В интернете нарастает присутствие нового червя Win32.HLLM.Foo.26432, эксплуатирующего известную уязвимость Microsoft

Служба мониторинга вирусной активности ЗАО «ДиалогНаука» сообщает о появлении нового червя массовой рассылки Win32.HLLM.Foo.26432 (в классификации других антивирусных компаний червь получил название Mimail).

Червь распространяется в нескольких вариациях и в настоящий момент наблюдается его массовая рассылка. На компьютеры червь попадает в виде письма электронной почты в форме заархивированного файла с расширением .zip. Запускается червь используя довольно-таки давнюю уязвимость в программном обеспечении компании Microsoft под названием Trojan.SelfExecHtml.

Шаблон почтового сообщения, генерируемого червем, выглядит следующим образом:

Hello there,

I would like to inform you about important information regarding your
email address. This email address will be expiring.
Please read attachment for details.
---
Best regards, Administrator

Файл message.zip упакован методом store, т.е. совсем без упаковки - просто в формате ZIP. Внутри этого архива находятся файл message.html (именно он воспользуется уязвимостью Trojan.SelfExecHtml) и файл foo.exe (откуда червь и получил название), упакованный утилитой UPX.

C 1 августа 2003 г. Win32.HLLM.Foo.26432 определяется и лечится антивирусом Dr.Web^®. ЗАО "ДиалогНаука" призывает всех своих пользователей как можно скорее обновить свои вирусные базы. Обращаем особое внимание пользователей, что антивирусная программа Dr.Web^® успешно определяет код используемой червем уязвимости сигнатурным методом и ваши компьютеры были гарантировано защищены от угрозы даже до выпуска нового модуля, детектирующего червя Win32.HLLM.Foo.26432.

Описание червя Win32.HLLM.Foo.26432 можно прочесть в библиотеке вирусных описаний ЗАО "ДиалогНаука".