Семейство Torvil - эпидемия набирает обороты, но пока за пределами России
[27.10.2003]
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении в сети Интернет нового семейства червей Torvil. В настоящий момент все три его представителя, детектируемые антивирусной программой Dr.Web® как Win32.HLLM.Torvil, Win32.HLLM.Torvil.1 и Win32.HLLM.Torvil.2 "отметились" в вирусной статистике Dr.Web®. На сегодняшний день количество этих червей среди всех разновидностей вредоносных программ, детектируемых в почтовом трафике Рунета, относительно мало, однако анализ статистики по всему миру свидетельствует о возможности более сереьезного распространения червей этого семейства в российском сегменте интернета.
Черви семейства Torvil написаны на языке программирования высокого уровня Borland Delphi и упакованы упаковщиком ASPack. Поражают компьютеры под управлением операционных систем Windows 95/98/ME/NT/2000/XP. С целью инфицирования как можно большего числа компьютеров червями используется несколько векторов атаки:
- распространение по электронной почте с использованием собственной реализации протокола SMTP, а также с помощью функций MAPI - в этом случае полученное сообщение может выглядеть как письмо от имени компании Microsoft, а вложение будет снабжено расширением .BAT, .PIF, .SCR или .ZIP.
- распространение по файлообменным сетям KaZaa, Xolox и eDonkey2000 и сети диалогового общения в Интернете mIRC
- попытки распространения по доступным для совместного пользования дискам локальных сетей путем подбора паролей.
Запуск червя Win32.HLLM.Torvil.2 на компьютере при отсутствии антивирусных программ или в случае несвоевременного обновления вирусных баз возможен без участия пользователя, поскольку червем используется достаточно старая брешь в программе Microsoft Internet Explorer, о которой мы неоднократно сообщали ранее.
Будучи активированным, червь производит в пораженной системе следующие действия:
- демонстрирует на экране дисплея ложное сообщение якобы от имени компании Microsoft, предлагающее загрузить в систему новый патч от так называемой уязвимости RPC DCOM.
- помещает свою копию SVCHOST.EXE в директорию Windows и обеспечивает доступ к ней, модифицировав соответствующую реестровую запись. В ту же директорию червь помещает еще два файла, названия которых состоят из слова "spool" и "SMSS", за которыми следуют два выбираемых случайным образом буквенных символа от "A" до "Z", и расширение .EXE
- вносит изменения в несколько ключей системного реестра, обеспечивая, таким образом, свой автоматический запуск при открытии любого файла с расширением .BAT, .COM, .EXE, .PIF или .SCR
- в директории Windows создает собственную директорию под названием Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}, которой присваивает атрибут "скрытой". В этой директории червь также хранит свои многочисленные копии
- для распространения по сети IRC модифицирует в директории \Mirc файл Script.ini, после чего становится доступным всем пользователям системы после осуществления соединения пораженного червем компьютера с сервером IRC
- помещает в загрузочные директории файлообменных сетей свои копии, представляя себя, в частности, утилитами известных антивирусных компаний
- в случае успеха в подборе пароля копирует себя на разделяемый ресурс в виде файла REMINDER.EXE
- осуществляет массовую рассылку своих инфицированных копий по всем адресам локальной адресной книги зараженного компьютера
- останавливает работу антивирусных программ и брандмауэров, огромный список которых хранится в тебе червя.
Win32.HLLM.Torvil и другие почтовые черви этого семейства детектируются и обезвреживаются всеми компонентами антивирусного пакета Dr.Web®, на компьютерах под управлением MS Windows зараженные письма будут отфильтровываться почтовым антивирусным модулем SpIDer Mail, что исключает попадание таких писем в почтовую базу пользователя.