Новый почтовый червь Win32.HLLM.Yaha.4 - свара между индийскими и пакистанскими хакерами продолжается.

20 марта 2003

[20.03.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" отмечает все нарастающее присутствие в почтовом трафике Рунета нового клона почтового червя из семейства Yaha (Lentin). С 17 марта 2003 г. антивирусное ядро программы DrWeb® обнаруживает и успешно лечит новую модификацию почтового червя, получившего название Win32.HLLM.Yaha.4. За 4 дня этот червь вышел на 2-е место среди самых распространенных вредоносных программ, присутствующих в российском сегменте сети Интернет.

Выпущенный на волю новичок, впрочем, как и все предыдущие штаммы этого семейства, создан группой индийских хакеров, именующих себя Indian Snakes. Каждое новое появление червей этого семейства означает новый виток начавшегося еще в июне 2002 г. виртуального спора представителей двух враждующих хакерских группировок Индии и Пакистана, перенесших, мягко говоря, непростые отношения двух стран в кибер-пространство.

Создавая свое новое творение, авторы попытались убить сразу нескольких зайцев одним выстрелом. По заявлению самих Indian Snakes, червь написан якобы в отместку за порчу их сайта пакистанскими хакерами, и в обычном текстовом файле, помещаемом червем в пораженную систему, содержатся оскорбительные для пакистанских хакеров изречения. В нем же вирусописатели обращаются к хакеру-женщине, известной под псевдонимом Gigabyte, написавшей в январе нынешнего года вирус-ответ YahaSux после того, как ее сайт пострадал от одного из вариантов Yaha. И, наконец, там же содержится своеобразное "открытое письмо" к эксперту по вирусам из компании TrueSecure Роджеру Томпсону (Roger Thompson), в котором, полемизируя с последним, группировка подчеркивает, что она вовсе "не руководствуется политическими мотивами" (n0t p0litiCaLy m0tiVatEd).

Новый червь написан на языке программирования высокого уровня С++ и поражает компьютеры под управлением операционных систем MS Windows. Как и его предшественники, червь распространяется по электронной почте по всем адресам, обнаруженным в адресной книге Windows и по доступным для совместного пользования дискам локальной сети уязвимым для агрессора.

Червь помещает свои инфицированные копии exeloader.exe и mstask32.exe в системную директорию Windows и вносит изменения в несколько ключей реестра, обеспечивая свой запуск как при каждом начале работы пользователя в Windows, так и при запуске любого исполняемого файла.

Подобно своим собратьям, он пытается прервать найденные им процессы ряда антивирусных программ, межсетевых экранов и других приложений, связанных с обеспечением компьютерной безопасности, и провести DoS - атаку на несколько государственных веб-сайтов Пакистана, сайт провайдера интернет-услуг Comsats и сайт фондовой биржи в Карачи.

Каждую среду червь предпринимает попытки распространяться по доступным для чтения и записи сетевым дискам и изменяет стартовую страницу Internet Explorer на http://www.indiansnakes.cjb.net.

Таким образом, можно констатировать, что ведя между собой своеобразную словесную перепалку, индо-пакистанские хакеры наносят серьезный ущерб пользователям всемирной паутины. Во всяком случае, можно с уверенностью говорить о том, что каждый четвертый вирус, останавливаемый антивирусом DrWeb® на почтовых серверах, принадлежит сейчас к семейству Yaha.

365
;