Внимание, эпидемия! Отмечено быстрое распространение почтового червя Win32.HLLM.Reteras.2, рассылаемого якобы компанией Microsoft

19 мая 2003

[19.05.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении в сети Интернет и чрезвычайно быстром распространении нового червя почтовой рассылки Win32.HLLM.Reteras.2 (ранее названного Win32.HLLM.CCN, а в классификации других антивирусных вендоров получившего название Palyh и Mankx). Червь написан на языке програмирования высокого уровня C++ и упакован утилитой UPX.Червь очень похож на своего предшественника, изменены лишь названия файлов, создаваемых червем в системе, а также применены новые алгоритмы шифрования.

Распространяется червь по электронной почте в виде вложения к почтовому сообщению, обратный адрес которого support@microsoft.com.

Обращаем внимание пользователей, что компания Microsoft никогда не рассылает исполняемые файлы во вложениях к своим письмам! Вложение с исполняемым файлом, содержащим исходный код червя, может иметь расшение .PIF (Program Information File - файл с дополнительной информацией о программе, например используемые ресурсы, клавиатура и "быстрые" клавиши) или .PI.

Темы почтовых сообщений предваряются префиксом RE:, а сопроводительный текст состоит всего из одной фразы All the information is in the attached file.

Дальнейшее распространение червя с зараженного компьютера осуществляется по всем адресам, обнаруженным им в адресной книге Windows, и файлах с расширениями htm, html, eml и txt. Сообщения генерируются червем при помощи его собственной реализации протокола SMTP.

Поселившись в компьютере червь помещает несколько файлов в директорию Windows и начинает распространяться по разделяемым ресурсам локальной сети, прописывая свои копии в каталоги автозапуска на сетевых компьютерах.

Червь детектируется и обезвреживается всеми компонентами антивируса Dr.Web®. В случае подозрения на заражение (например, наличия в директории Windows файла msccn32.exe) либо при поступлении письма якобы от службы технической поддержки компании Microsoft, рекомендуем произвести экспресс-проверку Вашего компьютера путемс запуска сканера Dr.Web®. При начальном сканировании файлов автозапуска и системной памяти присутствие Win32.HLLM.Reteras.2 в системе будет обнаружено, червь будет обезврежен. После этого рекомендуется провести полное сканирование всех жестких и съемных дисков компьютера, а в случае наличия локальной сети - всех компьютеров в этой сети.

Подробное описание червя смотрите в нашей вирусной библиотеке.

8
;