Будьте бдительны! Под видом патча от Microsoft распространяется очередной клон почтового червя Sober

08 марта 2004

[08.03.2004]

Служба мониторинга вирусной активности ЗАО 'ДиалогНаука' сообщает о начавшемся в понедельник быстром распространении новой модификации почтового червя массовой рассылки из семейства Sober, определяемый антивирусными программами DRWEB_REG как Win32.HLLM.Generic.280. Особую тревогу вызывает тот факт, что новый червь использует становящийся все более популярным среди вредоносных программ способ распространения - маскировка под патч, якобы выпущенный компанией Microsoft в качестве защиты от самого грозного червя последних недель MyDoom.

Пользователям антивируса DRWEB_REG новая эпидемия изначально не страшна, поскольку еще до внесения соответствующей вирусной записи в базу, данный червь определялся ядром DRWEB_REG как BACKDOOR.Trojan

Основная вредоносная функция, реализованная в черве, - это функция массовой рассылки своих копий в виде исполняемого приложения длиной 33 792 байта либо zip-архива. Кроме того, находясь в памяти, червь очень сильно (до 90%) загружает процессор, понижая таким образом производительность компьютера.

Массовая рассылка производится червем в двух вариантах - на английском и немецком языках. Выбор между двумя языками червь делает в зависимости от адресата - если в адресе есть указание на домен в Германии, Австрии или Швейцарии, то посылается текст на немецком языке. Это, безусловно, сделано для большей убедительности - ведь письмо представляет собой фальшивку, направленную якобы от корпорации Microsoft и предлагающую адресату установить у себя прилагаемый патч, позволяющий защититься от атак червя Mydoom.

ЗАО "ДиалогНаука" в очередной раз напоминает всем пользователям операционных систем семейства Windows, что Microsoft никогда не рассылает свои патчи по электронной почте, а предлагает их скачать с сайта компании.

Червь также создает в системной директории Windows несколько файлов, два из которых представляют собой копии червя, а другие - файлы нулевой длины. Для обеспечения своего повторного запуска при последующих сессиях Windows он создает ссылку на себя в системном реестре. Для дополнительной маскировки своего присутствия в системе червь, будучи запущенным после перезапуска Windows, никаким образом не проявляет себя, в частности, не открывая диалоговые окна с ложными сообщениями о результатах установки патча, которые демонстрируются им при первичном запуске инфицированного приложения, пришедшего с письмом.

233
;