В интернете нарастает присутствие червя Win32.HLLM.Darkprof (Mimail.C)
[01.11. 2003]
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении в сети интернет нового червя массовой рассылки, детектируемого антивирусной программой Dr.Web® как Win32.HLLM.Darkprof (в классификации других антивирусных вендоров Mimail.C). Червь поражает компьютеры под управлением ОС Windows, распространяется по электронной почте, используя собственную реализацию протокола SMTP. На компьютеры пользователей попадает в виде ZIP-архива под именем PHOTOS.ZIP. Размер исполняемого модуля червя в архивированном виде 12832 байта.
Несмотря на то, что новый агрессор во многом схож с появившимся в августе 2003 г. червем Win32.HLLM.Foo.26432 (известным также под именем Mimail.А), все же это принципиально новый код. Его главное отличие состоит в том, что новым червем не используются для проникновения на компьютеры эксплуатируемые Win32.HLLM.Foo.26432 две уязвимости - так называемая RPC DCOM, связанная с некорректной обработкой приложением Internet Explorer объектных тегов и определением зон безопасности, и другая, связанная с ошибкой в обработчике ссылок MHTML.
-
Запуск червя производится самим пользователем атакуемого компьютера!
Создателем червя использованы другие методы для поражения как можно большего числа компьютеров, а именно, метод социальной инженерии. Во-первых, это подставляемый червем в поле адресата почтового сообщения реальный доменный адрес самого получателя, что придает письму еще большую убедительность. Во-вторых, это текст письма, предлагающий посмотреть пикантные фотографии.
Запущенный самим пользователем ZIP архив содержит тело червя (файл с именем photos.jpg.exe), которое он копирует в директорию Windows под именем NETWATCH.EXE. В ту же директорию червь помещает еще несколько файлов:
- exe.tmp - копия червя
- eml.tmp - в этот файл червь помещает найденные в пораженной системе почтовые адреса
- zip.tmp - файл, прилагаемый червем к формируемым им почтовым сообщениям.
Червь обнаруживается и обезвреживается антивирусной программой Dr.Web с 31 октября 2003 года. Пользователи с активным компонентом антивирусной защиты электронной почты SpIDer Mail гарантированы от получения зараженных этим червем писем.
Подробное описание червя можно прочитать на нашем сайте.