ЗАО ДиалогНаука сообщает о грозящей опасности: Win32.HLLM.Bihup - вирусная программа - червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/NT/2000/XP/ME.
Червь распространяет себя по электронной почте по всем адресам, обнаруженным червем в полученных и непрочитанных пользователем сообщениях программы Outlook Express. Червь имеет несколько привязок к конкретным датам и целым временным промежуткам, в зависимости от которых он либо отображает на экране различные сообщения, либо вызывает отказ в выполнении функции курсора, либо затрудняет работу мыши, меняя местами функции ее кнопок.
Активизировавшийся после запуска системы червь ищет запущенный в памяти процесс программы Outlook Express, и если находит его, начинает рассылать свои вирусные копии по адресам, содержащимся в еще непрочитанных пользователем (либо помеченных, как непрочитанные) сообщениях этого почтового клиента. Копии червя рассылаются в виде приложений - исполняемых файлов. Имена этих фалов определяются в зависимости от данных системного таймера и могут быть следующими:
2002.exe
Go Korea.exe
Heddink.exe
RedDevil.exe
WorldCup.exe
Кроме того, возможны названия файлов-приложений на корейском языке. Тема сообщения и текст письма могут быть написаны на английском и корейском языках. Длина файла-приложения - около 176 килобайт.
Следует отметить, что срабатывание червя происходит только после запуска программы Outlook Express. Причем, при невозможности послать свою копию червь находится в памяти и ждет появления такой возможности (или запуска программы Outlook Express). После отрабатывания процедуры рассылки червем самого себя, он выполняет еще ряд действий, которые привязаны к системной дате зараженного компьютера:
- Каждый четверг червь выдает системное сообщение на корейском языке с заголовком Message From A
- В июне червь после отправки почты отображает в окне программы Outlook Express сообщение на английском и корейском языках: Here We Go! World Cup Corea!
- 1 января он ограничивает движение мыши квадратом размером в один пиксель - курсор в результате "замерзает"
- 7 июля - аналогичное явление
- В ноябре червь меняет местами функции кнопок мыши
- В декабре выстраивает все открытые в системе окна мозаикой
Совершив вышеуказанные операции, червь завершает свою работу на время данной сессии Windows.