Новая крупномасштабная эпидемия: Win32.HLLM.Foo.41984 против Foo

18 февраля 2004

[18.02.2004]

Служба мониторинга вирусной активности ЗАО «ДиалогНаука» сообщает о появлении нового почтового червя массовой рассылки, детектируемого антивирусными программами семейства Dr.Web® как Win32.HLLM.Foo.41984. Новый червь также получил имена Moodown.B и Netsky.b в классификации других антивирусных вендоров. Это еще один червь в ряду так называемых "антивирусных вирусов", в процедуре которого заложена функция удаления из инфицированного компьютера ключей, модифицируемых предыдущими представителями семейства почтовиков Foo.

Размер программного модуля червя в упакованном виде 22 016 байт, в распакованном – 41 984 байт. Червь массово распространяется по электронной почте и по состоянию на 23.00 MSK его присутствие в почтовом трафике Рунета достигло 9%.

Темы сообщений, рассылаемых червем писем, и сопроводительные к ним тексты бесхитростны, можно даже сказать, заурядны. Подобные письма в несметных количествах пересылаются ежедневно по электронной почте. Согласитесь, что тема "read it immediately" или "something for you" подкрепленная текстом "what does it mean?", "i'm waiting" или "i found this document about you" вряд ли заставят пользователя подозревать, что пришедшее с письмом вложение с двойным расширением, первое из которых . RTF,. DOC, .HTM, а второе, истинное расширение исполняемого файла, - . SCR, . COM или .PIF, скрывает под иконкой MS Word вредоносный заряд. В некоторых случаях червь может быть получен в виде WinZip архива.

Активированный червь помещает в директорию Windows свою копию SERVICES.EXE и множество файлов в формате WinZip (длиной 22 016 байта). Кроме того, его многочисленные копии помещаются в директории, доступные для совместного использования (те, в названиях которых содержатся слова “share” или “sharing”). Таким образом, он снабжен механизмом распространения по файлообменным сетям, таким как KaZaA, Bearshare, и доступным для совместного пользования дискам локальной сети. Адреса для дальнейших рассылок червь получает из файлов, содержащихся на жестких дисках компьютера.

Подробное описание механизма действия червя будет опубликовано на нашем сайте позднее.

198
Подписаться на новости
;