РЕГИСТРАЦИЯ  |  НОВОСТИ  |  ОБРАТНАЯ СВЯЗЬКАК ПИСАТЬ ПРЕСС РЕЛИЗ?  |  ПРИМЕР ПРЕСС-РЕЛИЗА
“...Скромность - самый верный путь к забвению!”
     
Добавить пресс-релиз
Банки, финансы, ценные бумагиРейтинги, конкурсы, юбилеиВыставки, cеминары, конференции
ПерсоныГосударство, общество, правоОбразование, обучениеИсследования, технологии
ИнтернетКомпьютеры и оборудованиеСистемная интеграцияПрограммное обеспепчениеДругие IT
ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
Мода, красота, стильМедицина и фармацевтикаКультура, искусство, киноЛитература, издательстваБлаготворительностьТВ, периодика, другие СМИСпорт
СтрахованиеРозничная торговля и дистрибуцияГостиничный бизнес, недвижимостьТуризм, путешествияЛогистика, почтовые услугиКонсалтинг, аудитРеклама и PRМероприятия, вечеринки, развлеченияДругие услуги

Новая волна червей, использующих последствия эпидемии Mydoom

Panda Software Russia 		      13-02-2004
 

Мадрид - Екатеринбург, 13.02.2004 - Вирусная лаборатория PandaLabs зарегистрировала появление новых червей, связанных с эпидемиями червей Mydoom: Nachi.B (W32/Nachi.B.worm), DoomHunter.A (W32/DoomHunter.A.worm), Deadhat.B (W32/Deadhat.B.worm) и Mitglieder.A (W32/Mitglieder.A.worm).

✐  место для Вашей рекламы

Nachi.B – это новая версия печально известного вредоносного кода, появившегося в августе 2003 года. Как и его предшественник, червь пытается внушить, что он выполняет своего рода благородную миссию, очищая компьютеры от других вирусов. Несмотря на то, что Nachi.B удаляет Mydoom.A и Mydoom.B с зараженных компьютеров, пользователи за это платят высокую цену, поскольку после этого червь начинает распространяться через следующие бреши Windows:

- RPC DCOM (MS03-26) buffer ove- rflow - IIS WebDav (MS03-07) - Workstation Service Overflow (MS03-049)

Nachi.B распространяется непосредственно через Интернет, находя компьютеры с незащищенными портами TCP/IP 80, 135 и 445. После обнаружения жертвы червь начинает атаку, загружая свою копию на компьютер под именем WskPatch.exe. Этот файл запускается автоматически и создает другой файл - Svchost.exe, который также содержит копию кода Nachi.B.

Если компьютер заражен одним из червей Mydoom, Nachi.B удаляет все файлы, связанные с этими червями, а также записи, внесенные ими в реестр Windows.

DoomHunter.A создан с еще более альтруистическими мотивами: он удаляет не только Mydoom.A и Mydoom.B, но также Blaster и Doomjuice.

DoomHunter.A попадает на компьютеры через лазейки, оставленные Mydoom, и создает файл worm.exe. При обнаружении какого-либо из перечисленных выше червей, он удаляет все его следы. Кроме того, червь открывает и просматривает порт TCP 3127. Если ему не удается открыть его сразу, он продолжает попытки каждые 5 секунд. При обнаружении активности он отправляет свою копию на удаленный компьютер, пытающийся получить доступ через данный порт.

Deadhat.B – это усовершенствованная версия вируса, впервые появившегося несколько дней назад. При распространении он попадает на компьютеры непосредственно через Интернет, используя лазейки, созданные Mydoom.A и Mydoom.B. Также он способен распространяться, используя программу обмена файлами SoulSeek. После попадания на компьютер Deadhat.B создает свою копию в файле msgsvr32.exe, а также несколько файлов с различными именами в общей папке SoulSeek.

После этого он завершает все процессы Mydoom.A и Mydoom.B, а также процессы, принадлежащие различным приложениям, включая некоторые антивирусы и программы безопасности. Также он создает новую запись в реестре Window для обеспечения своего запуска при каждой загрузке системы.

В определенных обстоятельствах Deadhat.B способен удалять некоторые важные системные файлы, а также соединяется с каналом IRC, ожидая команд от своего автора.

Наконец, Mitglieder.A также попадает в системы через лазейки, оставленные червями Mydoom, копируя себя в систему под именем system.exe. Он завершает процессы определенных приложений и создает запись в Реестре Windows для обеспечения своего сохранения на компьютере.

Из-за уже зарегистрированных случаев заражений Nachi.B, DoomHunter.A, Deadhat.B и Mitglieder.A Panda Software советует пользователям быть предельно внимательными и немедленно обновить свои антивирусы. Компания оперативно выпустила обновления для своих продуктов, позволяющие им обнаруживать и уничтожать Doomjuice.В. Те пользователи, чьи продукты не настроены на автоматическое обновление, могут обновить их на сайте http://www.pandasoftware.com/. Пользователи могут также обнаруживать этот и другие вредоносные коды при помощи бесплатного онлайнового антивируса Panda ActiveScan, расположенного на веб сайте компании: http://www.pandasoftware.com.

Подробную информацию о Nachi.B, DoomHunter.A, DeadHat.B и Mitglieder.A, а также других вирусах Вы найдете в Вирусной Энциклопедии Panda Software: http://www.pandasoftware.com/virus_info/encyclopedia/.

О Вирусной лаборатории PandaLabs

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

Опубликовано: 13 февраля 2004 г.

Ключевые слова: нет

 

 

Извините, комментариев пока нет
1999-2024 PressRoom. Материалы на сайте предназначаются для широкого распространения,
однако, при перепечатке пресс-релизов ссылка на pressroom.ru весьма желательна!