Win32.HLLM.LoveLorn - почтовый червь, предлагающий заглянуть в частную жизнь главаря Аль-Каиды
[30.04.2003]
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении в сети интернет нового червя массовой рассылки детектируемого антивирусной программой Dr.Web® как Win32.HLLM.LoveLorn (в классификации других антивирусных программ - Nolor и Cailont). С 29 апреля 2003 г. DrWeb® обнаруживает и успешно лечит компьютеры, пораженные этим червем.
Червь поражает компьютеры под управлением операционных систем Windows 95/98/ME/NT/2000/XP. Написан на языке программирования Borland C++. Размер червя - 102400 байт.
На компьютеры пользователей червь попадает в виде почтового сообщения. Запуск червя возможен только в следствие двойного нажатия мышью по инфицированному вложению. Попав в систему, червь предпринимает попытки распространять свои вредоносные копии по всем адресам, обнаруженным им в адресной книге Windows. В процессе генерирования червем почтовых сообщений при помощи его собственной реализации протокола SMTP в поле адреса отправителя червь подставляет адреса домена yahoo.com, например, love_lorn@yahoo.com, thuyquyen@yahoo.com или lovelorn@yahoo.com (откуда червь и получил свое название). Вложения ко всем типам писем, формируемым червем, имеют названия %%%.KISS.OK.EXE либо %%%.HTM, где % является переменной и может быть, например, lovelorn, love_lorn или thuyguyen.
Формулировки тем сообщения провоцируют пользователя открыть подозрительное вложение, предлагая, в частности, посмотреть пикантные картинки с изображением...Бен Ладена. Например,
Re:Binladen_Sexy.jpg The Sexy story and 4 sexy picture of BINLADEN !После попадания на компьютер червь помещает в системную директорию Windows несколько файлов:
Win32.HLLM.LoveLorn определяется и обезвреживается антивирусными программами семейства Dr.Web® как на Windows-машинах, так и на почтовых серверах UNIX. При старте сканера Dr.Web® для Windows (с настройками "по умолчанию") процесс червя обнаруживается и удаляется из оперативной памяти компьютера, а также производится соответствующая чистка системного реестра Windows и обработка файлов автозапуска. При работающем антивирусном мониторе SpIDer Guard, а также при использовании антивирусного почтового фильтра SpIDer Mail, пользователь надежно защищен от заражения компьютера данным червем через электронную почту или по локальной сети.
Более подробное описание червя на нашем сайте.
смотрите