Win32.HLLM.Odin - очередной почтовый червь, маскирующийся под антивирусные утилиты

28 октября 2003

[28.10.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о нарастании присутствия в сети Интернет нового червя почтовой рассылки, получившего в классификации Dr.Web® название Win32.HLLM.Odin (у других антивирусных вендоров этот червь называется Sober).

Новый червь поражает компьютеры под управлением операционных сред семейства Windows. Написан на языке программирования Visual Basic.

На компьютеры пользователей червь попадает в виде почтового сообщения, названия вложений к которому написаны на английском или немецком языках и содержат расширения .COM, .EXE, .PIF .SRC. Червь презентует себя в качестве анти-вирусных или анти-троянских утилит, новых патчей или пикантных картинок.

Будучи запущенным неосторожным пользователем, червь копирует себя в системную директорию в виде файла SIMILARE.EXE и в ту же директорию помещает еще две свои копии, названия для которых выбираются червем из списка, хранящегося в его теле, и прописывает себя в ключ автозапуска системного реестра, обеспечивая, таким образом, свою загрузку при каждом начале работы пользователя в Windows.

После этого он извлекает адреса из локальной адресной книги Windows пораженного компьютера и начинает свою массовую рассылку. Полученные в системе адреса червь хранит в файле MEDIA.DLL, для которого в системной директории он создает собственный каталог MACROMED\HELP\.

Win32.HLLM.Odin определяется и лечится антивирусом Dr.Web® с 24 октября 2003 г. ЗАО "ДиалогНаука" призывает всех своих пользователей обновить свои вирусные базы и запустить на компьютере антивирусный сканер Dr.Web® - если червь к моменту запуска сканера поразил компьютер, Dr.Web® остановит вирусный процесс в памяти и корректно очистит системный реестр от всех записей, созданных в нем червем.

10
;