Электронные открытки не всегда безопасны - Win32.HLLW.Cult.15360

03 апреля 2003

[03.04.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении нового почтового червя массовой рассылки, детектируемого антивирусом Dr.Web® как Win32.HLLW.Cult.15360 (в классификации других антивирусных вендоров названный также BlueECard или Lanet).

Объектами поражения червя становятся компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Червь упакован упаковщиком UPX, его размер в упакованном виде 15360 байт.

Червь распространяется по электронной почте с использованием собственной реализации протокола SMTP. Почтовые сообщения генерируются червем по следующему алгоритму. Адрес отправителя компонуется червем из двух составляющих: имени пользователя, выбираемого червем из списка, хранящегося в его теле, и списка доменных имен, и может выглядеть, например,

Varone@mx06.earthlink.net В свою очередь, адрес получателя такого письма будет содержать такое же доменное имя, но иное имя пользователя, например Oliveira@mx06.earthlink.net Само же почтовое сообщение выглядит следующим образом:

Тема сообщения: Hi, I sent you an eCard from BlueMountain.com
Текст сообщения:

To view your eCard, open the attachment

If you have any comments or questions, please visit
http://www.bluemountain.com/customer/index.pd

Thanks for using BlueMountain.com.
Вложение: BlueMountaineCard.pif

Кроме того, в черве заложен механизм распространения по файлообменной сети KaZaA.

При попадании на компьютер червь осуществляет следующие действия:

  • помещает свою копию в виде исполняемого файла wuauqmr.exe в системную директорию Windows
  • изменяет ряд ключей системного реестра с целью обеспечения своего последующего запуска при старте системы
  • в системной директории Windows создает папку jdfghtrg, в которую помещает свои многочисленные копии
  • делает эту папку разделяемым ресурсом в локальной директории KaZaA, и, следовательно, доступной для всех пользователей этой файлообменной сети
  • пытается обратиться к сайту www.chat-planet.nl с пораженного компьютера, предположительно создавая предпосылки для DoS-атаки на этот сайт
  • Win32.HLLW.Cult.15360 обнаруживается и обезвреживается антивирусной программой Dr.Web® для Windows, при этом автоматически производится очистка системного реестра. Запуск сканера Dr.Web® с настройками "по умолчанию" на зараженном компьютере позволяет сразу обнаружить присутствие червя и обезвредить его, не проводя полного сканирования компьютера. Вместе с тем, для удаления всех копий червя с локальных дисков рекомендуется просканировать все диски.

    Подробное описание интернет-червя смотрите в нашей вирусной библиотеке.

    10
    ;