Поделиться
DoomJuice: третье пришествие червя MyDoom?
Все свидетельствует о том, что атаки нашумевшего вируса MyDoom не закончатся 12 февраля, как ожидали специалисты: на фоне спада активности MyDoom.A 9 февраля в Сети появился новый червь, использующий результаты деятельности своего предшественника - DoomJuice.A. Вполне вероятно, что новый вредоносный код был написан тем же автором. Нового червя невозможно обнаружить даже в электронной почте, поскольку он использует порты, открытые MyDoom.A и MyDoom.B. Новый вирус ведет себя так же, как SQLSlammer, эксплуатировавший бреши серверов, т.е. это сетевой червь, использующий открытые порты. Он делает это путем установления соединения с портом TCP/IP 3127 зараженной машины. Вирусы MyDoom оставляют этот порт открытым в режиме ожидания для получения команд от хакеров и/или вирусов. После установки соединения DoomJuice передает команду компьютеру, зараженному MyDoom, выполнить его код локально. Таким образом, машина “перезаражается” удаленно. Этот метод заражения нередко применяют вирусописатели, используя уже зараженные системы для распространения новых вирусов. “Творения” вирусописателей становятся все более эффективными в плане способности заражения, отмечают специалисты антивирусной компании Panda Software. Однако DoomJuice распространяется не так быстро, как MyDoom.DoomJuice.A выполняет на компьютерах следующие действия:
- для того чтобы убедиться, что он запущен, червь создает следующую запись в реестре Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Gremlin" intrenat.exe;
- создает свою копию в папке System под именем intrenat.exe (36864 Б);
- создает файл sync-src-1.00.tbz (28569 Б) в папках Windows, Temp, System, а также на диске C. Этот файл является сжатым и содержит исходный код MyDoom.A;
- отправляет запросы на сайт Microsoft, пытаясь организовать DDoS-атаку, как это делали MyDoom.A и MyDoom.B.
Некоторые эксперты полагают, что, поскольку новый червь передается непосредственно от компьютера к компьютеру, его нельзя считать вариантом MyDoom. Однако многие компании, включая Microsoft, уже присвоили ему имя MyDoom С. В Microsoft заявляют, что, несмотря на атаки, корпоративный сайт функционирует в обычном режиме. Однако многие эксперты по сетевой безопасности отмечают, что на прошедших выходных сайт корпорации работал медленнее обычного и периодически не открывался.
Как рассказала CNews.ru Светлана Новикова из «Лаборатории Касперского», DoomJuice - не первый червь, который использует для своего размножения порт 3127, открытый вирусом MyDoom. Первым был Vesser (он же Deadhat), обнаруженный в прошедшие выходные. Сейчас эти два червя одновременно атакуют порты 3127, и, по данным Sans.org, число зараженных машин оценивается более чем в 30 тыс., что в пересчете на реальные цифры всего интернета может составить более 100 тыс. машин. Сколько из них заражены DoomJuice, а сколько – его «собратом» Vesser, трудно установить, однако рост активности начался только с появлением DoomJuice.
По мнению антивирусных экспертов “Лаборатории Касперского”, анализ DoomJuice позволяет с большой долей вероятности предположить, что червь написан тем же автором что и нашумевший MyDoom. Кроме того, инсталлируя на зараженные компьютеры исходные тексты MyDoom, DoomJuice делает невозможной поимку автора нашумевшего недавно вредоносного кода: теперь любой обвиненный в создании червя MyDoom на основании обнаружения на компьютере исходных текстов сможет заявить что они были установлены именно червем DoomJuice.
Источник: собственная информация CNews.ru c использованием материалов Panda Software, "Лаборатории Касперского" и Reuters©.
Короткая ссылка
