За последние десять часов в мой ящик свалились около десятка патчей от МС и еще столько же - просто с приаттаченым екзешником. После поиска на антивирусных сайтах, выясняется, что в сети идет эпидемия червя.

***
Win32.HLLM.Gibe.2: Бойтесь данайцев, дары приносящих!

[18.09.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о начале достаточно быстрого распространения в сети Интернет новой разновидности червя из семейства Gibe, детектируемого антивирусной программой DrWeb как Win32.HLLM.Gibe.2. Новый почтовый червь массовой рассылки, названный другими антивирусными вендорами Gibe.F или Swen, распространяется по электронной почте, используя собственную реализацию протокола SMTP, а также по файлообменной сети KaZaa и сети диалогового общения в Интернете IRC.

Программный модуль червя попадает на компьютеры пользователей с почтовым сообщением, отправленным якобы от имени компании Microsoft. Тема сообщения New Microsoft Patch и прилагаемый к письму текст предлагают пользователям программных продуктов корпорации установить на компьютерах новейший кумулятивный патч к MS Internet Explorer, MS Outlook и MS Outlook Express. Приходящее с письмом вложение, в котором содержится исполняемый модуль червя, имеет длину 106496 байт и его название генерируется червем случайным образом, начинаясь с символов i, p, q, и содержит расширение .EXE.

Запуск червя на компьютере при отсутствии антивирусных программ или в случае несвоевременного обновления вирусных баз возможен без участия пользователя, поскольку червем используется достаточно старая брешь в программе Microsoft Internet Explorer, о которой мы неоднократно сообщали ранее.

Будучи активированным, червь производи в пораженной системе следующие действия:
демонстрирует на экране дисплея несколько ложных сообщений якобы от имени компании Microsoft
помещает свою копию в директорию Windows и обеспечивает доступ к ней, модифицировав соответствующую реестровую запись
для распространения по сети IRC помещает в директорию \Mirc файл Script.ini, после чего становится доступным всем пользователям системы после осуществления соединения пораженного червем компьютера с сервером IRC
для распространения по файлообменной сети KaZaa создает собственную папку со случайным названием и прописывает ссылку к ней в соответствующий ключ реестра
останавливает некоторые антивирусные программы и брандмауэры.

Червь детектируется и обезвреживается всеми компонентами антивирусного пакета Dr.Web®, на компьютерах под управлением MS Windows зараженные письма будут отфильтровываться почтовым антивирусным модулем SpIDer Mail, что исключает попадаение таких писем в почтовую базу на компьютере пользователя. Мы настоятельно рекомендуем всем обновить свои вирусные базы.

Более подробное описание механизма действия червя будет опубликовано на нашем сайте позднее.