[31.05.2003]
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении нового червя массовой рассылки Win32.HLLM.Maya, получившем в классификации других антивирусных вендоров название Magold и Auric. По состоянию на 31 мая 2003 года сколько-нибудь заметного распространения этого червя в российском сегменте Интернета на зафиксировано. Это объясняется, на наш взгляд, тем фактом, что рассылаемые червем сообщения написаны на венгерском языке не могут в силу этого привлечь внимание даже самых любопытных пользователей российского Интернета.
Три вектора распространения используются червем для заражения компьютеров:
электронная почта, распространение по которой происходит в виде вложения Maya Gold.scr к почтовому сообщению, с темой и сопроводительным текстом, составленными на венгерском языке, рассылаемому при помощи собственной реализации протокола SMTP по всем адресам, обнаруженным червем в локальной адресной книге Windows и файлах под маской "*ht", которые он хранит в создаваемом им файле raVec.txt
популярные файлообменные сети KaZaa, Bearshare, Gnucleus, Limewire, Shareaza, Edonkey2000, Morpheus, Grokster и ICQ
сети диалогового общения в Интернете IRC
Будучи активированным, червь производит в пораженной системе следующие действия:
демонстрирует на экране дисплея сообщение с текстом DirectX Error! Address:0002R1A9V8E52000
создает в директории Windows несколько файлов -
Maya Gold.scr и raVe.exe
вносит изменения в ветку реестра автозапуска Windows и обеспечивает свою активацию при запуске исполняемых файлов с расширениями .BAT, .COM, .EXE, .PIF или .SCR
создает в директории Windows директорию raVe и делает ее доступной для пользователей сети KaZaA, внеся соответствующие изменения в ключ реестра HKCU\SOFTWARE\Kazaa\Transfer\DlDir0, а для распространения в среде других файлообменных сетей помещает в соответствующие директории (которые являются разделяемыми ресурсами) свою копию Maya Gold.scr
вносит изменения в файлы Events.ini и Script.ini, благодаря чему его копия Maya Gold.scr становится доступной для пользователей сети IRC
отсылает на некий почтовый адрес уведомление об инфицировании, включая IP - адрес пораженной системы и имя компьютера и пользователя
останавливает работу антивирусных процессов, в названиях окон которых есть символы VIR, ANTI, AFEE, NORT, AV
ограничивает возможности перемещения мыши по экрану
изменяет цвета рабочего стола
изменяет заголовок активного окна
создает на локальном диске несколько тысяч файлов величиной 0 байт
В настоящее время антивирусом Dr.Web® детектируется несколько разновидностей червя Win32.HLLM.Maya. В случае подозрения на заражение рекомендуем произвести экспресс-проверку Вашего компьютера путем запуска сканера Dr.Web®. При начальном сканировании файлов автозапуска и системной памяти присутствие Win32.HLLM.Maya в системе будет обнаружено, червь будет обезврежен. После этого рекомендуется провести полное сканирование всех жестких и съемных дисков компьютера, а в случае наличия локальной сети - всех компьютеров в этой сети.
Подробное описание червя будет опубликовано на нашем сайте позднее.