В интернете ширится эпидемия Win32.HLLM.Foo.26432 (Mimail)

02 августа 2003

[02.08.2003]

По состоянию на утро 2 августа количество образцов червя, задержанных антивирусными фильтрами на серверах ведущих российских интернет-компаний, на страже безопасности которых стоит антивирусная программа Dr.Web^®, позволяет говорить о новом черве Win32.HLLM.Foo.26432, как об эпидемическом. Об этом же свидетельствуют сообщения международных компаний, специализирующихся по вопросам компьютерной безопасности.

Последнюю декаду июля предупреждения о возможности скорого появления нового эпидемического червя следовали от специалистов по кибер-безопасности одно за другим. С момента публикации компанией Microsoft бюллетеня MS03-26, закрывающего ошибку в ее программном обеспечении, и последовавшими за этим разработкой и обнародованием группой китайских хакеров кода, использующего эту уязвимость, мир замер в томительном ожидании.

Однако угроза компьютерному миру явилась несколько с другой стороны. В новом эпидемическом черве Win32.HLLM.Foo.26432 (известном также под именем Mimail) использованы другие уязвимости Microsoft, о которых было объявлено гораздо раньше: одна, связанная с некорректной обработкой приложением Internet Explorer объектных тегов и определением зон безопасности, и другая, связанная с ошибкой в обработчике ссылок MHTML.

Создателем червя использованы сразу два метода заражения - эксплуатация вышеупомянутой уязвимости для несанкционированного запуска вредоносного кода на компьютере жертвы и становящийся все более популярным метод социальной инженерии, в виде нехитро составленного, но, как показывают масштабы его распространения, беспроигрышного текста письма, сопровождающего появление червя на компьютерах пользователей и предупреждающего якобы от имени их интернет-провайдера об окончании срока действия адреса электронной почты:

Hello there,

I would like to inform you about important information regarding your
email address. This email address will be expiring.
Please read attachment for details.
---
Best regards, Administrator

Расчет на естественное человеческое нежелание лишиться такого удобного способа общения с внешним миром, как e-mail, в данном случае оказался действенным. Но на этом не заканчиваются ухищрения, предпринятые автором червя для максимально успешного и массового его распространения на как можно большем числе компьютеров.

Распакованный ZIP архив содержит безобидный, на первый взгляд, файл в формате HTML - message.html. Именно он и несет в себе код, эксплуатирующий уязвимость в почтовом клиенте Microsoft и запускающий уже исполняемый файл - foo.exe. Активированный червем исполняемый файл поселяется в системе под названием videodrv.exe. Для проведения массовой рассылки червь собирает на пораженном компьютере адреса электронной почты и рассылает их при помощи собственных реализаций протокола SMTP, предварительно архивируя с помощью также своей реализации архиватора ZIP.

Еще раз хотим обратить внимание пользователей Dr.Web^®: ваши компьютеры были надежно защищены даже до появления модуля, детектирующего непоредственно червя Win32.HLLM.Foo.26432, т.к. проникновение файла message.html и эксплутация им уязвимости были невозможны вследствие определения антивирусом Dr.Web^® этого файла сигнатурным методом.

178

#ИБ