И снова семейство Win32.HLLM.Foo - очередной вариант почтового червя с новым списком целей для DoS-атак

04 декабря 2003

[04.12.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении новой, уже 13-й по счету, разновидности в семействе почтовых червей Foo/Mimail. Будучи во многом похожим на своих предшественников, новый червь использует несколько иные методы социальной инженерии с целью побудить любопытных пользователей открыть и запустить на своих компьютерах пришедшее вместе с письмом вложение.

Как и раньше, новый вариант Foo был первоначально вброшен в интернет с помощью спамерской рассылки на большое число адресов. Трюк заключался в том, что помимо скабрезного содержания письма, в нем содержалось вложение, представлявшее собой зашифрованный (защищенный паролем) архив. Для того, чтобы получивший письмо адресат, движимый любопытством, смог открыть архив и добраться до его содержимого, пароль архива сообщался в этом же письме. К сожалению, в таком виде вложение оставалось недоступным для любых антивирусных почтовых фильтров, которые не в состоянии заглянуть в зашифрованные ZIP или RAR-архивы.

Однако будучи запущенным неосторожным любителем эротики на своем компьютере, червь уже не занимается собственным шифрованием, а, собрав по стандартной процедуре почтовые адреса на зараженном компьютере, при этом не утруждая себя поисками там, где таких адресов в принципе быть не может - в файлах с расширениями BMP,COM,GIF, JPG, EXE, DLL и тому подобных, рассылает свои копии в архивированном виде с именем вложения only_for_greg.zip, но уже без пароля. Безусловно, автор понимает, что не многие дойдут до своей цели, но зато будет послано их гораздо больше, чем может позволить любая спамерская рассылка!

Затем червь запускает процедуру DoS-атаки (атака, приводящая к отказу в обслуживании атакуемым сервером), которая создает 15 параллельных потоков, атакующих в произвольном порядке сайты www.darkprofits.ws, www.darkprofits.cc и несколько аналогичных.

Червь определяется и обезвреживается всеми компонентами антивирусной программы Dr.Web с момента своего появления в интернете. В классификации Dr.Web он детектируется, как Win32.HLLM.Foo.

Подробное описание механизма его действия можно прочитать на нашем сайте позднее.

209
;