Внимание, эпидемия! В Интернете быстро растет присутствие опасного почтового червя Win32.HLLM.Fizzer
[12.05.2003]
Полку почтовых червей прибыло. Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении и быстром расчпространении по сети Интернет нового, достаточно опасного червя массовой рассылки, сочетающего в себе функции троянского коня и утилиты регистрации последовательности нажатия клавиш. Новый червь, обладающий к тому же способностью обновлять себя через Интернет и выполнять инструкции удаленного пользователя через сеть диалогового общения IRC, определяется антивирусной программой Dr.Web® как Win32.HLLM.Fizzer.
Скорость распространения червя в российском сегменте всемирной сети позволяет говорить о начале новой вирусной эпидемии. По данным Службы мониторинга вирусной активности ЗАО "ДиалогНаука" на 15:00 13 мая червь вошел в тройку наиболее распространенных вирусов после Win32.HLLM.Klez.4 и Win32.HLLM.Yaha.4. По сообщениям партнеров нашей компании, в дальневосточном регионе Win32.HLLM.Fizzer распространяется еще более стремительно.
Червь поражает компьютеры под управлением операционных систем Windows 95/98/ME/NT/2000/XP. Он предпринимает попытки прервать работу процессов, в заголовках окон которых содержатся слова antiv, nmain, f-prot, scan, taskm, virus, vshw и др.
Три вектора атаки используются червем для достижения максимального уровня распространения - электронная почта, файлообменная сеть KaZaA и сеть диалогового общения в Интернете IRC.
Для распространения по сети Интернет в виде почтовых сообщений червь добывает адреса из адресной книги Windows и списка контактов MS Outlook локального компьютера. Он также снабжен механизмом генерации почтовых адресов, и может формировать адрес жертвы на основе такой, например, формулы:
aol.com earthlink.net gte.net juno.com msn.com hotmail.com netzero.com yahoo.comСообщения генерируются червем при помощи его собственной реализации протокола SMTP. Часто темы сообщений содержат префикс RE: или FWD:, создавая впечатление, что полученное письмо является ответом на собственное сообщение пользователя, либо переправленной копией письма от известного пользователю адресата. Этот червь - одновременно и билингвист (темы сообщений написаны на английском и немецком языках), и философ, предлагающий пользователям задуматься над бренностью жизни и неизбежностью будущего.
Наименование вложения либо составляется из случайного набора цифр и букв, либо состоит из одного слова, заложенного в коде червя, и всегда содержит расширение .exe, .com, .pif, или .src.
Стартовав в системе, червь помещает в директорию Windows несколько файлов:
Win32.HLLM.Fizzer определяется и обезвреживается антивирусными программами семейства Dr.Web® как на Windows-машинах, так и на почтовых серверах UNIX.
В связи с эпидемической угрозой ЗАО "ДиалогНаука" рекомендует пользователям антивируса Dr.Web® в профилактических целях еще раз обновить вирусные базы, после чего запустить сканер Dr.Web. В случае, если при проверке файлов автозапуска будут обнаружены объекты, зараженные Win32.HLLM.Fizzer, мы настоятельно рекомендуем просканировать все жесткие и съемные диски в Вашей системе.
При работающем антивирусном мониторе SpIDer Guard, а также при использовании антивирусного почтового фильтра SpIDer Mail, пользователь надежно защищен от заражения компьютера данным червем через электронную почту или по локальной сети.
Более подробное описание червя в нашей вирусной библиотеке.
смотрите