Новая эпидемия: очередная модификация почтового червя Lovgate.

[25.02.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о довольно быстром распространении нового почтового червя массовой рассылки, именуемого Win32.HLLM.Lovgate. Червь оценивается как довольно опасный, поскольку имеет механизм массового распространения как по электронной почте с зараженной машины, так и по локальным сетям через ресурсы, открытые для совместного использования.

Червь представляет собой исполняемый модуль с расширением .EXE, написанный на Visual C++ и упакованный упаковщиком Aspack и имеет длину в упакованном виде 78848 байт. Червем поражаются компьютеры, работающие под управлением операционных систем Windows 95/98/Me/NT/2000/XP.

Заражая компьютер, червь создает большое количество своих копий в различных каталогах на локальном диске, записывая себя в различные каталоги, в том числе, в каталог, из которого он стартовал, в системный каталог Windows, в каталоги, прописанные в следующей ветви системного реестра:

Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal , в результате чего он оказывается прописанным и в папку автозапуска, и папку рабочего стола, и в папку панели задач.

Затем червь прописывает ссылки на свои копии в системный реестр, обеспечивая свой запуск при последующем старте системы, а также меняет запись в реестре, определяющую приложение для открытия текстовых файлов, что приводит к запуску червя при любой попытке пользователя открыть текстовый файл.

Червь рассылает свои копии по адресам, которые указаны в качестве адреса отправителя во всех непрочитанных сообщений локального почтового клиента. При этом используются стандартные функции MAPI.

Червь также предпринимает попытки распространения по локальной сети на диски, доступные для совместного использования, при этом он пытается подключиться к удаленным системам в качестве администратора сети, используя небольшой словарь паролей.

Win32.HLLM.Lovgate определяется и обезвреживается антивирусными программами семейства Dr.Web как на Windows-машинах, так и на почтовых серверах UNIX. При старте сканера Dr.Web для Windows (с настройками "по умолчанию") процесс червя обнаруживается и удаляется из оперативной памяти компьютера, а также производится соответствующая чистка системного реестра Windows и обработка файлов автозапуска. При работающем антивирусном мониторе SpIDer Guard, а также при использовании антивирусного почтового фильтра SpIDer Mail, пользователь надежно защищен от заражения компьютера данным червем через электронную почту или по локальной сети.

Более подробная информация о черве Win32.HLLM.Lovgate опубликована на нашем сайте.