Во всемирной сети с большой скоростью распространяется опасный почтовый червь Win32.HLLM.Bugbear.2

05 июня 2003

[05.06.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении новой версии уже известного червя массовой рассылки Win32.HLLM.Bugbear.2. В течение 5 июня червь быстро вышел на четвертое место в вирусной статистике, отставая пока только от основных эпидемических червей - Win32.HLLM.Yaha.4, Win32.HLLM.Reteras.2, Win32.HLLM.Klez.4. Однако скорость его распространения говорит о том, что уже 6 июня он может выйти в лидеры вирусной статистики.

Win32.HLLM.Bugbear.2 является вариантом появившегося в октябре 2002 года червя Win32.HLLM.Bugbear, который в свое время в считанные часы вышел на первое место в вирусной статистике, обогнав безраздельно царствовавшего на тот момент Win32.HLLM.Klez.4. Похоже, что потомок ни в чем не уступает своему "родителю".

Новый червь представляет собой довольно сложное творение вирусописательской мысли, сочетая в себе черты и полиморфного, и файлового вируса. Часть его кода хитроумно прячется в упаковщике UPX, что доставляет дополнительные хлопоты антивирусным программам.

Для своего распространения червь использует брешь в системе безопасности Microsoft Internet Explorer, которая позволяет в некоторых версиях этой программы запускать любой исполняемый файл, пришедший в виде приложения к письму, без ведома пользователя. Мы недавно отмечали, что в последнее время авторы вирусов почти не используют эту брешь для распространения почтовых червей, однако нынешний пример с Bugbear показывает, что этот вывод несколько преждевремен.

Червь рассылает по электронной почте свои копии, формируя имя вложения из имен найденных на зараженном компьютере в папке "Мои документы" файлов с расширениями DOC,XLS,JPG,JPEG,TXT,CPP и другими, добавляя к ним расширения PIF, SCR,EXE. Данный способ традиционно используется червями для того, чтобы скрыть истинную суть присланного попочте файла, поскольку по умолчанию в Microsoft Windows расширения исполняемых файлов типа PIF,SCR,EXE не отображаются при просмотре файлов. Кроме того, использование такого метода формирования имени инфицированного вложения вызывает большее доверие у получателя. Отличительной особенностью вложения, содержащего тело червя Win32.HLLM.Bugbear.2, является длина вложения - 72192 байта.

Червь опасен тем, что при заражении системы, он старается остановить запущенные в системе антивирусные программы и другие средства безопасности, в том числе, межсетевые экраны. Червь прописывает свои копии в папки автозапуска Windows, обеспечивая свой последующий запуск при старте сессии Windows. Кроме того, червь заражает некоторые исполняемые файлы как на локальном жестком диске, так и на доступных для записи сетевых дисках.

Кроме этого, опасность червя заключается в том, что он создает на диске программу-перехватчик нажатий на клавиатуре, способную собирать и передавать автору вируса конфиденциальную информацию. Червь также содержит в своем теле несколько сотен доменных адресов, принадлежащих различным банкам. В случае, если локальный почтовый адрес на зараженной машине содержит в себе один из этих доменных адресов, червь делает попытку выхода в интернет, запуская процедуру автодозвона. Это представляет особую опасность для соответствующих банков.

Антивирусная программа Dr.Web® детектирует и обезвреживает Win32.HLLM.Bugbear.2 всеми своими компонентами. При этом Dr.Web - один из немногих антивирусов, способных противостоять этому агрессору, обезвредить его даже на зараженной машине. В связи с быстрым распространением червя ЗАО "ДиалогНаука" настоятельно рекомендует всем пользователям после обязательного обновления вирусных баз запустить сканер Dr.Web® для проведения экспресс-проверки. В случае обнаружения Win32.HLLM.Bugbear.2 в системе рекомендуется провести сканирование всех дисков для выявления и лечения зараженных червем файлов.

Подробное описание вируса читайте в нашей вирусной библиотеке.

14
;