Вирус Win32.HLLW.AntiDurov был обнаружен в прошлую пятницу. По словам экспертов антивирусных компаний «Доктор Веб» и «Лаборатория Касперского», до воскресенья были зафиксированы три модификации червя. «Субботняя модификация получила широкое распространение. Точную цифру зараженных компьютеров назвать нельзя, но счет идет на десятки тысяч компьютеров, а может, и сотни»,— рассказал ведущий вирусный аналитик «Лаборатории Касперского» Александр Гостев. По его словам, вирус может распространяться только через сайт «ВКонтакте.ру».
По данным «Доктора Веба», вредоносная программа рассылает с инфицированных машин другим пользователям сети «ВКонтакте.ру» ссылку на картинку в формате .jpeg, ведущую на ресурс злоумышленника в интернете. Реально же сервер отдает по этой ссылке исполняемый файл deti.scr, который и является сетевым червем. Запущенный без ведома пользователя файл сохраняет на диске саму картинку и запускает приложение для просмотра файлов .jpeg. Таким образом, пользователь видит то, что ожидал увидеть, не подозревая, что в его компьютере поселился вирус. Скопировав себя в одну из системных папок под именем svc.exe, червь устанавливается в системе в качестве сервиса Durov VKontakte Service и ищет пароль к «ВКонтакте.ру». Если пароль находится, то червь получает доступ ко всем контактам своей жертвы в данной сети и рассылает по этим контактам все ту же ссылку.
Деструктивная функция червя в том, что 25 числа каждого месяца в 10:00 начинается удаление с диска C всех файлов.