Новый почтовый червь Win32.HLLM.Generic.95 (Braid) вначале определялся только антивирусом Dr.Web®

06 ноября 2002
[06.11]
4 ноября многие пользователи компьютеров в Южной Корее столкнулись с новым червем массовой рассылки, который распространялся по Интернету, используя известную уязвимость программы Microsoft Internet Explorer (см. подробную информацию по этой уязвимости).

Судя по сообщениям ряда антивирусных лабораторий, в первые часы появления почтового червя его детектировал только эвристический анализатор Dr.Web® (тело червя, поступающее вместе с письмом в файле README.EXE определялось, как BACKDOOR.TROJAN). В дальнейшем червь был добавлен в вирусную базу Dr.Web® под именем Win32.HLLM.Generic.95 (горячее дополнение к версии 4.29 от 4 ноября 2002 года). Другими антивирусами этот вирус определяется, как W32/Braid@MM,PE_BRID.A,Win32.Braid.A.

По данным Службы мониторинга вирусной активности ЗАО "ДиалогНаука", по состоянию на 6 ноября данный почтовый червь занимает 4-6 место в интернет-трафике крупнейших провайдеров России. Однако пока его доля в целом не превышает 1.5% от общего числа вирусов, поэтому нельзя говорить пока о его эпидемическом распространении.

Win32.HLLM.Generic.95 содержит в своем теле модифицированный файловый вирус Win32.FunLove.4608. Сам вирус при запуске копирует себя в системную директорию Windows под именем REGEDIT.EXE, подменяя собой системный файл редактора реестра Windows. Кроме того, для обеспечения своего запуска при каждом старте системы, вирус создает запись regedit = %system%\regedit.exe в ветви системного реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(%system% - обозначение системного каталога Windows).

Об инфицировании компьютера могут свидетельствовать следующие признаки:

  • Наличие на рабочем столе файла Help.eml, содержащего инфицированное вирусом почтовое вложение
  • Наличие на рабочем столе файла Explorer.exe
  • В случае обнаружения указанных файлов рекомендуем немедленно проверить свой компьютер антивирусным сканером, предварительно обновив вирусные базы.

    См.подробное описание вируса

    220
    Подписаться на новости
    ;