Внимание, эпидемия! Отмечено быстрое распространение почтового червя Win32.HLLM.Reteras.2, рассылаемого якобы компанией Microsoft
[19.05.2003]
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении в сети Интернет и чрезвычайно быстром распространении нового червя почтовой рассылки Win32.HLLM.Reteras.2 (ранее названного Win32.HLLM.CCN, а в классификации других антивирусных вендоров получившего название Palyh и Mankx). Червь написан на языке програмирования высокого уровня C++ и упакован утилитой UPX.Червь очень похож на своего предшественника, изменены лишь названия файлов, создаваемых червем в системе, а также применены новые алгоритмы шифрования.
Распространяется червь по электронной почте в виде вложения к почтовому сообщению, обратный адрес которого support@microsoft.com.
Темы почтовых сообщений предваряются префиксом RE:, а сопроводительный текст состоит всего из одной фразы All the information is in the attached file.
Дальнейшее распространение червя с зараженного компьютера осуществляется по всем адресам, обнаруженным им в адресной книге Windows, и файлах с расширениями htm, html, eml и txt. Сообщения генерируются червем при помощи его собственной реализации протокола SMTP.
Поселившись в компьютере червь помещает несколько файлов в директорию Windows и начинает распространяться по разделяемым ресурсам локальной сети, прописывая свои копии в каталоги автозапуска на сетевых компьютерах.
Червь детектируется и обезвреживается всеми компонентами антивируса Dr.Web®. В случае подозрения на заражение (например, наличия в директории Windows файла msccn32.exe) либо при поступлении письма якобы от службы технической поддержки компании Microsoft, рекомендуем произвести экспресс-проверку Вашего компьютера путемс запуска сканера Dr.Web®. При начальном сканировании файлов автозапуска и системной памяти присутствие Win32.HLLM.Reteras.2 в системе будет обнаружено, червь будет обезврежен. После этого рекомендуется провести полное сканирование всех жестких и съемных дисков компьютера, а в случае наличия локальной сети - всех компьютеров в этой сети.
Подробное описание червя смотрите в нашей вирусной библиотеке.