Новый вариант Yaha - привет авторам Klez и Slammer от индийских хакеров

05 марта 2003
[05.03.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении новой разновидности почтового червя массовой рассылки Yaha, детектируемого антивирусным ядром Dr.Web® как Win32.HLLM.Yaha.3.

Червь написан на языке Visual C++, упакован упаковщиком UPX, имеет длину 45568 байт. При попадании на компьютер червь осуществляет следующие действия:

  • Прекращает работу ряда антивирусных программ, а также других приложений, связанных с обеспечением безопасности ПК.
  • Прекращает работу редактора системного реестра, а также менеджера процессов
  • Рассылает свои копии по электронной почте, используя свою реализацию SMTP, по адресам, обнаруженным в адресной книге Windows, списках контактов MSN Messenger, .NET Messenger и Yahoo Pager, а также в файлах с расширением *ht, соответствующим, в основном, HTML-файлам
  • Создает несколько своих копий на локальном диске
  • Изменяет ряд ключей системного реестра с целью обеспечения своего последующего запуска при старте системы
  • Изменяет системный реестр таким образом, чтобы запуск любого исполняемого файла приводил к запуску червя
  • Изменяет стартовую страницу интернет-броузера IE
  • Пытается обратиться к нескольким сайтам в Пакистане с пораженного компьютера, создавая предпосылки для DoS-атаки на эти сайты
  • Пытается распространиться по локальной сети, записывая свои копии на сетевые диски, доступные для совместного использования и открытые на запись
  • Делает попытки доступа к ряду сайтов (в настоящее время заблокированы) c с целью скачать оттуда некие исполняемые модули
  • При поражении компьютера наблюдается серьезное замедление его работы.

    Win32.HLLM.Yaha.3 обнаруживается и обезвреживается антивирусной программой Dr.Web® для Windows, при этом автоматически производится очистка системного реестра. Запуск сканера Dr.Web® с настройками "по умолчанию" на зараженном компьютере позволяет сразу обнаружить присутствие червя и обезвредить его, не проводя полного сканирования компьютера. Вместе с тем, для удаления всех копий червя с локальных дисков рекомендуется просканировать все диски.

    Смотрите подробное описание Win32.HLLM.Yaha.3 на нашем сайте.

    14
    ;