Новая разновидность червя Cydog: для распространения - все средства хороши!
[08.05.2003]
В семействе почтовых червей - пополнение. Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении в сети интернет новой разновидности червя массовой рассылки, детектируемого антивирусной программой Dr.Web® как Win32.HLLM.Cydog (в классификации других антивирусных программ этот червь также назван Kickin и Сhowl).
Объектами нападения нового агрессора становятся компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Написан червь на языке программирования Microsoft Visual C++, упаковщик не используется. Длина программного файла червя 249856 байт.
Червь предпринимает попытки прервать работу найденных им в системе некоторых антивирусных программ и брандмауэров, в частности, закрыть окна, в заголовках которых содержатся строки Windows Task Manager, LiveUpdate, System Configuration Utility, Process Viewer, Registry-Editor, Norton AntiVirus и ряд других.
На компьютеры пользователей червь попадает в виде почтового сообщения, для массового распространения которого он использует любые источники адресов, которые могут существовать в пользовательской системе - начиная от адресных книг Windows и ICQ и заканчивая Yahoo Pager, .NET Messenger и MSN Messenger. Также он черпает адрес в файлах с расширениями .htm*. Сообщения генерируются червем при помощи его собственной реализации протокола SMTP. Имя SMTP-сервера находится червем в соответствующей строке системного реестра, однако, в случае неудачи, рассылка зараженных сообщений может быть осуществлена через SMTP-сервера, имена которых находятся в теле червя.
Червь также делает попытки распространять свои копии через файлообменные сети KaZaA, Edonkey2000, Morpheus, Grokster, Bearshare, кроме того, он может распространяться по системе диалогового общения mIRC, для путешествия по которой он создает свой файл Script.ini.
Попав в систему, червь помещает в директорию Windows свою копию - CyberWolf.exe. В эту же директорию он помещает текстовый файл CyberWolf.txt в котором, в частности, содержится следующая строка:
В системную директорию Windows он помещает многочисленные файлы с расширенями .exe, src., pif., com. и .sys присваивая им атрибуты "только чтение", "скрытый" и "системный".
Для запуска своей копии червь вносит изменения в системный реестр,в частности - в реестровую запись, указывающую на запуск исполняемых файлов. Это не единственная метка, оставляемая червем в системном реестре. Им меняются и создаются также некоторые ключи системного реестра, которые обеспечивают автоматический запуск вредоносной программы при каждом старте системы.
При попытках пользователя запустить какой-либо исполняемый файл запускается новая копия червя, который, в свою очередь, пытается открыть один из хакерских сайтов в интернете с помощью браузера, зарегистрированного в системе по умолчанию. Это является явным признаком заражения данным червем.
Win32.HLLM.Cydog определяется и обезвреживается антивирусными программами семейства Dr.Web® как на Windows-машинах, так и на почтовых серверах UNIX. При работающем антивирусном мониторе SpIDer Guard, а также при использовании антивирусного почтового фильтра SpIDer Mail, пользователь надежно защищен от заражения компьютера данным червем через электронную почту или по локальной сети.
Более подробное описание червя смотрите в нашей вирусной библиотеке.