В интернете нарастает присутствие нового червя Win32.HLLM.Foo.26432, эксплуатирующего известную уязвимость Microsoft
[01.08.2003]
Служба мониторинга вирусной активности ЗАО «ДиалогНаука» сообщает о появлении нового червя массовой рассылки Win32.HLLM.Foo.26432 (в классификации других антивирусных компаний червь получил название Mimail).
Червь распространяется в нескольких вариациях и в настоящий момент наблюдается его массовая рассылка. На компьютеры червь попадает в виде письма электронной почты в форме заархивированного файла с расширением .zip. Запускается червь используя довольно-таки давнюю уязвимость в программном обеспечении компании Microsoft под названием Trojan.SelfExecHtml.
Шаблон почтового сообщения, генерируемого червем, выглядит следующим образом:
Текст:
Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. --- Best regards, Administrator
Файл message.zip упакован методом store, т.е. совсем без упаковки - просто в формате ZIP. Внутри этого архива находятся файл message.html (именно он воспользуется уязвимостью Trojan.SelfExecHtml) и файл foo.exe (откуда червь и получил название), упакованный утилитой UPX.
C 1 августа 2003 г. Win32.HLLM.Foo.26432 определяется и лечится антивирусом Dr.Web®. ЗАО "ДиалогНаука" призывает всех своих пользователей как можно скорее обновить свои вирусные базы. Обращаем особое внимание пользователей, что антивирусная программа Dr.Web® успешно определяет код используемой червем уязвимости сигнатурным методом и ваши компьютеры были гарантировано защищены от угрозы даже до выпуска нового модуля, детектирующего червя Win32.HLLM.Foo.26432.
Описание червя Win32.HLLM.Foo.26432 можно прочесть в библиотеке вирусных описаний ЗАО "ДиалогНаука".