"Доктор Веб" зафиксировал червя kMeth
По классификации Dr.Web, червь получил имя Win32.HLLW.Texmer. До сих пор его распространение наблюдалось за рубежом. Червь Win32.HLLW.Texmer распространяется через системы сообщений Yahoo! Messenger, а также Windows Live Messenger. Эти программы распространены за рубежом. В России и странах СНГ посетители Интернета используют в подавляющем большинстве случаев другие IM-программы: Miranda, QIP. Поэтому тем, кто не пользуется Yahoo! Messenger и Windows Live Messenger, опасность не грозит.
На компьютер червь попадает, если пользователь проходит по ссылкам, приводимые червём в сообщениях, которые он рассылает через системы сообщений друзьям пользователя зараженной машины. Страница, на которую ссылается в своих сообщениях червь, содержит скрипты, которые детектируются антивирусом Dr.Web как VBS.Psyme.269.
Скрипты закачивают на компьютер неосторожного пользователя основной код червя и дополнительную программу, которая отвечает за его обновление, внося свои данные в секцию автозагрузки. Win32.HLLW.Texmer завершает процессы некоторых антивирусов, а также блокирует работу с реестром и "Диспетчером задач". Для обеспечения своей дальнейшей работы червь модифицирует реестр, внося свои данные в секцию автозагрузки. Попав на компьютер, Win32.HLLW.Texmer подменяет стартовую страницу в браузере Internet Explorer.
Идея о распространении вредоносных программ посредством IM-клиентов (системы передачи сообщений) существует уже достаточно давно. Пользователям для того, чтобы избежать заражения, нужно помнить, что не следует следовать по ссылкам, которые приводятся в сообщениях от неизвестных адресатов.