Новая разновидность почтового червя Win32.HLLM.Reteras заставляет антивирусные компании по всему миру бить тревогу

26 июня 2003

[26.06.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о начале массового распространения новой разновидности почтового червя массовой рассылки семейства Reteras, определяемого антивирусом Dr.Web® как Win32.HLLM.Reteras, а другими антивирусными вендорами как Sobig.E. Подобно своим недавним предшественникам (Win32.HLLM.Reteras.2 и Win32.HLLM.Reteras.3), новый червь очень быстро вышел на "лидирующие" позиции в вирусной статистике, занимая на конец дня (по московскому времени) 26 июня 2-е место по количеству обнаруженных образцов на почтовых серверах в российском сегменте Интернета.

Новый червь во многом повторяет предыдущие версии Reteras, изменив, фактически только некоторые детали. Его основная вредоносная функция - массовая рассылка самого себя по адресам, которые червь получает из файлов со следующими расширениями: *.wab, *.htm, *.html, *.dbf, *.eml, *.txt. При рассылке своих копий червь не использует каких-либо уязвимостей операционной системы Windows, целиком полагаясь на приемы социального инжиниринга, уже показавшего свою эффективность в предыдущих реализациях этого почтового червя.

Если Reteras образца конца мая 2003 года активно использовал доверие пользователей к компании Microsoft, то нынешний его вариант прикрывается добрым именем компании Yahoo, подставляя в поле From адрес support@yahoo.com. Это не единственный вариант подмены реального адреса червем, фактически в этом поле может фигурировать любой найденный червем адрес.

Для обеспечения своего запуска в пораженной системе червь создает в системном реестре ссылку на свою копию, которую он помещает в директорию Windows (это может быть директория Windows\ или WINNT\) в виде файла с именем winssk32.exe. Название записи в системном реестре (раздел автозапуска программ при старте Windows) - "SSK Service"

Примечательно, что червь распространяется в виде ZIP-архивов, которые сами по себе запуститься на компьютере не могут. Видимо, автор червей семейства Reteras пытается таким образом доказать интернет-сообществу, что человеческое любопытство - самая благодатная почва для распространения вирусов. Масштабы распространения червя в первые же часы с момента его появления показывают, что, к сожалению, это именно так.

Червь определяется и лечится антивирусом Dr.Web® при помощи записи в вирусной базе, имеющий общий характер для всех червей этого семейства. Таким образом, Dr.Web® встретил нового червя во всеоружии. ЗАО "ДиалогНаука", тем не менее, рекомендует всем пользователям обновить вирусные базы с помощью стандартной утилиты обновления, чтобы иметь гарантированную защиту от почтовых червей этой категории.


По данным на 23:00 московского времени 26 июня, доля Win32.HLLM.Reteras среди остальных вирусов, остановленных на почтовых серверах антивирусными фильтрами Dr.Web, превысила 15%.
10
;