Эпидемия почтового червя Win32.HLLM.Gibe.2: по-прежнему на вершине вирусного "Олимпа"

21 сентября 2003

[21.09.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" информирует об устойчивом эпидемическом уровне недавно появившегося почтового червя массовой рассылки Win32.HLLM.Gibe.2, известного также под именем Swen. Напомним, что червь содержит в себе механизмы распространения по электронной почте, по файлообменной сети KaZaa, а также по сети диалогового общения в Интернете IRC (см. нашу новость от 18 сентября).

Начиная с момента своего появления в сети Интернет, червь довольно быстро занял лидирующую позицию в списке наиболее распространенных вирусов, обнаруживаемых во всемирной сети. По данным ЗАО "ДиалогНаука", Win32.HLLM.Gibe.2 существенно увеличил завирусованность почтового трафика во всем мире, а количество зараженных им писем на второй день эпидемии (19 сентября) составило около 70% от общего числа электронных почтовых отправлений, которые были задержаны антивирусными фильтрами Dr.Web® на почтовых серверах Рунета. Весьма любопытно, что выходные дни не изменили эту тенденцию, и к воскресенью 21 сентября доля червя Gibe.2 (Swen) возросла до 84%. Существенное возрастание абсолютного числа зараженных червем писем ожидается в начале рабочей недели.

В отличие от предыдущего нашумевшего почтового червя - Win32.HLLM.Reteras, новый червь широко распространился во многом благодаря двум основным особенностям - использованию уязвимости отдельных версий почтовых клиентов Microsoft (подробнее об уязвимости), позволяющей червю запускаться на компьютере без участия пользователя, а также достаточно скрупулёзно проработанной маскировке, которая у неискушенных пользователей создает впечатление того, что они получили по почте патч от компании Microsoft.

Известно, что проблема установки патчей для программного обеспечения компании Microsoft в последние два месяца имеет большую актуальность, и в этом смысле Win32.HLLM.Gibe.2 - далеко не первый вирус, который эксплуатирует стремление миллионов компьютерных пользователей залатать многочисленные дыры в операционных системах семейства MS Windows.

ЗАО "ДиалогНаука" обращает внимание всех пользователей персональных компьютеров, что компания Microsoft никогда не рассылает по электронной почте какие-либо патчи к своим программам, а размещает эти модули на своем официальном сайте.

Еще одна деструктивная функция червя Gibe.2 - это внесение многочисленных изменений в системный реестр, которые не только призваны обеспечить запуск червя при старте Windows, но и обуславливают запуск любого исполняемого файла лишь после запуска копии червя, а также делают невозможной нормальную работу с системным реестром.

Пользователи антивируса Dr.Web® надежно защищены от попадания этого почтового червя на их компьютеры. Письма с вредоносным вложением, принимаемые по протоколу POP3, гарантированно блокируются специальным модулем защиты электронной почты SpIDer Mail, а если червь был все-таки пропущен и запущен на компьютере вследствие пренебрежения правилами безопасности, то сканер Dr.Web® с обновленными вирусными базами обнаружит его присутствие в системе и полностью обезвредит без привлечения дополнительных утилит.

9
;