+7 (495) 980-67-76

Новый почтовый червь смотрит на мир глазами морского котика

11 декабря 2003

[11.12.2003]

Служба мониторинга вирусной активности ЗАО «ДиалогНаука» сообщает о появлении нового почтового червя массовой рассылки. В классификации антивирусной программы Dr.Web® этот червь получил название Win32.HLLM.Generic.264 (у других антивирусных вендоров он называется Scold). Исполняемый модуль червя написан на языке программирования высокого уровня Microsoft Visual Basic и упакован компрессионной утилитой UPX. Его размер 28 160 байт.

Новый червь распространяется по сети Интернет, используя приложение Microsoft Outlook. Его дальнейшая рассылка осуществляется по всем адресам, найденным в адресной книге MS Outlook и файлах с расширениями *.HT*.

На компьютеры пользователей червь попадает в виде файла, чье название состоит из набора случайных символов и расширения .SCR. Тема сообщения - When It's Cold Outside She Gives Me Warm Inside может предваряться RE или :FWD, что создает впечатление, что пользователь получил ответ на свое же письмо или пришедшее сообщение было переслано ему.

Предлагая полюбоваться картинкой, которую, по словам автора послания, скрывает вложенный файл - Enjoy this great picture - создатель червя, стремясь убедить неискушенного пользователя, снабжает почтовое сообщение следующими строками: 


============= Free Online Virus Scan =============
                             100% VIRUS FREE
 No viruses or suspicious files were found in the attached file.
При запуске вложения - а вредоносный код приводится в действие на атакованном компьютере самим пользователем - червь демонстрирует фотографию малыша тюленя - белька, помещает в директорию Windows свою копию под названием WARM.SCR и прописывает путь к ней в ключе автозапуска реестра, что позволяет червю запускаться при каждом старте системы.

При определенных обстоятельствах червь демонстрирует на экране фотографию морского котика.

Win32.HLLM.Generic.264 обнаруживается и обезвреживается антивирусной программой Dr.Web® с 11 декабря 2003 года. Пользователи с активным компонентом антивирусной защиты электронной почты SpIDer Mail гарантированы от получения зараженных этим червем писем.

Подробное описание механизма его действия можно прочитать на нашем сайте.

177
#ИБ
Подписаться на новости

Мы собираем пользовательские данные для улучшения работы сайта. Используя сайт, вы подтверждаете согласие на их обработку. Нажмите здесь, чтобы узнать больше.

;