В интернете нарастает присутствие нового червя Win32.HLLM.Foo.26432, эксплуатирующего известную уязвимость Microsoft

01 августа 2003

[01.08.2003]

Служба мониторинга вирусной активности ЗАО «ДиалогНаука» сообщает о появлении нового червя массовой рассылки Win32.HLLM.Foo.26432 (в классификации других антивирусных компаний червь получил название Mimail).

Червь распространяется в нескольких вариациях и в настоящий момент наблюдается его массовая рассылка. На компьютеры червь попадает в виде письма электронной почты в форме заархивированного файла с расширением .zip. Запускается червь используя довольно-таки давнюю уязвимость в программном обеспечении компании Microsoft под названием Trojan.SelfExecHtml.

Шаблон почтового сообщения, генерируемого червем, выглядит следующим образом:

Тема: your account
Текст:
Hello there,

I would like to inform you about important information regarding your
email address. This email address will be expiring.
Please read attachment for details.
---
Best regards, Administrator
Вложение: message.zip

Файл message.zip упакован методом store, т.е. совсем без упаковки - просто в формате ZIP. Внутри этого архива находятся файл message.html (именно он воспользуется уязвимостью Trojan.SelfExecHtml) и файл foo.exe (откуда червь и получил название), упакованный утилитой UPX.

C 1 августа 2003 г. Win32.HLLM.Foo.26432 определяется и лечится антивирусом Dr.Web®. ЗАО "ДиалогНаука" призывает всех своих пользователей как можно скорее обновить свои вирусные базы. Обращаем особое внимание пользователей, что антивирусная программа Dr.Web® успешно определяет код используемой червем уязвимости сигнатурным методом и ваши компьютеры были гарантировано защищены от угрозы даже до выпуска нового модуля, детектирующего червя Win32.HLLM.Foo.26432.

Описание червя Win32.HLLM.Foo.26432 можно прочесть в библиотеке вирусных описаний ЗАО "ДиалогНаука".

7
;