Внимание! В мире нарастает волна нового почтового червя массовой рассылки!

19 января 2004

[19.01.2004]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о быстром распространении по интернету нового почтового червя массовой рассылки, несущего в себе опасный троянский компонент. Вирус определяется антивирусными программами Dr.Web® как Win32.HLLM.Beagle.15872.

Червь приходит с письмом, содержащим вложение - исполняемый файл с иконкой, заимствованной у стандартного приложения Windows - calc.exe (калькулятор). Размер файла-вложения - 15872 байта. Само по себе письмо выглядит весьма лаконично - в поле темы стоит слово "Hi", затем следует такой текст:

Test =)
[последовательность произвольных символов]
--
Test, yep.

Будучи запущенным неосторожным пользователем, червь для маскировки своего присутствия запускает стандартную программу-калькулятор, которая практически всегда присутствует в системе,а сам в это время копирует себя в директорию Windows\System под именем bbeagle.exe.

Для обеспечения своего запуска при последующем старте операционной системы, червь создает запись в секции автозапуска системного реестра:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "d3dupdate.exe"=bbeagle.exe
  • Червь собирает адреса электронной почты, хранящиеся на жестких дисках пораженной системы в файлах со следующими расширениями:
  • wab
  • txt
  • htm
  • html,
  • после чего рассылает себя по этим адресам, используя свой встроенный механизм SMTP. При рассылки червь подставляет ложный адрес отправителя. При сборе адресов червь не включает в список для рассылки своей копии адреса, содержащие следующие строки:
  • hotmail.com
  • msn.com
  • @microsoft
  • @avp.
  • Червь содержит в себе троянский компонент, который при запуске червя начинает слушать порт 6777 для получения инструкций удаленного пользователя. Червь содержит в своем коде большой список веб-сайтов, с которыми он пытается соединиться, предположительно, для информирования своего создателя о факте заражения конкретной машины и ее IP-адресе. Доступ ко многим сайтам из этого списка требует авторизации и их содержимое неизвестно.

    Подробное описание червя Вы можете прочитать на нашем сайте.

    9
    ;