Win32.HLLW.Nicky: вирусописатели включаются в предвыборную гонку

19 октября 2003

[18.10.2003]

Как известно, для достижения цели - все средства хороши. А когда целью становится получения такого лакомого куска как пост мэра Москвы..! В преддверии выборов, которые пройдут в столице России 7 декабря, на просторах Рунета появилась очередная "червоточина" - на этот раз в виде вредоносной программы, получившей в классификации Dr.Web® название Win32.HLLW.Nicky (у других антивирусных вендоров этот червь ловится под именами W32.Wintoo.Worm и I-Worm.Sexer).

Как сообщает служба мониторинга вирусной активности ЗАО "ДиалогНаука", новый червь представляет опасность только для пользователей операционных сред Windows. На компьютеры червь попадает в виде исполняемого файла WIN2DRV.EXE длиной 112496 байт.

Будучи запущенным неосторожным пользователем, червь копирует себя в корневую директорию диска C:\ в виде файла SEX.EXE и прописывает себя в ключ автозапуска системного реестра, обеспечивая, таким образом, свою загрузку при каждом начале работы пользователя в Windows. После этого он извлекает адреса из локальной адресной книги Windows пораженного компьютера и начинает свою массовую рассылку, прилагая себя к формируемым почтовым сообщениям в виде файла-вложения WIN2DRV.EXE.

Активированный в системе червь демонстрирует на экране дисплея картинку с призывом голосовать за одного из кандидатов на пост мэра Москвы Германа Стерлигова.

Win32.HLLW.Nicky определяется и лечится антивирусом Dr.Web® с 15 октября 2003 г. ЗАО "ДиалогНаука" призывает всех своих пользователей обновить свои вирусные базы и запустить на компьютере антивирусный сканер Dr.Web® - если червь к моменту запуска сканера поразил компьютер, Dr.Web® остановит вирусный процесс в памяти и корректно очистит системный реестр от всех записей, созданных в нем червем.

В настоящее время Служба мониторинга вирусной активности отмечает незначительное присутствие этого червя в почтовом трафике - на уровне 0,04%.

215
;