Внимание: распространяется почтовый червь Win32.HLLM.Generic.145 (Gibe.b)

27 февраля 2003
[27.02.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о довольно заметном распространении почтового червя массовой рассылки, определяемого антивирусом Dr.Web® как Win32.HLLM.Generic.145, именуемого рядом антивирусных вендоров Gibe.B. Особенно активно вирус начал распространяться по электронной почте с утра 27 февраля.

Червь написан на языке MS Visual Basic 6.0 и для своего запуска требует наличия в системе библиотеки MSVBVM60.DLL. Длина исполняемого модуля 155,648 байт, создан червь, предположительно, в Словакии.

Червь рассылает себя с зараженного компьютера, используя механизм Microsoft Outlook, а также свою собственную реализацию отправки почты через SMTP-сервер, при этом адрес SMTP-сервера получается червем из системного реестра пораженной машины. Адреса для отправки собственных копий червь получает из Адресной книги MS Outlook, а также из адресной книги Windows. Червь также помещает на диск в системную директорию Windows несколько своих компонентов длиной 73,728 байт, которые также рассылают себя по электронной почте. Данные компоненты червя определяются антивирусом Dr.Web как Win32.HLLM.Generic.146. Кроме того, червь помещает в директорию Windows файл-люк (backdoor) с именем MSBUGADV.EXE, детектируемый как BackDoor.Generic.384. Данная backdoor-процедура инициирует соединения по порту 80 со следующими сайтами:

  • people.yahoo.com
  • us.js1.yimg.com
  • email.people.yahoo.com
  • search.bigfoot.com
  • Кроме электронной почты, червь делает попытки распространять себя по файлообменной сети KaZaa, а также через mIRC.

    Более подробную информацию о Win32.HLLM.Generic.145 Вы можете прочитать на нашем сайте.

    217
    ;