Win32.HLLM.Frethem: закончилась ли эпидемия?

17 июля 2002
[17.07.2002]

С цифрами не поспоришь. Они сухи и красноречивы. За несколько часов 15 июля почтовый червь Win32.HLLM.Frethem.11, отхватил себе почти 9% "вирусного рынка", потеснив на некоторых почтовых серверах такого "патриарха инфекции", как Win32.HLLM.Klez.1, который все последние месяцы упорно держался на втором месте после своего младшего брата Win32.HLLM.Klez.4. Уже 16 июля к полудню Win32.HLLM.Frethem.11 стойко занимал второе место, причем темпы роста его доли присутствия в Интернете заставили некоторых специалистов предположить скорый конец монополии старого доброго Клеза.

Но стоило стрелкам часов перешагнуть за полночь, как волна эпидемии Win32.HLLM.Frethem.11, захлестнувшая было не только российский Интернет, но и практически весь мир, пошла на спад. 17 июля Служба мониторинга вирусной активности ЗАО "ДиалогНаука" фиксировала равномерное убывание присутствия этого червя в Интернете,к концу дня реально сошедшее на нет. За последние 4 часа перед выпуском этой новости (на 21:30 по московскому времени) ни одного факта обнаружения Win32.HLLM.Frethem.11 в почтовом трафике зафиксировано не было. Земной шар практически полностью вышел из 16 июля, а червь прекратил свое победное шествие по всемирной паутине.

Однако история с червем Win32.HLLM.Frethem на этом вряд ли закончилась. Во-первых, появились его новые разновидности. На сегодняшний день ЗАО "ДиалогНаука" известно о появлении, как минимум, еще трех новых разновидностей этого червя, определяемых антивирусом Doctor Web как Win32.HLLM.Frethem.12, Win32.HLLM.Frethem.13 и Win32.HLLM.Frethem.14. Антивирусной лабораторией Игоря Данилова уже предприняты соответствующие меры, и в "горячем" дополнении к антивирусной программе Doctor Web, выпущенном 17 июля в 13.32 MSK, уже содержатся необходимые для обнаружения и лечения этого вируса процедуры. Пока специалистами ЗАО "ДиалогНаука" не зафиксировано распространение этих разновидностей данного червя в "дикой природе". Но очевидная привязка саморассылки эпидемического червя Win32.HLLM.Frethem.11 к конкретной дате дает основания предположить, что через некоторое время возможна повторная вспышка эпидемии. Кроме того, вполне реально предположить, учитывая наличие процедуры "черного хода" (backdoor) в теле червя и целого списка веб-сайтов, с которыми эта процедура пытается соединиться, что при очередном соединении червь, который продолжает благополучно находиться в памяти зараженных компьютеров, получит с какого-либо сайта обновление для самого себя, содержащие новые инструкции - рассылать себя снова всем друзьям и деловым партнерам своей жертвы, либо удалить некоторые файлы, либо любезно отформатировать диск незадачливому пользователю.

ВАЖНО! ЗАО "ДиалогНаука" не раз призывала всех своих пользователей заботиться о здоровье своих компьютеров и не забывать регулярно обновлять вирусные базы. Особенно актуально это становится именно в эти дни, когда на многих компьютерах опасный червь оказался раньше, чем вышло соответствующее дополнение к вирусным базам. Мы также настоятельно рекомендуем всем пользователям Microsoft Outlook и Microsoft Outlook Express версий 5.00 - 5.5, еще не позаботившимся об установке выпущенного компанией Microsoft патча, который устраняет уязвимость этих почтовых клиентов, используемую многими почтовыми червями, установить у себя этот патч как можно быстрее. И самое главное: ни в коем случае не открывать подозрительные вложения, какими бы заманчивыми они не казались!

Если случилось так, что у Вас "под рукой" не оказалось антивирусной программы, а к Вам по почте пришло подозрительное письмо (от неизвестного Вам отправителя или с необычным для известного Вам адресата содержанием), то рекомендуем воспользоваться бесплатной антивирусной услугой от ЗАО "ДиалогНаука" - проверкой файла-приложения при помощи антивирусной программы Doctor Web в режиме online непосредственно на нашем www-сервере. Для этого, сохранив файл приложения на диск, посетите страницу on-line проверки. В случае, если к Вам пришло электронное письмо с характерным текстом красного цвета на английском языке, предлагающее некий пароль, ЗАО "ДиалогНаука" рекомендует выполнить следующие операции:

  • проверить, не присутствует ли в памяти процесс "taskbar.exe"
  • Для пользователей Windows 95-Me: нажатием комбинации клавиш Ctrl-Alt-Del вызвать менеджер задач и проверить, нет ли в списке задач "taskbar.exe"
  • Для пользователей Windows NT/2000/XP: нажатием комбинации клавиш Ctrl-Alt-Del вызвать окно Windows Security и щелкнуть мышью на кнопке "Менеджер задач", после чего проверить, нет ли в списке задач "taskbar.exe"
  • если вышеуказанный процесс обнаружен, закрыть его
  • найти в директории Windows файлы taskbar.exe и winstat.ini и удалить их.

  • Win32.HLLM.Frethem.13
    Win32.HLLM.Frethem.14

    В других антивирусных компаниях данные модификации червя получили название W32/Frethem.m@MM, I-Worm.Frethem.n, W32/Frethem-Fam, Win32/Frethem.M.Worm, Win32.Frethem.M, WORM_FRETHEM.M, Win32.Frethem.N, W32/Frethem.n@MM, Win32/Frethem.N.Worm.

    Длина тела червя в упакованном виде соответственно 48,128 и 47,616 байт.

    Процедура массовой рассылки червя, заложенная в его вирусном коде, срабатывает между 12 и18 июля 2002. В отличие от своего недавнего предшественника, наделавшего изрядного шума, нынешние модификации червя расширили "географию" своей деятельности и адреса для своей рассылки собирают не только в Адресной книге Windows и файлах почтовых архивов программы Outlook Express (формат .dbx), но также и в файлах с расширениями .eml (в этом формате приходят тексты писем электронной почты) и .mdb (файлы базы данных в СУБД Access).

    В остальном, механизм инфицирования данной разновидности червя семейства Frethem идентичен его предшественникам.

    Win32.HLLM.Frethem.13 и Win32.HLLM.Frethem.14 определяются и лечатся программой Doctor Web с 13.32 MSK 17 июля 2002 г., поэтому пользователи, у которых включен резидентный монитор SpIDer Guard, гарантированно защищены от этого червя. В случае, если по каким-либо причинам не были обновлены вовремя вирусные базы и есть подозрение, что вирус попал на компьютер, пользователю рекомендуется запустить сканер Doctor Web и проверить диск. При нахождении вируса рекомендуется выбрать опцию "Лечить" - в этом случае файл, представляющий собой тело вируса, удаляется с диска, а также останавливается соответствующий процесс в памяти.

    10
    ;