Новый червь семейства Win32.HLLM.Foo - опять под видом письма из PayPal
[18.11.2003]
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении новой разновидности в семействе почтовых червей Foo - Win32.HLLM.Foo.32800. Новый вариант, известный также под именами Win32.Mimail.J и Win32/Mimail.K.Worm, поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Распространяется по электронной почте, используя собственную реализацию протокола SMTP. Адреса SMTP-серверов червь определяет, исходя из доменных имен собранных на компьютере адресов, используя при этом DNS-службы.
Первоначальная рассылка экземпляров червя была произведена, по всей вероятности, с помощью спамерских технологий, при этом рассылался файл с названием InfoUpdate.exe. Судя по всему, примененнная техника рассылки была удачной, поскольку распространение червь в течение суток получил достаточно большое. К 20:00 московского времени 18 ноября червь был уже на 7 месте в списке наиболее распространенных вирусов Рунета.
Впоследствии на компьютеры пользователей червь попадал в виде вложения к почтовому сообщению www.paypal.com.pif, прикрываясь расширением .pif, на самом деле являясь обычным исполняемым файлом. Во многих случаях операционная система не показывает расширения файла типа .pif, что создает у пользователя иллюзию того, что он имеет дело с обычной ссылкой на веб-сайт компании PayPal. Размер программного модуля червя, упакованного компрессионной утилитой UPX 13856 байт.
Почтовое сообщение разносчика новой модификации Foo содержит тему IMPORTANT. Имя отправителя, как и в случае с предыдущим вариантом червя - PayPal.com, адрес корреспондента претерпел небольшие изменения и теперь звучит как Do_Not_Reply@paypal.com
Главная задача, выполняемая червем на пораженном компьютере - похищение данных кредитных карточек доверчивых пользователей, которые по неосторожности могут заполнить предлагаемую червем форму, присланную якобы от имени международной платежной системы PayPal. Помимо этого, червь также запрашивает и личные данные пользователя - адрес, дату рождения, номер страховки и т.д. Похищенные червем конфиденциальные данные пользователя хранятся в создаваемом им файле PPINFO.SYS, а найденные на компьютере адреса электронной почты, по которым червь осуществляет свою массовую рассылку, хранятся в файле EL388.TMP. В директорию Windows червь помещает две свои копии ee98af.tmp и svchost32.exe, а также создает еще несколько файлов в корневой директории диска С.
Win32.HLLM.Foo.32800 обнаруживается и обезвреживается антивирусной программой Dr.Web® с 18 ноября 2003 года. Пользователи с активным компонентом антивирусной защиты электронной почты SpIDer Mail гарантированы от получения зараженных этим червем писем.
Подробное описание механизма его действия можно прочитать на нашем сайте позднее.