями: пытаясь уменьшить размер кода, он каким-то образом заразил собственный ПК опасным резидентным вирусом.