Win32.HLLM.Sahay - новое оружие в борьбе с вирусом Yaha?

17 января 2003
[17.01.2003]

Один из наиболее нашумевших почтовых червей минувшего года - Yaha (правильнее говорить о целом семействе этих червей), похоже, вызвал ответную реакцию среди вирусописателей. 15 января появились сообщения о распространении нового почтового червя, созданного якобы в отместку авторам Yaha. Попав на компьютер и заразив его, этот новый червь, определяемый антивирусом Dr.Web® как Win32.HLLM.Sahay, проверяет наличие в системе файлов, создаваемых червями семейства Yaha и пытается их удалить.

Новый почтовый червь, названный другими антивирусными вендорами W32/Sahay.worm, I-Worm.Sahay, PE_SAHAY.A, W32.Sahay.A@mm , Win32.HLLP.Yahasux, Win32.Sahay.A, поражает компьютеры под управлением операционных систем Windows 95/98/ME/NT/2000/XP. Судя по подписи, которая включена в тело червя - [Win32.HLLP.YahaSux] (c) 2003 Gigabyte [Metaphase VX Team], а также по сообщению, которое может появляться при запуске червя, к его созданию имеет отношение некая вирусописательница из хакерской группы Metaphase VX Team, сильно раздосадованная засилием вируса Win32.HLLM.Yaha.1

В коде червя есть функция массовой рассылки своих копий через Microsoft Outlook по адресам, найденным в адресной книге этого почтового клиента. На компьютеры пользователей червь может попасть в виде письма с вложением MathMagic.SCR, размер вложения 32,768 байт.

Процедура рассылки червя заложена в VBS скрипте (при тестировании не срабатывал), который червь помещает в директорию Windows в виде файла yahasux.vbs. Антивирусная программа Dr.Web® успешно определяет и лечит данный VBScript как VBS.Generic.148, а равно и самого червя с 15 января 2003 г. После активации скрипта червь выжидает 40 секунд, а затем перезагружает компьютер.

Червь проверяет системную директорию на наличие в ней файла nav32_loader.exe и tcpsvs32.exe, создаваемых червем Win32.HLLM.Yaha.1, и других файлов, помещенных последним в систему.

Червь инфицирует исполняемые файлы с расширением .EXE, записывая в их начало свой вирусный код и увеличивая тем самым на длину вируса - 32,768 байт.

ЗАО "ДиалогНаука" призывает всех своих пользователей обновить свои вирусные базы и запустить на компьютере антивирусный сканер Dr.Web® - если червь к моменту запуска сканера поразил компьютер, Dr.Web® остановит вирусный процесс в памяти и корректно очистит системный реестр от всех записей, созданных в нем червем.

Подробное описание червя Win32.HLLM.Sahay смотрите на сайте ЗАО "ДиалогНаука"

7
;