Клон Win32.HLLM.Foo.41984 бороздит интернет

27 февраля 2004

[27.02.2004]

Служба мониторинга вирусной активности ЗАО «ДиалогНаука» сообщает о быстром распространении по сети Интернет новой модификации почтового червя массовой рассылки из семейства Foo, представители которого за последнее время не раз привлекали к себе внимание экспертов в области вирусной безопасности. Нынешняя разновидность червя детектируется антивирусными программами семейства Dr.Web® как Win32.HLLM.Foo.41984. Новый червь также известен под именами Moodown.С и Netsky.С

На компьютеры пользователей червь попадает упакованным различными компрессионными утилитами - PETite или Aspack, и, в зависимости от упаковщика, его размер может составлять 25 353 байта и 28 160 байт соответственно.

Два наиболее продуктивных способа инфицирования пользователей глобальной сети используются червем – электронная почта и файлообменные сети. В поисках адресов электронной почты червем сканируются жесткие диски компьютера по маскам, заложенным в его коде. Тема у сообщения, рассылаемого червем, может отсутствовать, или начинаться с префикса Re:, что создает впечатление, будто бы полученное письмо является ответом на отправленное с вашего компьютера сообщение, или состоять из одной-двух нейтральных фраз, например "report", "question", "hey". Сопроводительный текст может повторять тему сообщения или выбираться из довольно внушительного списка текстов, хранящихся в теле червя. В ряде случаев червь прибывает на компьютер виде Zip-архива. И в случае получения архивной копии червя, и в случае поступления простого исполняемого файла название вложения может иметь двойное расширение.

Активированный червь помещает в директорию Windows свою копию WINLOGON.EXE и множество файлов в директории, доступные для совместного использования (те, в названиях которых содержатся символы "shar"), что позволяет червю распространяться по файлообменным сетям и доступным для совместного пользования дискам локальной сети.

Как и предыдущий вариант, нынешний червь удаляет из системного реестра данные, созданные червями Win32.HLLM.MyDoom.32768 и Win32.HLLM.MyDoom.48128. В период с 6 до 8 утра 26 февраля червь заставляет колонки компьютера беспрестанно издавать короткие звуковые сигналы.

259
;