Reteras.2 умер. Да здравствует Reteras.3 ?

01 июня 2003

[01.06.003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении и быстром распространении в интернете уже третьей разновидности далеко не безопасного почтового червя семейства Reteras - Win32.HLLM.Reteras.3 (известного также под именем Sobig). Как и сообщалось ранее, 31 мая стало последним днем распространения почтового червя Win32.HLLM.Reteras.2, который достаточно быстро и громко заявил о себе и терроризировал практически все население Земли около 12 дней. Как по расписанию, он практически пропал из вирусной статистики 1 июня, зато его тут же заменил не менее ретивый потомок.

Как и предыдущие две его версии, молниеносно распространившиеся по миру, червь проникает на компьютеры через электронную почту и далее путешествует по локальным сетям, заражая доступные для совместного пользования диски.

Для проникновения на компьютеры червь привлекает внимание пользователей, применяя тот же прием социальной инженерии, что и в своем предыдущем варианте, а именно, почтовый адрес отправителя сообщения обозначен как bill@microsoft.com, то есть письмо с исполняемым вложением поступает якобы от имени всемирно известного компьютерного гиганта - компании Microsoft. Вместе с тем, специалистами ЗАО "ДиалогНаука" зафиксированы многочисленные факты распространения зараженных этим червем писем, обратный адрес в которых выбирается из числа адресов, обнаруженных на зараженном компьютере.

Будучи активированным, червь копирует себя в директорию Windows под именем mscvb32.exe и прописывает ссылку на себя в системном реестре таким образом, чтобы стартовать каждый раз при запуске Windows. После этого червь запускает свою новую копию, которая, помимо массовой рассылки почтовых сообщений с копиями его самого, постоянно контролирует наличие основного модуля Win32.HLLM.Reteras.3 на диске.

Поселившись в системе, червь собирает адреса для своей рассылки в локальной адресной книге, файлах под масками "*ht", "*ml" и с расширениями "txt" и генерирует почтовые сообщения при помощи собственной реализации протокола SMTP. Так же, как и его предшественник, новый Reteras предпринимает попытки загрузить с сайта http://www.geocities.com другие свои компоненты, что и представляет в нем наибольшую опасность.

Как и его предешественник, новый Reteras погостит у нас не долго - 8 июня обозначен для него, как день прекращения его распространения. Создается впечатление, что кто-то решил всерьез позабавить явно заскучавшее человечество.

Червь определяется и лечится антивирусом Dr.Web® с 1 июня 2003 г. ЗАО "ДиалогНаука" призывает всех своих пользователей обновить свои вирусные базы и запустить на компьютере антивирусный сканер Dr.Web® - если червь к моменту запуска сканера поразил компьютер, Dr.Web® остановит вирусный процесс в памяти и корректно очистит системный реестр от всех записей, созданных в нем червем.


По данным на 23:00 московского времени 2 июня, доля Win32.HLLM.Reteras.3 среди остальных вирусов, остановленных на почтовых серверах антивирусными фильтрами Dr.Web, превысила 4%, что является достаточно высоким показателем и свидетельствует об эпидемическом характере этого червя.
8
;