Сразу несколько новых разновидностей почтового червя Win32.HLLM.Lovgate начинают распространяться в Интернете

13 мая 2003

[13.05.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении в Интернете сразу нескольких новых разновидностей почтового червя Win32.HLLM.Lovgate. В настоящее время получена информация о распространении червя в Японии и Южной Корее, в российском сегменте Интернета вирус пока не обнаруживался. Тем не менее, практически все антивирусные вендоры в мире забили тревогу.

О появлении прародителя нынешних вредоносных модификаций из семейства Lovgate и его стремительном распространении по сети Интернет мы сообщали в нашей новости от 25 февраля 2003 г.

В отличие от предыдущих версий, новые модификации Win32.HLLM.Lovgate могут поражать только компьютеры под управлением Windows NT/2000/XP. В случае запуска червя на машинах под управлением Windows 95/98/Me пользователю будет выдано сообщение об ошибке в связи с отсутствием в системе файла PSAPI.DLL, необходимого для старта червя.

Весьма опасным делает семейство Lovgate способность запускать троянские процедуры-люки в адресном пространстве важной Windows-подсистемы LSASS.EXE. Работая "под прикрытием" обычного windows-процесса, эти процедуры могут таким образом обманывать межсетевые экраны, открывая доступ к пораженной машине извне, что, в конечном итоге, может привести к компрометации системы и утечке конфиденциальной информации.

Поселившись в системе, червь помещает в нее помимо своих копий несколько троянских компонентов (все они - файлы расширением .dll) и обеспечивает их запуск при каждом начале работы пользователя в Windows и открытии любого исполняемого или текстового файла в инфицированном компьютере. Кроме того, для распространения по локальным разделяемым ресурсам червь помещает в систему свои многочисленные копии в виде файлов с расширениями .exe и .pif. Особенно опасна деструктивная функция одной из разновидностей червя - Win32.HLLM.Lovgate.7 - поскольку она заражает также все исполняемые файлы на жестком диске.

В настоящее время антивирус Dr.Web® детектирует новые разновидности червя, как Win32.HLLM.Lovgate.4, Win32.HLLM.Lovgate.5, Win32.HLLM.Lovgate.6 и Win32.HLLM.Lovgate.7. Программные модули модификаций червя с 4-й по 6-ю имеют длину 127488 байт, 7-я имеет длину 132096 байт.


Если при запуске антивирусного сканера Dr.Web® (при сканировании файлов автозапуска) в системе обнаружены файлы, зараженные какой-либо модификацией червя Win32.HLLM.Lovgate, пользователю настоятельно рекомендуется произвести полное сканирование всех жестких дисков в системе, а также проверить все компьютеры, подключенные к пораженному по локальной сети.
12
;