Win32.HLLM.LoveLorn - почтовый червь, предлагающий заглянуть в частную жизнь главаря Аль-Каиды

[30.04.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении в сети интернет нового червя массовой рассылки детектируемого антивирусной программой Dr.Web^® как Win32.HLLM.LoveLorn (в классификации других антивирусных программ - Nolor и Cailont). С 29 апреля 2003 г. DrWeb^® обнаруживает и успешно лечит компьютеры, пораженные этим червем.

Червь поражает компьютеры под управлением операционных систем Windows 95/98/ME/NT/2000/XP. Написан на языке программирования Borland C++. Размер червя - 102400 байт.

На компьютеры пользователей червь попадает в виде почтового сообщения. Запуск червя возможен только в следствие двойного нажатия мышью по инфицированному вложению. Попав в систему, червь предпринимает попытки распространять свои вредоносные копии по всем адресам, обнаруженным им в адресной книге Windows. В процессе генерирования червем почтовых сообщений при помощи его собственной реализации протокола SMTP в поле адреса отправителя червь подставляет адреса домена yahoo.com, например, love_lorn@yahoo.com, thuyquyen@yahoo.com или lovelorn@yahoo.com (откуда червь и получил свое название). Вложения ко всем типам писем, формируемым червем, имеют названия %%%.KISS.OK.EXE либо %%%.HTM, где % является переменной и может быть, например, lovelorn, love_lorn или thuyguyen.

Формулировки тем сообщения провоцируют пользователя открыть подозрительное вложение, предлагая, в частности, посмотреть пикантные картинки с изображением...Бен Ладена. Например,

Re:Binladen_Sexy.jpg
The Sexy story and 4 sexy picture of BINLADEN !

После попадания на компьютер червь помещает в системную директорию Windows несколько файлов:

explorer.exe, kernel32.exe, netdll.dll, serscg.dll - являются копиями червя

setup.htm представляет собой веб-страницу с встроенным в нее скриптом, написанный на языке программирования Visual Basic. Данный файл антивирусная программа DrWeb^® определяет как Win32.HLLM.LoveLorn. При запуске этого файла червь помещает во временную директорию Windows еще один файл - temp.exe.

netsn.dll - также является копией червя в кодировке base-64 - формате кодировки электронной почты, совместимом с MIME

bsbk.dll - представляет собой копию html-дроппера червя в кодировке base-64.

Для запуска своих вредоносных копий червь вносит изменения в ключ автозапуска системного реестра.

Win32.HLLM.LoveLorn определяется и обезвреживается антивирусными программами семейства Dr.Web^® как на Windows-машинах, так и на почтовых серверах UNIX. При старте сканера Dr.Web^® для Windows (с настройками "по умолчанию") процесс червя обнаруживается и удаляется из оперативной памяти компьютера, а также производится соответствующая чистка системного реестра Windows и обработка файлов автозапуска. При работающем антивирусном мониторе SpIDer Guard, а также при использовании антивирусного почтового фильтра SpIDer Mail, пользователь надежно защищен от заражения компьютера данным червем через электронную почту или по локальной сети.

Более подробное описание червя Win32.HLLM.LoveLorn смотрите на нашем сайте.