Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLM.Foo

(Win32.Mimail.E@mm, Email-Worm.Win32.Mimail.f, System error, TR/Crypt.XPACK.Gen, Parser error, WORM_MIMAIL.GEN, Win32.HLLW.Mimail.m, Email-Worm.Win32.Mimail.a, I-Worm/Mimail.F, I-Worm/Mimail.L, JS/Mimail.S, Win32.Mimail.C@mm, Win32/Mimail.P@mm, WORM_MIMAIL.AB, W32/Mimail@MM, WORM_MIMAIL.U, Win32.HLLW.Mimail.R, HTML_CODEBASE.FK, I-Worm/Mimail.P, Email-Worm.Win32.Mimail.d, Win32.Mimail.L@mm, I-Worm/Mimail.R.DROPPED, Win32.Mimail.R@mm, Win32.Mimail.M@mm, Win32.HLLW.Mimail.q)

Добавлен в вирусную базу Dr.Web: 2003-11-03

Описание добавлено:

Описание

Win32.HLLM.Foo - почтовый червь массовой рассылки.
Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP.
Распространяется по электронной почте, используя собственную реализацию протокола SMTP.
На компьютеры пользователей попадает в виде ZIP-архива под именем SYSLOAD32.ZIP.
Размер программного модуля червя упакованного компрессионной утилитой UPX 10784 байт и 10912 байт, если файл приходит в виде ZIP-архива.

Запуск вируса

Для обеспечения своего автоматического запуска при каждом начале работы пользователя в Windows червь вносит данные
\"SystemLoad32\" = \"%Windir%\\SYSLOAD32.EXE\"
в реестровую запись
HKEY_Local_Machine\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run

Распространение

Перед началом процедуры саморассылки червь проверяет подключен ли инфицированный компьютер к интернету, пытаясь установить соединение c узлом www.google.com. Если соединение установлено червь начинает массово распространять себя по всем адресам, найденным им на пораженном компьютере и сохраняемым червем в файле eml.tmp в директории Windows. Исключаются из поиска файлы со следующими расширениями:

avi
bmp
cab
com
dll
exe
gif
jpg
mp3
mpg
ocx
pdf
psd
rar
tif
vxd
wav
zip
Червь рассылает почтовые сообщения, используя собственную реализацию протокола SMTP. Почтовое сообщение, инфицированное Win32.HLLM.Foo, выглядит следующим образом:
    Отправитель:john@ [доменное имя пользователя пораженного компьютера]
    Тема сообщения:don\'t be late! [набор случайных символов]
    Текст сообщения:
    Will meet tonight as we agreed, because on Wednesday I don\'t think 
    I\'ll make it, so don\'t be late. And yes, by the way here is the file you asked for.
    It\'s all written there. See you. [набор случайных символов]

    Вложение: READNOW.ZIP

Внутри архива находится файл readnow.doc.scr.

Действия

Запущенный самим пользователем ZIP архив содержит копию червя SYSLOAD32.EXE, помещаемую им в директорию Windows. В ту же директорию червь помещает еще несколько файлов:

  • exe.tmp - копия файла readnow.doc.scr
  • eml.tmp - в этот файл червь помещает найденные в пораженной системе почтовые адреса
  • zip.tmp - копия файла readnow.zip, прилагаемого червем к формируемым им почтовым сообщениям.
Червь проводит DoS-атаку на следующий веб-сайты:
mysupersales.com 
www.mysupersales.com
mysupersales.net 
www.mysupersales.net