В интернете нарастает присутствие червя Win32.HLLM.Darkprof (Mimail.C)

01 ноября 2003

[01.11. 2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении в сети интернет нового червя массовой рассылки, детектируемого антивирусной программой Dr.Web® как Win32.HLLM.Darkprof (в классификации других антивирусных вендоров Mimail.C). Червь поражает компьютеры под управлением ОС Windows, распространяется по электронной почте, используя собственную реализацию протокола SMTP. На компьютеры пользователей попадает в виде ZIP-архива под именем PHOTOS.ZIP. Размер исполняемого модуля червя в архивированном виде 12832 байта.

Несмотря на то, что новый агрессор во многом схож с появившимся в августе 2003 г. червем Win32.HLLM.Foo.26432 (известным также под именем Mimail.А), все же это принципиально новый код. Его главное отличие состоит в том, что новым червем не используются для проникновения на компьютеры эксплуатируемые Win32.HLLM.Foo.26432 две уязвимости - так называемая RPC DCOM, связанная с некорректной обработкой приложением Internet Explorer объектных тегов и определением зон безопасности, и другая, связанная с ошибкой в обработчике ссылок MHTML.

    Запуск червя производится самим пользователем атакуемого компьютера!

Создателем червя использованы другие методы для поражения как можно большего числа компьютеров, а именно, метод социальной инженерии. Во-первых, это подставляемый червем в поле адресата почтового сообщения реальный доменный адрес самого получателя, что придает письму еще большую убедительность. Во-вторых, это текст письма, предлагающий посмотреть пикантные фотографии.

Запущенный самим пользователем ZIP архив содержит тело червя (файл с именем photos.jpg.exe), которое он копирует в директорию Windows под именем NETWATCH.EXE. В ту же директорию червь помещает еще несколько файлов:

  • exe.tmp - копия червя
  • eml.tmp - в этот файл червь помещает найденные в пораженной системе почтовые адреса
  • zip.tmp - файл, прилагаемый червем к формируемым им почтовым сообщениям.
Поселившись в системе червь проверяет подсоединен ли компьютер к сети интернет, предпринимая попытки установить соединение с www.google.com. Для проведения массовой рассылки червь собирает на пораженном компьютере адреса электронной почты и рассылает себя по этим адресам при помощи собственной реализации протокола SMTP. Кроме того, червь осуществляет DOS-атаку на сайты www.darkprofits.com и www.darkprofits.net, а также собирает конфиденциальную информацию в зараженной системе, которую затем отправляет по нескольким адресам, предположительно своему создателю.

Червь обнаруживается и обезвреживается антивирусной программой Dr.Web с 31 октября 2003 года. Пользователи с активным компонентом антивирусной защиты электронной почты SpIDer Mail гарантированы от получения зараженных этим червем писем.

Подробное описание червя можно прочитать на нашем сайте.

209
;