Новая эпидемия в Интернете - почтовый червь Avril крадет пароли и рисует на экране геометрические фигуры

08 января 2003
[08.01.2003]

В Рождественский праздник, отмечавшийся в России 7 января, в Интернете произошло далеко не праздничное событие - во всемирной паутине начал быстро распространяться почтовый червь Win32.HLLM.Avril.1 (детектируемый другими антивирусами, как W32.Lirva.A@mm,W32/Avril-A,W32/Lirva.b@MM и WORM_LIRVA.A), эксплуатирующий имя известной певицы. Службой мониторинга вирусной активности ЗАО "ДиалогНаука" с вечера 7 января отмечается существенный рост присутствия этого червя в почтовом трафике российского интернета. При этом следует отметить, что червь распространяется не только по электронной почте, но и при помощи средств ICQ, IRC, а также по файлообменной сети KaZaA. Кроме того, Win32.HLLM.Avril.1 может распространяться и в локальных сетях, копируя себя на диски, доступные для совместного использования.

Win32.HLLM.Avril.1 - почтовый червь массовой рассылки, написанный на Microsoft Visual С++. Упакован упаковщиком UPX, размер червя в упакованном виде 32,766 байт.

Для проникновения в систему червь использует уязвимость, связанную с некорректной обработкой MIME заголовков, которая позволяет вложенному в письмо программному файлу (с вирусом) автоматически запускаться при простом просмотре почты в таких клиентах, как MS Outlook и MS Outlook Express (версии 5.01 и 5.5). Червь вносит изменения в пакетный файл AUTOEXEC.BAT, модифицирует файл SCRIPT.INI и помещает его в директорию mIRC разделяемого ресурса, в результате чего, после осуществления соединения пользователя пораженного червем компьютера с сервером IRC происходит автоматическое соединение с каналом #avrillavigne и начинается рассылка зараженных червем копий всем пользователям подсоединившимся к этому каналу. Также червь рассылает себя по всем контактам, содержащимся в локальной директории ICQ пораженного компьютера.

Свои копии червь помещает в системную директорию Windows, в папки Temp и Recycled, а также вносит изменения в некоторые ключи реестра.

Червь пытается прервать найденные им процессы ряда антивирусных программ и другого софта, связанного с обеспечением компьютерной безопасности. В довершение ко всему, на поверхности Рабочего стола червь демонстрирует разноцветные графические рисунки.

С вечера 7 января данный червь определяется и лечится антивирусом Dr.Web®. ЗАО "ДиалогНаука" призывает всех своих пользователей обновить свои вирусные базы и запустить на компьютере антивирусный сканер Dr.Web® - если червь к моменту запуска сканера поразил компьютер, Dr.Web® остановит вирусный процесс в памяти и корректно очистит системный реестр от всех записей, созданных в нем червем.

Подробное описание вируса Win32.HLLM.Avril.1 смотрите на нашем сайте.

9
;