Doomjuice.A: третий из семейства Mydoom?

Panda Software Russia

10-02-2004

Вернуться на:
стр.360 категории "Программное обеспепчение"

В отличие от других вирусов, пользователь не может увидеть его в электронной почте.

✐ место для Вашей рекламы

Мадрид - Екатеринбург, 10.02.2004 - Все свидетельствует о том, что атаки нашумевшего Mydoom не закончатся 12 февраля, в день, когда этот червь должен был прекратить распространение: на фоне спада активности Mydoom.A появился новый червь, использующий результаты деятельности своего предшественника - Doomjuice.A. Вполне вероятно, что новый вредоносный код был написан тем же автором. Нового червя невозможно обнаружить даже в электронной почте, поскольку он использует порты, открытые Mydoom.A и Mydoom.B. Новый вирус ведет себя так же, как SQLSlammer, эксплуатировавший бреши серверов т.е. это сетевой червь, использующий открытые порты.

Doomjuice.A выполняет на компьютерах следующие действия:

- для того, чтобы убедиться, что он запущен, червь создает следующую запись в Реестре Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- "Gremlin" intrenat.exe;

- он создает свою копию в папке %system% под именем intrenat.exe (36,864 b);

- червь создает файл sync-src-1.00.tbz (28,569) в папках %Windows%, %Temp%, %System%, а также на диске C: Этот файл является сжатым и содержит исходный код Mydoom.A;

- инициирует отказы от обслуживания на сервере www.microsoft.com;

Судя по всему, Doomjuice.A был создан тем же человеком, что и Mydoom.A. Эксперты Panda Software в настоящее время изучают этот вредоносный код. Новая информация от Лаборатории PandaLabs по мере поступления будет публиковаться на веб сайтах компании http://www.pandasoftware.com и http://www.viruslab.ru

Из-за появления Doomjuice.A Panda Software советует пользователям быть предельно внимательными и немедленно обновить свои антивирусные продукты. Компания уже выпустила обновления для своих программ, позволяющие им обнаруживать и уничтожать Doomjuice.A. Те пользователи, чьи программы не настроены на автоматическое обновление, могут обновить их на сайте http://www.pandasoftware.com/. Пользователи могут также обнаруживать и обезвреживать этот и другие вредоносные коды при помощи бесплатного онлайнового антивируса Panda ActiveScan, расположенного на веб сайте компании: http://www.viruslab.ru.

Подробную информацию о Doomjuice.A, Mydoom.A.worm, Mydoom.B.worm и других вредоносных кодах можно получить в Вирусной Энциклопедии Panda Software: http://www.pandasoftware.com/virus_info/encyclopedia/.

О Вирусной лаборатории PandaLabs

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

Опубликовано: 10 февраля 2004 г.

Ключевые слова: нет

Извините, комментариев пока нет