Почтовый червь Win32.HLLM.Maya - опасный подарок из Венгрии

31 мая 2003

[31.05.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении нового червя массовой рассылки Win32.HLLM.Maya, получившем в классификации других антивирусных вендоров название Magold и Auric. По состоянию на 31 мая 2003 года сколько-нибудь заметного распространения этого червя в российском сегменте Интернета на зафиксировано. Это объясняется, на наш взгляд, тем фактом, что рассылаемые червем сообщения написаны на венгерском языке не могут в силу этого привлечь внимание даже самых любопытных пользователей российского Интернета.

Три вектора распространения используются червем для заражения компьютеров:

  • электронная почта, распространение по которой происходит в виде вложения Maya Gold.scr к почтовому сообщению, с темой и сопроводительным текстом, составленными на венгерском языке, рассылаемому при помощи собственной реализации протокола SMTP по всем адресам, обнаруженным червем в локальной адресной книге Windows и файлах под маской "*ht", которые он хранит в создаваемом им файле raVec.txt
  • популярные файлообменные сети KaZaa, Bearshare, Gnucleus, Limewire, Shareaza, Edonkey2000, Morpheus, Grokster и ICQ
  • сети диалогового общения в Интернете IRC
  • Будучи активированным, червь производит в пораженной системе следующие действия:
  • демонстрирует на экране дисплея сообщение с текстом DirectX Error! Address:0002R1A9V8E52000
  • создает в директории Windows несколько файлов - Maya Gold.scr и raVe.exe
  • вносит изменения в ветку реестра автозапуска Windows и обеспечивает свою активацию при запуске исполняемых файлов с расширениями .BAT, .COM, .EXE, .PIF или .SCR
  • создает в директории Windows директорию raVe и делает ее доступной для пользователей сети KaZaA, внеся соответствующие изменения в ключ реестра HKCU\SOFTWARE\Kazaa\Transfer\DlDir0, а для распространения в среде других файлообменных сетей помещает в соответствующие директории (которые являются разделяемыми ресурсами) свою копию Maya Gold.scr
  • вносит изменения в файлы Events.ini и Script.ini, благодаря чему его копия Maya Gold.scr становится доступной для пользователей сети IRC
  • отсылает на некий почтовый адрес уведомление об инфицировании, включая IP - адрес пораженной системы и имя компьютера и пользователя
  • останавливает работу антивирусных процессов, в названиях окон которых есть символы VIR, ANTI, AFEE, NORT, AV
  • ограничивает возможности перемещения мыши по экрану
  • изменяет цвета рабочего стола
  • изменяет заголовок активного окна
  • создает на локальном диске несколько тысяч файлов величиной 0 байт
  • В настоящее время антивирусом Dr.Web® детектируется несколько разновидностей червя Win32.HLLM.Maya. В случае подозрения на заражение рекомендуем произвести экспресс-проверку Вашего компьютера путем запуска сканера Dr.Web®. При начальном сканировании файлов автозапуска и системной памяти присутствие Win32.HLLM.Maya в системе будет обнаружено, червь будет обезврежен. После этого рекомендуется провести полное сканирование всех жестких и съемных дисков компьютера, а в случае наличия локальной сети - всех компьютеров в этой сети.

    Подробное описание червя будет опубликовано на нашем сайте позднее.

    10
    Подписаться на новости
    ;