Внимание, эпидемия! В Интернете быстро растет присутствие опасного почтового червя Win32.HLLM.Fizzer

12 мая 2003

[12.05.2003]

Полку почтовых червей прибыло. Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении и быстром расчпространении по сети Интернет нового, достаточно опасного червя массовой рассылки, сочетающего в себе функции троянского коня и утилиты регистрации последовательности нажатия клавиш. Новый червь, обладающий к тому же способностью обновлять себя через Интернет и выполнять инструкции удаленного пользователя через сеть диалогового общения IRC, определяется антивирусной программой Dr.Web® как Win32.HLLM.Fizzer.

Скорость распространения червя в российском сегменте всемирной сети позволяет говорить о начале новой вирусной эпидемии. По данным Службы мониторинга вирусной активности ЗАО "ДиалогНаука" на 15:00 13 мая червь вошел в тройку наиболее распространенных вирусов после Win32.HLLM.Klez.4 и Win32.HLLM.Yaha.4. По сообщениям партнеров нашей компании, в дальневосточном регионе Win32.HLLM.Fizzer распространяется еще более стремительно.

Червь поражает компьютеры под управлением операционных систем Windows 95/98/ME/NT/2000/XP. Он предпринимает попытки прервать работу процессов, в заголовках окон которых содержатся слова antiv, nmain, f-prot, scan, taskm, virus, vshw и др.

Три вектора атаки используются червем для достижения максимального уровня распространения - электронная почта, файлообменная сеть KaZaA и сеть диалогового общения в Интернете IRC.
Для распространения по сети Интернет в виде почтовых сообщений червь добывает адреса из адресной книги Windows и списка контактов MS Outlook локального компьютера. Он также снабжен механизмом генерации почтовых адресов, и может формировать адрес жертвы на основе такой, например, формулы:

Набор символов@доменое имя где доменное имя может быть одним из следующих :
aol.com
earthlink.net
gte.net
juno.com
msn.com
hotmail.com
netzero.com 
yahoo.com
Сообщения генерируются червем при помощи его собственной реализации протокола SMTP. Часто темы сообщений содержат префикс RE: или FWD:, создавая впечатление, что полученное письмо является ответом на собственное сообщение пользователя, либо переправленной копией письма от известного пользователю адресата. Этот червь - одновременно и билингвист (темы сообщений написаны на английском и немецком языках), и философ, предлагающий пользователям задуматься над бренностью жизни и неизбежностью будущего.

Наименование вложения либо составляется из случайного набора цифр и букв, либо состоит из одного слова, заложенного в коде червя, и всегда содержит расширение .exe, .com, .pif, или .src.

Стартовав в системе, червь помещает в директорию Windows несколько файлов:

  • initbak.dat
  • iservc.dll
  • iservc.exe
  • ProgOp.exe
  • Для обеспечения своего последующего запуска червь вносит изменения в ключ реестра Windows и реестровую запись, указывающую на обработчик текстовых файлов.

    Win32.HLLM.Fizzer определяется и обезвреживается антивирусными программами семейства Dr.Web® как на Windows-машинах, так и на почтовых серверах UNIX.


    В связи с эпидемической угрозой ЗАО "ДиалогНаука" рекомендует пользователям антивируса Dr.Web® в профилактических целях еще раз обновить вирусные базы, после чего запустить сканер Dr.Web. В случае, если при проверке файлов автозапуска будут обнаружены объекты, зараженные Win32.HLLM.Fizzer, мы настоятельно рекомендуем просканировать все жесткие и съемные диски в Вашей системе.
    При работающем антивирусном мониторе SpIDer Guard, а также при использовании антивирусного почтового фильтра SpIDer Mail, пользователь надежно защищен от заражения компьютера данным червем через электронную почту или по локальной сети.

    Более подробное описание червя Win32.HLLM.Fizzer смотрите в нашей вирусной библиотеке.

    11
    ;