Win32.HLLM.Bihup

Описание

Win32.HLLM.Bihup - вирусная программа - червь массовой рассылки.
Поражает компьютеры под управлением операционных систем Windows 95/98/NT/ME/2000/XP.
Распространяет себя по электронной почте по всем адресам, обнаруженным червем в полученных и непрочитанных пользователем сообщениях программы Outlook Express.
Червь имеет несколько привязок к конкретным датам и целым временным промежуткам, в зависимости от которых он либо отображает на экране различные сообщения, либо вызывает отказ в выполнении функции курсора, либо затрудняет работу мыши, меняя местами функции ее кнопок.

Запуск вируса

Червь активизируется только путем запуска файла-приложения самим пользователем.

Для обеспечения своего автоматического запуска при каждом старте системы в реестровую запись

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\

червь добавляет данные Explorer32 = %System%\\[одно из вышеперечисленных имен файлов]
(%System% - системный каталог Windows). При этом указанная запись в реестре меняется каждый раз при срабатывании вируса - в нее подставляется какой-либо другой файл из вышеперечисленных.

Распространение

Win32.HLLM.Bihup pаспространяется по электронной почте с использованием функций MAPI (Mail Application Programming Interface).
Активизировавшийся после запуска системы червь ищет запущенный в памяти процесс программы Outlook Express, и если находит его, начинает рассылать свои вирусные копии по адресам, содержащимся в еще непрочитанных пользователем (либо помеченных, как непрочитанные) сообщениях этого почтового клиента. Копии червя рассылаются в виде приложений - исполняемых файлов. Имена этих фалов определяются в зависимости от данных системного таймера и могут быть следующими:

2002.exe
Go Korea.exe
Heddink.exe
RedDevil.exe
WorldCup.exe

Кроме того, возможны названия файлов-приложений на корейском языке. Тема сообщения и текст письма могут быть написаны на английском и корейском языках. Длина файла-приложения - около 176 килобайт.

Действия

При первоначальном запуске он никак не проявляет себя, но при этом помещает в системную директорию Windows (обычно C:\\Windows\\System для Windows 95-Me и C:\\Winnt\\System32 для Windows NT/2000/XP) несколько своих инфицированных копий:

BihUpdate.exe
MsCrt32.exe
Temp32.exe
SysRtw2.exe
User32Rem.exe
UserGDL.exe
Win32.Dll.exe

В директорию Windows червь помещает свою копию под названием Krn32Dll.exe.

Срабатывание червя происходит только после запуска программы Outlook Express. Причем, при невозможности послать свою копию червь находится в памяти и ждет появления такой возможности (или запуска программы Outlook Express). После отрабатывания процедуры рассылки червем самого себя, он выполняет еще ряд действий, которые привязаны к системной дате зараженного компьютера:

Каждый четверг червь выдает системное сообщение на корейском языке с заголовком Message From A
В июне червь после отправки почты отображает в окне программы Outlook Express сообщение на английском и корейском языках: Here We Go! World Cup Corea!
1 января он ограничивает движение мыши квадратом размером в один пиксель - курсор в результате \"замерзает\"
7 июля - аналогичное явление
В ноябре червь меняет местами функции кнопок мыши
В декабре выстраивает все открытые в системе окна мозаикой.

Совершив вышеуказанные операции, червь завершает свою работу на время данной сессии Windows.

Таким образом, в случае заражения системы вирус производит следующие нежелательные для пользователя действия:

рассылает свои копии по электронной почте с обратным адресом зараженного компьютера
после активации демонстрирует на экране дисплея различные сообщения
помещает в систему свои вирусные копии
вносит изменения в системный реестр
\"замораживает\" курсор на экране компьютера
затормаживает действие мышки и меняет местами функции ее кнопок.

Технологии

Термины

Обучение и просвещение

Мифы