Электронные открытки не всегда безопасны - Win32.HLLW.Cult.15360
[03.04.2003]
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении нового почтового червя массовой рассылки, детектируемого антивирусом Dr.Web® как Win32.HLLW.Cult.15360 (в классификации других антивирусных вендоров названный также BlueECard или Lanet).
Объектами поражения червя становятся компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Червь упакован упаковщиком UPX, его размер в упакованном виде 15360 байт.
Червь распространяется по электронной почте с использованием собственной реализации протокола SMTP. Почтовые сообщения генерируются червем по следующему алгоритму. Адрес отправителя компонуется червем из двух составляющих: имени пользователя, выбираемого червем из списка, хранящегося в его теле, и списка доменных имен, и может выглядеть, например,
Тема сообщения: Hi, I sent you an eCard from BlueMountain.com
Текст сообщения:
To view your eCard, open the attachment If you have any comments or questions, please visit http://www.bluemountain.com/customer/index.pd Thanks for using BlueMountain.com.Вложение: BlueMountaineCard.pif
Кроме того, в черве заложен механизм распространения по файлообменной сети KaZaA.
При попадании на компьютер червь осуществляет следующие действия:
Win32.HLLW.Cult.15360 обнаруживается и обезвреживается антивирусной программой Dr.Web® для Windows, при этом автоматически производится очистка системного реестра. Запуск сканера Dr.Web® с настройками "по умолчанию" на зараженном компьютере позволяет сразу обнаружить присутствие червя и обезвредить его, не проводя полного сканирования компьютера. Вместе с тем, для удаления всех копий червя с локальных дисков рекомендуется просканировать все диски.
Подробное описание интернет-червя смотрите в нашей вирусной библиотеке.