Почтовый червь Win32.HLLM.Foo.25632 - еще один изощренный метод социальной инженерии, используемый вирусописателями

[14.11. 2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении в сети интернет нового червя массовой рассылки, детектируемого антивирусной программой Dr.Web^® как Win32.HLLM.Foo.25632 (другими антивирусными вендорами он определяется, как W32.Paylap@mm, Win32/Mimail.Variant.Worm, JS.Mimail.I). Червь поражает компьютеры под управлением ОС Windows. Размер исполняемого модуля червя - 12832 байта.

Червь распространяется по всемирной паутине в виде почтового вложения. Для обеспечения запуска вложения с содержащим тело червя инфицированным файлом PAYPAL.ASP.SCR агрессор использует методы так называемой социальной инженерии. И тема сообщения YOUR PAYPAL.COM ACCOUNT EXPIRES, и сам текст письма, отправленного якобы от имени администратора компании PayPal - платежной он-лайновой системы - призваны убедить пользователя самолично запустить в системе зараженный файл.

Сопроводительное письмо извещает получателей об истечении срока действия их счетов, что связано с якобы изменившейся политикой безопасности компании. Для продления счета предлагается открыть вложение PAYPAL.ASP.SCR и заполнить предлагаемую форму.

Запуск червя производится самим пользователем атакуемого компьютера!

Будучи активированным неосторожным пользователем, червь копирует себя в директорию Windows под названием svchost32.exe и обеспечивает путь к своей копии внеся соответствующие изменения в ветку автозапуска в системном реестре.

Еще один файл - PP.HTA - червь помещает в корневую директорию диска C:\. Этот файл представляет собой картинку с формой, которую и призывает заполнить «червивое» послание. В случае если пользователь заполняет эту форму, внесенные в нее данные, среди которых может быть указан номер кредитной карточки, сохраняются червем в файле PPINFO.SYS. Впоследствии украденные таким образом данные отправляются червем на несколько почтовых адресов в Чехии, закодированных в его теле.

Собранные в системе почтовые адреса, по которым он осуществляет свою массовую рассылку, червь хранит в создаваемом им в директории Windows файле El388.TMP.

Win32.HLLM.Foo.25632 обнаруживается и обезвреживается антивирусной программой Dr.Web^® с 14 ноября 2003 года. Пользователи с активным компонентом антивирусной защиты электронной почты SpIDer Mail гарантированы от получения зараженных этим червем писем.

Подробное описание механизма его действия можно прочитать на нашем сайте.