Заголовок: Новая волна червей, использующих последствия эпидемии Mydoom
Компания: Panda Software
Похоже, что вирусописатели вышли на тропу войны
Мадрид - Екатеринбург, 13.02.2004 - Вирусная лаборатория PandaLabs зарегистрировала
появление новых червей, связанных с эпидемиями червей Mydoom: Nachi.B (W32/Nachi.B.worm),
DoomHunter.A (W32/DoomHunter.A.worm), Deadhat.B (W32/Deadhat.B.worm) и Mitglieder.A
(W32/Mitglieder.A.worm).
Nachi.B – это новая версия печально известного вредоносного кода, появившегося
в августе 2003 года. Как и его предшественник, червь пытается внушить, что он
выполняет своего рода благородную миссию, очищая компьютеры от других вирусов.
Несмотря на то, что Nachi.B удаляет Mydoom.A и Mydoom.B с зараженных компьютеров,
пользователи за это платят высокую цену, поскольку после этого червь начинает
распространяться через следующие бреши Windows:
- RPC DCOM (MS03-26) buffer overflow
- IIS WebDav (MS03-07)
- Workstation Service Overflow (MS03-049)
Nachi.B распространяется непосредственно через Интернет, находя компьютеры с
незащищенными портами TCP/IP 80, 135 и 445. После обнаружения жертвы червь начинает
атаку, загружая свою копию на компьютер под именем WskPatch.exe. Этот файл запускается
автоматически и создает другой файл - Svchost.exe, который также содержит копию
кода Nachi.B.
Если компьютер заражен одним из червей Mydoom, Nachi.B удаляет все файлы, связанные
с этими червями, а также записи, внесенные ими в реестр Windows.
DoomHunter.A создан с еще более альтруистическими мотивами: он удаляет не только
Mydoom.A и Mydoom.B, но также Blaster и Doomjuice.
DoomHunter.A попадает на компьютеры через лазейки, оставленные Mydoom, и создает
файл worm.exe. При обнаружении какого-либо из перечисленных выше червей, он удаляет
все его следы. Кроме того, червь открывает и просматривает порт TCP 3127. Если
ему не удается открыть его сразу, он продолжает попытки каждые 5 секунд. При
обнаружении активности он отправляет свою копию на удаленный компьютер, пытающийся
получить доступ через данный порт.
Deadhat.B – это усовершенствованная версия вируса, впервые появившегося несколько
дней назад. При распространении он попадает на компьютеры непосредственно через
Интернет, используя лазейки, созданные Mydoom.A и Mydoom.B. Также он способен
распространяться, используя программу обмена файлами SoulSeek.
После попадания на компьютер Deadhat.B создает свою копию в файле msgsvr32.exe,
а также несколько файлов с различными именами в общей папке SoulSeek.
После этого он завершает все процессы Mydoom.A и Mydoom.B, а также процессы,
принадлежащие различным приложениям, включая некоторые антивирусы и программы
безопасности. Также он создает новую запись в реестре Window для обеспечения
своего запуска при каждой загрузке системы.
В определенных обстоятельствах Deadhat.B способен удалять некоторые важные системные
файлы, а также соединяется с каналом IRC, ожидая команд от своего автора.
Наконец, Mitglieder.A также попадает в системы через лазейки, оставленные червями
Mydoom, копируя себя в систему под именем system.exe. Он завершает процессы определенных
приложений и создает запись в Реестре Windows для обеспечения своего сохранения
на компьютере.
Из-за уже зарегистрированных случаев заражений Nachi.B, DoomHunter.A, Deadhat.B
и Mitglieder.A Panda Software советует пользователям быть предельно внимательными
и немедленно обновить свои антивирусы. Компания оперативно выпустила обновления
для своих продуктов, позволяющие им обнаруживать и уничтожать Doomjuice.В. Те
пользователи, чьи продукты не настроены на автоматическое обновление, могут обновить
их на сайте http://www.pandasoftware.com/. Пользователи могут также обнаруживать
этот и другие вредоносные коды при помощи бесплатного онлайнового антивируса
Panda ActiveScan, расположенного на веб сайте компании: http://www.pandasoftware.com.
Подробную информацию о Nachi.B, DoomHunter.A, DeadHat.B и Mitglieder.A, а также
других вирусах Вы найдете в Вирусной Энциклопедии Panda Software: http://www.pandasoftware.com/virus_info/encyclopedia/.
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к
работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются
следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д.
если проанализированный таким образом файл действительно содержит новый вирус,
немедленно подготавливаются необходимые средства для обнаружения и обезвреживания
вредоносного кода, которые быстро распространяются среди пользователей.
Контактная информация:
------------------------------
Контактное лицо: Галина Подовжняя
руководитель PR-службы
E-mail: activescan@viruslab.ru
Телефон: +7 3432 78 31 27