Компания «Доктор Веб» сообщила о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based, использующего в числе прочего уязвимости ОС Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.

Для распространения сетевой червь применяет сразу несколько способов. Прежде всего это съемные носители и сетевые диски, используемые посредством встроенного в Windows механизма автозапуска. Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. Для удаленного доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создает задание на запуск через определенный промежуток времени.

Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.

После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе находится, и если это процесс rundll32.exe, то он внедряет свой код в системные процессы svchost.exe и explorer.exe. Затем вирус открывает в Проводнике текущую папку и прекращает свою работу.

Если Win32.HLLW.Shadow.based определяет, что он находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает ее в качестве службы Windows, а также в реестр — для автозапуска после перезагрузки компьютера, и останавливает работу службы обновления Windows. Далее в системе устанавливается собственная реализация HTTP-сервера, с помощью которого начинается распространение вируса по сети.

Если вирус определяет, что он находится в процессе svchost.exe, запущенном в качестве DNS-клиента, он внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.

Вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и ее продажа.

Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съемных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.