Эпидемия почтового червя Win32.HLLM.Bugbear

03.10.2002 | 15:27
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" констатирует, что впервые, начиная с апреля 2002 года, когда мир захлестнула эпидемия Win32.HLLM.Klez.4, на первом месте в вирусной статистике, отражающей присутствие вирусов в почтовом трафике, появился новый "лидер" - почтовый червь массовой рассылки Win32.HLLM.Bugbear.

Казалось, потеснить Klez.4 просто невозможно. Однако за первые три дня октября новый почтовый червь опроверг этот тезис - по данным на третье октября, Win32.HLLM.Bugbear забирает на себя от 51% до 68% всего зараженного почтового трафика.

Будучи во многом похожим на Klez.4, в частности, с точки зрения использования уязвимости некоторых почтовых клиентов Microsoft, а также очень агрессивного поведения по отношению к установленным на компьютерах антивирусным программам и брандмауэрам, новый червь не пользуется для своего распространения заранее определенными SMTP-серверами, как это делает Klez.4, а получает данные об SMTP-сервере из системного реестра зараженного компьютера.

Вирус Bugbear, как и наделавший шуму совсем недавно Klez.H, заметить очень сложно. Он прибывает в почтовые ящики пользователей Microsoft Outlook в виде письма, автор которого определяется случайным образом. Единственный признак того, что до компьютера добрался Bugbear, - приложение размером в 50.688 байт.

Win32.HLLM.Bugbear написан на языке программирования высокого уровня Microsoft Visual C/C++ и упакован упаковщиком UPX. Программа содержит в себе троянский компонент и после попадания на компьютер открывает в пораженной системе backdoor, что может привести к утечке конфиденциальной информации с компьютера пользователя. Предпринимает также попытки завершить работу некоторых антивирусных программ и межсетевых экранов.

Червь также открывает на прослушивание порт 36794, по которому ожидает команды своего "хозяина".
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.proext.com
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код