Вирусная тревога: червь W32/Mydoom.A

Мадрид - Екатеринбург, 27.01.2004 - Новый червь W32/Mydoom.A распространяется такими темпами, что уже достиг статуса вирусной тревоги по классификации Вирусной лаборатории PandaLab. Зарегистрированы тысячи инцидентов во множестве стран. Способность Mydoom.A к быстрому распространению и уровень повреждений делают его таким же серьезным, как всем известные Bugbear и Blaster.

Mydoom.A рассылает себя по всем адресам, обнаруженным на зараженном компьютере. По мере того, как начинается рабочий день в различных странах и включаются компьютеры на рабочих местах, уровень распространения вируса растет.

Mydoom.A распространяется по электронной почте в сообщении с прикрепленным файлом. Подобно другим вирусным эпидемиям, технология социального инжиниринга заставляет пользователей думать, что они должны открыть файл. Далее вирус не только заражает компьютер, на который пришло это письмо, но и рассылает себя по всем контактам, хранящимся в адресной книге.

К тому же, он открывает TCP порт 3127 и позволяет получить удаленный контроль за зараженной машиной. Следовательно, любой хакер может получить доступ и украсть, модифицировать или уничтожить всю информацию, хранящуюся на этом компьютере.

Кроме того, этот вирус готов инициировать DoS атаку (отказ от обслуживания) против web сайта www.sco.com 1 февраля этого года.

W32/Mydoom.A ищет электронные адреса в файлах со следующими расширениями: .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt. Для рассылки он использует собственный SMTP механизм.

Содержание письма меняется и может состоять из следующих предложений:

Тема: test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error

Тело письма: Mail Transaction Failed. Partial message is available. The message contains Unicode characters and has been sent as a binary attachment. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Прикрепленный файл: document readme doc text file data test message body

Расширение файла: .pif .scr .exe .cmd .bat .zip На зараженном компьютере вирус ищет сеть обмена файлами KaZaa. Если он находит её, файл копируется в публичную папку, что позволяет ему распространяться через систему KaZaa. Имя файла может быть одним из следующих:

winamp5 icq2004-final activation_crack strip-girl-2.0bdcom_patches rootkitXP office_crack nuke2004 Расширения: PIF, .SCR o .BAT

Подробная техническая информация о черве добавлена в Вирусную энциклопедию компании Panda Software.

В связи с угрозой заражения червем W32/Mydoom.A компания Panda Software настоятельно советует всем пользователям немедленно обновить свои антивирусные программы, установить межсетевой экран и внимательно относиться ко всей получаемой электронной корреспонденции. Соответствующие обновления уже добавлены в антивирусные базы программ компании Panda Software. Те клиенты, чьи антивирусы не настроены на автоматические обновления, могут скачать их с сайта компании http://www.pandasoftware.com/.

Кроме того, любой пользователь может проверить свой компьютер на наличие W32/Mydoom.A и других вредоносных кодов с помощью бесплатного онлайнового антивируса Panda ActiveScan, переведенного на русский язык. Русский Panda ActiveScan доступен на web сайте http://www.viruslab.ru.

О Вирусной лаборатории PandaLabs

Получив подозрительный файл, технический персонал Panda Software немедленно приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

Опубликовано: 27 января 2004 г.

Ключевые слова: нет

Извините, комментариев пока нет