В интернете ширится эпидемия Win32.HLLM.Foo.26432 (Mimail)
[02.08.2003]
По состоянию на утро 2 августа количество образцов червя, задержанных антивирусными фильтрами на серверах ведущих российских интернет-компаний, на страже безопасности которых стоит антивирусная программа Dr.Web®, позволяет говорить о новом черве Win32.HLLM.Foo.26432, как об эпидемическом. Об этом же свидетельствуют сообщения международных компаний, специализирующихся по вопросам компьютерной безопасности.
Последнюю декаду июля предупреждения о возможности скорого появления нового эпидемического червя следовали от специалистов по кибер-безопасности одно за другим. С момента публикации компанией Microsoft бюллетеня MS03-26, закрывающего ошибку в ее программном обеспечении, и последовавшими за этим разработкой и обнародованием группой китайских хакеров кода, использующего эту уязвимость, мир замер в томительном ожидании.
Однако угроза компьютерному миру явилась несколько с другой стороны. В новом эпидемическом черве Win32.HLLM.Foo.26432 (известном также под именем Mimail) использованы другие уязвимости Microsoft, о которых было объявлено гораздо раньше: одна, связанная с некорректной обработкой приложением Internet Explorer объектных тегов и определением зон безопасности, и другая, связанная с ошибкой в обработчике ссылок MHTML.
Создателем червя использованы сразу два метода заражения - эксплуатация вышеупомянутой уязвимости для несанкционированного запуска вредоносного кода на компьютере жертвы и становящийся все более популярным метод социальной инженерии, в виде нехитро составленного, но, как показывают масштабы его распространения, беспроигрышного текста письма, сопровождающего появление червя на компьютерах пользователей и предупреждающего якобы от имени их интернет-провайдера об окончании срока действия адреса электронной почты:
Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. --- Best regards, Administrator
Распакованный ZIP архив содержит безобидный, на первый взгляд, файл в формате HTML - message.html. Именно он и несет в себе код, эксплуатирующий уязвимость в почтовом клиенте Microsoft и запускающий уже исполняемый файл - foo.exe. Активированный червем исполняемый файл поселяется в системе под названием videodrv.exe. Для проведения массовой рассылки червь собирает на пораженном компьютере адреса электронной почты и рассылает их при помощи собственных реализаций протокола SMTP, предварительно архивируя с помощью также своей реализации архиватора ZIP.
Еще раз хотим обратить внимание пользователей Dr.Web®: ваши компьютеры были надежно защищены даже до появления модуля, детектирующего непоредственно червя Win32.HLLM.Foo.26432, т.к. проникновение файла message.html и эксплутация им уязвимости были невозможны вследствие определения антивирусом Dr.Web® этого файла сигнатурным методом.