MyDoom: атака клона

Украинский антивирусный центр, специализирующийся на разработке комплексных систем антивирусной защиты, сообщил об обнаружении нового вируса Worm.Win32.Doomjuice.

Он распространяется по глобальной сети, используя компьютеры, инфицированные червями I-Worm.Novarg.a и I-Worm.Novarg.b (известные также как Mydoom.a и Mydoom.b соответственно). Вирус имеет размер 36 Кб и опасен для компьютеров с ОС Windows (95/98/Me/NT/XP/2000/2003).

По протоколу TCP червь производит попытку подключения к порту 3127, на котором вирус I-Worm.Novarg всегда готов к приему информации. Если вирусу удается получить ответ, он устанавливает соединение и закачивает на такой компьютер свое тело.

Далее backdoor-компонента червя I-Worm.Novarg активизирует Worm.Win32.Doomjuice, и тот копирует себя в системную папку Windows с именем intrenat.exe, а также вносит изменения в системный реестр, в силу чего вирус активизируется после перезагрузки компьютера.

Кроме того, Worm.Win32.Doomjuice создает файл с именем sync-src-1.00.tbz в корневом каталоге, папке Windows, системной папке Windows, а также в пользовательских папках Documents и Settings. Файл sync-src-1.00.tbz является архивом TAR, содержащим исходный код вируса I-Worm.Novarg.a (Mydoom.a).

Все это может привести к тому, что исходный код вируса I-Worm.Novarg.a получит широкое распространение и будет доступен для дальнейшего создания новых модификаций червя I-Worm.Novarg (Mydoom), а также для создания новых вирусов, имеющих схожие характеристики.

О. Б.

← январь 2004

9 10 11 12 13 15 16 17 18

март 2004 →