И опять угроза из Южной Кореи: почтовый червь Win32.HLLM.Seoul быстро распространяется по сети

21 ноября 2002
[21.11.2002]
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" отмечает появление во второй половине дня 21 ноября опасного червя массовой рассылки, определяемого антивирусом Dr.Web, как Win32HLLM.Seoul. Источник вируса, судя по всему, находится в Корее. Кстати, именно 21-22 ноября в столице этой страны - Сеуле - проходит всеазиатский антивирусный форум AVAR, на который собрались многие разработчики антивирусных продуктов со всего мира.

Соответствующее вирусное дополнение к версии Dr.Web 4.29, детектирующее Trojan.Seoul, было выпущено в 21 час 4 минуты 21 ноября. Дальнейший анализ вируса показал, что он имеет четко выраженный механизм своей массовой рассылки по электронной почте, поэтому в очередном горячем дополнении была добавлена запись, определяющая данный вирус, как почтового червя массовой рассылки Win32HLLM.Seoul.

Вирус попадает на компьютер пользователя в виде почтового сообщения с несколькими вложениями. Одно из них представляет собой HTML-файл, содержащий код на языке JavaScript, который регистрирует вирусную программу в системном реестре. Два других представляют собой одинаковые вирусные файлы, один из которых может запуститься на компьютере без ведома пользователя в силу уязвимости в системе безопасности MS Internet Explorer. Сама вирусная программа включает в себя несколько различных компонентов, часть из которых зашифрована. Будучи активированным, вирус пытается обнаружить работу специальных средств мониторинга работы системы, отладчиков, межсетевых экранов, антивирусных программ. При обнаружении их вирус останавливает соответствующие процессы в памяти. При определенных условиях вирусная программа выводит сообщение с текстом "What a foolish thing you have done", после чего начинает последовательно удалять файлы с жестких дисков компьютера, оставляя структуру каталогов, а также файлы, которые невозможно удалить из-за их использования системой.

Червь создает на диске в системном каталоге Windows несколько своих копий и прописывает ссылки на них в системный реестр, обеспечивая свой последующий запуск после перезагрузки системы. Кроме того, размещает на диске файл с кодом файлового вируса Win32.Funlove.4068 и запускает его.

Червь использует в почтовом вложении известную уязвимость Internet Explorer, связанную с некорректной обработкой MIME-заголовков (см. информацию по данной уязвимости). Это позволяет вирусу запускаться без ведома пользователя при использовании некоторых версии почтовых клиентов компании Microsoft. Кроме этого, червем используется и уязвимость Виртуальной машины Microsoft, которая позволяет запущенному приложению на языке JavaScript запустить "ненадежный" компонент ActiveX, который приводит к регистрации файлов с расширением .CEO в качестве исполняемых файлов.

Перед началом удаления файлов сдиска червь выводит сообщение "What a foolish thing you have done". Иногда это сообщение выводится червем многократно, что заставляет пользователя тратить драгоценное время на закрытие появляющихся окон с этим текстом, вместо того, чтобы сразу выключить питание компьютера для сохранения хотя бы части своих данных.

По состоянию на 27 ноября 2002 года Служба мониторинга вирусной активности ЗАО "ДиалогНаука" констатирует превышение данным почтовым червем эпидемического порога. На различных серверах интернет-провайдеров Рунета Win32.HLLM.Seoul занимает от 19 до 57% в статистике обнаруженных вирусов. Присутствие червя в Интернете постоянно растет.

Информация обновлена 27.11.2002
См.подробное описание вируса

13
;