Новый Win32.HLLM.Foo выбрал в жертвы антиспамерские сайты

02 декабря 2003

[02.12.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении новой разновидности в семействе почтовых червей Foo - Win32.HLLM.Foo. Его создание служит еще одним подтверждением того, что спамерские компании включились в серьезную борьбу с антиспамерскими сайтами, собирающими информацию о недобросовестных интернет-провайдерах, потворствующих или не препятствующих рассылке нежелательной почты рекламного характера со своих серверов. Основной удар нового червя нацелен прежде всего на сайты www.spews.org, www.spamhaus.org и www.spamcop.net. Не оставлен без внимания и известный ресурс, посвященный вопросам компьютерной безопасности, который также состоит в списке веб-сайтов, против которых инфицированные червем компьютеры должны начать DoS-атаку.

Новый вариант, известный также под именем Win32.Mimail.L, поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Как и все предыдущие варианты, распространяется по электронной почте, используя собственную реализацию протокола SMTP. Найденные на компьютере адреса электронной почты, по которым червь осуществляет свою массовую рассылку, хранятся в файле XU298DA.TMP. Адреса отправителей подставляются червем из содержащегося в его теле списка и не являются реальными. В виду ошибки в коде червя, ему не всегда удается отправить инфицированное вложение вместе с распространяемыми почтовыми сообщениями и это существенно уменьшает его вредоносный потенциал.

На компьютеры пользователей червь попадал в виде вложения к почтовому сообщению WENDY.ZIP, внутри которого находится обычный исполняемый файл, правда с двойным расширением, одно из которых .JPG. Размер программного модуля червя, упакованного компрессионной утилитой UPX, - 11 296 байт. Текст прилагаемого письма предлагает для просмотра CD диски сомнительного содержания.

В директорию Windows червь помещает две свои копии XU39REU.TMP и SVCHOST32.EXE, а также копию вложения. Основной вредоносный заряд червя состоит в организации DoS атаки против ряда антиспамерских сайтов.

Новый вариант Win32.HLLM.Foo обнаруживается и обезвреживается антивирусной программой Dr.Web® с 1 декабря 2003 года. Пользователи с активным компонентом антивирусной защиты электронной почты SpIDer Mail гарантированы от получения зараженных этим червем писем.

Подробное описание механизма его действия можно прочитать на нашем сайте позднее.

212
;