13 Февраля 2004 12:02 13 Фев 2004 12:02 |

Поделиться

Черви "новой волны" уничтожают следы MyDoom

• RPC DCOM (MS03-26) buffer overflow;
• IIS WebDav (MS03-07);
• Workstation Service Overflow (MS03-049).

Nachi.B распространяется непосредственно через интернет, находя компьютеры с незащищенными портами TCP/IP 80, 135 и 445. После обнаружения жертвы червь начинает атаку, загружая свою копию на компьютер под именем WskPatch.exe. Этот файл запускается автоматически и создает другой файл - Svchost.exe, который также содержит копию кода Nachi.B.

Если компьютер уже заражен одним из червей семейства MyDoom, Nachi.B удаляет все файлы, связанные с этими червями, а также записи, внесенные ими в реестр Windows. DoomHunter создан еще большими альтруистами: он удаляет не только MyDoom.A и MyDoom.B, но также Blaster и DoomJuice.

DoomHunter попадает на компьютеры через лазейки, оставленные MyDoom, и создает файл worm.exe. При обнаружении какого-либо из перечисленных выше червей, он удаляет все его следы. Кроме того, червь открывает и просматривает порт TCP 3127. Если ему не удается открыть его сразу, он продолжает попытки каждые 5 секунд. При обнаружении активности он отправляет свою копию на удаленный компьютер, пытающийся получить доступ через данный порт.

Deadhat.B - это усовершенствованная версия вируса, впервые появившегося несколько дней назад. При распространении он попадает на компьютеры непосредственно через интернет, используя лазейки, созданные MyDoom.A и MyDoom.B. Также он способен распространяться, используя программу обмена файлами SoulSeek.

После попадания на компьютер Deadhat.B создает свою копию в файле msgsvr32.exe, а также несколько файлов с различными именами в общей папке SoulSeek. После этого он завершает все процессы MyDoom.A и MyDoom.B, а также процессы, принадлежащие различным приложениям, включая некоторые антивирусы и программы безопасности. Также он создает новую запись в реестре Windows для обеспечения своего запуска при каждой загрузке системы. В определенных обстоятельствах Deadhat.B способен удалять некоторые важные системные файлы, а также соединяться с каналом IRC, ожидая команд от своего автора.

Наконец, Mitglieder также попадает в системы через лазейки, оставленные червями MyDoom, копируя себя в систему под именем system.exe. Он завершает процессы определенных приложений и создает запись в реестре Windows, чтобы сохраниться на компьютере.

Как рассказала CNews.ru Светлана Новикова из «Лаборатории Касперского», появление данных вредоносных программ обусловлено успехом и масштабами недавнего распространения MyDoom. Все они используют порт 3127, который по-прежнему остается открытым на зараженных червем MyDoom машинах. "Вирусописатели попросту сканируют сеть, ищут уязвимые таким образом компьютеры и рассылают собственные вирусы, - говорит г-жа новикова. - Фактически, мы имеем дело с ситуацией, когда вирусописатели всего мира рассылают новые вирусы по уже существующим сетям зараженных машин, пользуясь нерадивостью тысяч пользователей, так и не вылечивших от MyDoom свои компьютеры". Цели при этом приследуются самые разные - от хулиганских до кримнальных: так, Mitglieder (новый вариант rojanProxy.Win32.Mitglieder) специально внедряется на машины для создания новых сетей прокси-серверов. "В качестве защитной меры мы рекомендуем удостовериться в чистоте собсвтвенного компьютера, проведя полное антивирусное сканирование, а также не забывать обновлять свой антивирус - антивирусные компании своевременно добавляют средства защиты от новых вирусов в свои базы", - подчеркивает г-жа Новикова.

Источник: собственная информация CNews.ru c использованием материалов Panda Software.

Поделиться

Подписаться на новости Короткая ссылка