Win32.HLLM.Strato.16896: вооружен и опасен

18 февраля 2004

[18.02.2004]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении и быстром распространении по сети интернет нового варианта почтового червя массовой рассылки Win32.HLLM.Beagle.15872, определяемого антивирусными программами Dr.Web® как Win32.HLLM.Strato.16896. В других антивирусных компаниях червь получил имена Beagle, Bagle, Tanx и Alua. Новая модификация выпущена в «дикую природу» ровно месяц спустя после молниеносного появления своего прародителя в январе 2004 года.

Червь массово распространяется по сети интернет, рассылая свои вредоносные копии по всем адресам, обнаруженным им в локальной адресной книге Windows и файлах с расширениями .TXT, .HTM и .HTML, используя собственный встроенный механизм SMTP. Получение в почтовый ящик сообщения с темой “ID (далее следует набор символов)... thanks” и вложением с исполняемым файлом, название которого также составлено из набора случайно выбранных символов, свидетельствует о получении письма с копией червя. В случае запуска содержащегося во вложении файла червь запускает процедуру инфицирования, которая начинается после проверки системной даты. Если активация червя происходит до 25 февраля, он помещает свою копию Au.exe в системную директорию и прописывает путь к ней в ключе автозапуска системного реестра. После 25 февраля червь немедленно прекращает свою деятельность.

Троянский компонент червя открывает порт TCP 8866 и ждет команд от удаленного пользователя, предварительно известив его о произведенном заражении. В случае загрузки через порт файлов, загруженные компоненты помещается червем также в системную директорию. Кроме того, через порт 80 червь осуществляет соединение с несколькими сайтами в Германии, на которые он отсылает номер порта, открытого в скомпрометированной системе, а также IP адрес инфицированного компьютера.

Подробное описание червя Вы можете прочитать на нашем сайте.

10
;