Новый почтовый червь Win32.HLLM.Generic.95 (Braid) вначале определялся только антивирусом Dr.Web®
4 ноября многие пользователи компьютеров в Южной Корее столкнулись с новым червем массовой рассылки, который распространялся по Интернету, используя известную уязвимость программы Microsoft Internet Explorer (см. подробную информацию по этой уязвимости).
Судя по сообщениям ряда антивирусных лабораторий, в первые часы появления почтового червя его детектировал только эвристический анализатор Dr.Web® (тело червя, поступающее вместе с письмом в файле README.EXE определялось, как BACKDOOR.TROJAN). В дальнейшем червь был добавлен в вирусную базу Dr.Web® под именем Win32.HLLM.Generic.95 (горячее дополнение к версии 4.29 от 4 ноября 2002 года). Другими антивирусами этот вирус определяется, как W32/Braid@MM,PE_BRID.A,Win32.Braid.A.
По данным Службы мониторинга вирусной активности ЗАО "ДиалогНаука", по состоянию на 6 ноября данный почтовый червь занимает 4-6 место в интернет-трафике крупнейших провайдеров России. Однако пока его доля в целом не превышает 1.5% от общего числа вирусов, поэтому нельзя говорить пока о его эпидемическом распространении.
Win32.HLLM.Generic.95 содержит в своем теле модифицированный файловый вирус Win32.FunLove.4608. Сам вирус при запуске копирует себя в системную директорию Windows под именем REGEDIT.EXE, подменяя собой системный файл редактора реестра Windows. Кроме того, для обеспечения своего запуска при каждом старте системы, вирус создает запись regedit = %system%\regedit.exe
в ветви системного реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(%system% - обозначение системного каталога Windows).
Об инфицировании компьютера могут свидетельствовать следующие признаки:
См.подробное описание вируса