Семейство Torvil - эпидемия набирает обороты, но пока за пределами России

27 октября 2003

[27.10.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении в сети Интернет нового семейства червей Torvil. В настоящий момент все три его представителя, детектируемые антивирусной программой Dr.Web® как Win32.HLLM.Torvil, Win32.HLLM.Torvil.1 и Win32.HLLM.Torvil.2 "отметились" в вирусной статистике Dr.Web®. На сегодняшний день количество этих червей среди всех разновидностей вредоносных программ, детектируемых в почтовом трафике Рунета, относительно мало, однако анализ статистики по всему миру свидетельствует о возможности более сереьезного распространения червей этого семейства в российском сегменте интернета.

Черви семейства Torvil написаны на языке программирования высокого уровня Borland Delphi и упакованы упаковщиком ASPack. Поражают компьютеры под управлением операционных систем Windows 95/98/ME/NT/2000/XP. С целью инфицирования как можно большего числа компьютеров червями используется несколько векторов атаки:

  • распространение по электронной почте с использованием собственной реализации протокола SMTP, а также с помощью функций MAPI - в этом случае полученное сообщение может выглядеть как письмо от имени компании Microsoft, а вложение будет снабжено расширением .BAT, .PIF, .SCR или .ZIP.
  • распространение по файлообменным сетям KaZaa, Xolox и eDonkey2000 и сети диалогового общения в Интернете mIRC
  • попытки распространения по доступным для совместного пользования дискам локальных сетей путем подбора паролей.

Запуск червя Win32.HLLM.Torvil.2 на компьютере при отсутствии антивирусных программ или в случае несвоевременного обновления вирусных баз возможен без участия пользователя, поскольку червем используется достаточно старая брешь в программе Microsoft Internet Explorer, о которой мы неоднократно сообщали ранее.

Будучи активированным, червь производит в пораженной системе следующие действия:

  • демонстрирует на экране дисплея ложное сообщение якобы от имени компании Microsoft, предлагающее загрузить в систему новый патч от так называемой уязвимости RPC DCOM.
  • помещает свою копию SVCHOST.EXE в директорию Windows и обеспечивает доступ к ней, модифицировав соответствующую реестровую запись. В ту же директорию червь помещает еще два файла, названия которых состоят из слова "spool" и "SMSS", за которыми следуют два выбираемых случайным образом буквенных символа от "A" до "Z", и расширение .EXE
  • вносит изменения в несколько ключей системного реестра, обеспечивая, таким образом, свой автоматический запуск при открытии любого файла с расширением .BAT, .COM, .EXE, .PIF или .SCR
  • в директории Windows создает собственную директорию под названием Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}, которой присваивает атрибут "скрытой". В этой директории червь также хранит свои многочисленные копии
  • для распространения по сети IRC модифицирует в директории \Mirc файл Script.ini, после чего становится доступным всем пользователям системы после осуществления соединения пораженного червем компьютера с сервером IRC
  • помещает в загрузочные директории файлообменных сетей свои копии, представляя себя, в частности, утилитами известных антивирусных компаний
  • в случае успеха в подборе пароля копирует себя на разделяемый ресурс в виде файла REMINDER.EXE
  • осуществляет массовую рассылку своих инфицированных копий по всем адресам локальной адресной книги зараженного компьютера
  • останавливает работу антивирусных программ и брандмауэров, огромный список которых хранится в тебе червя.

Win32.HLLM.Torvil и другие почтовые черви этого семейства детектируются и обезвреживаются всеми компонентами антивирусного пакета Dr.Web®, на компьютерах под управлением MS Windows зараженные письма будут отфильтровываться почтовым антивирусным модулем SpIDer Mail, что исключает попадание таких писем в почтовую базу пользователя.

17
;