SzukajSzukaj
dołącz do nas Facebook Google Linkedin Twitter

Inwazja klonów wirusa MyDoom

W ciągu ostatnich kilku godzin pojawiły się aż cztery kolejne wirusy nawiązujące do epidemii Mydooma

W ciągu ostatnich kilku godzin pojawiły się aż cztery kolejne wirusy nawiązujące do epidemii Mydooma: Nachi.B (W32/Nachi.B.worm), DoomHunter.A (W32/DoomHunter.A.worm), Deadhat.B (W32/Deadhat.B.worm) oraz Mitglieder.A (W32/Mitglieder.A.worm). Nachi.B jest nowym wariantem robaka, który po raz pierwszy został wykryty w sierpniu 2003 - informuje Interia.pl.

Jego poprzednik usuwał z komputera robaka W32/Blaster, Nachi.B usuwa Mydooma. Rozprzestrzeniając się wykorzystuje następujące luki w zabezpieczeniach systemu Windows:

- RPC DCOM (MS03-26) buffer overflow
- IIS WebDav (MS03-07)
- Workstation Service Overflow (MS03-049)
Nachi.B rozprzestrzenia się samodzielnie przez Internet dostając się na komputery o otwartych portach TCP/IP o numerach 80, 135 i 445. Zapisuje się na komputerze pod nazwą WskPatch.exe. Uruchamia się automatycznie i tworzy plik Svchost.exe, również z kodem robaka Nachi.B.

Robak usuwa z komputera wszystkie pliki i klucze w Rejestrze Systemowym utworzone przez dowolną odmian Mydooma.

DoomHunter.A jak może się wydawać, powstał z pobudek altruistycznych, ponieważ usuwa nie tylko Mydoom.A .B, ale także Blastera i dwie odmiany Doomjuice. DoomHunter.A dostaje się na komputery przy użyciu "tylnej furtki" zakładanej na komputerach zarażonych Mydoomem. Tworzy na komputerze plik worm.exe, a następnie kasuje pliki i wpisy Mydooma. Zostawia jednak otwarty port TCP o numerze 3127 (ten, przez który wchodzi) i stara się rozprzestrzeniać na inne komputery za jego pośrednictwem.

Deadhat.B jest udoskonaloną wersją wirusa, który pojawił się kilka dni temu. Dostaje się na komputery zainfekowane robakiem Mydoom.A i .B. Wykorzystuje także program do internetowej wymiany plików SoulSeek.

Po wejściu, Deadhat.B torzy plik msgsvr32.exe, a także zapisuje się w folderach udostępnianych użytkownikom SoulSeek.

Następnie deaktywuje procesy uruchamiane przez Mydooma.A i .B, ale także, co jest bardzo niebezpieczne, programy zabezpieczające (antywirusy i osobiste firewalle). Modyfikuje także Rejestr, by móc uruchamiać się automatycznie przy każdym starcie systemu Windows.

Deadhat.B może także kasować pliki systemowe i przyjmować polecenia od hakerów za pośrednictwem kanału IRC. Mitglieder.A instaluje się na komputerze w ten sam sposób, jak DoomHunter i DeadHat. Tworzy plik system.exe. Zatrzymuje dodatkowo pracę wielu programów i stara się uniemożliwić usunięcie z systemu.
Newsletter WirtualneMedia.pl w Twojej skrzynce mailowej

Dołącz do dyskusji: Inwazja klonów wirusa MyDoom

0 komentarze
Publikowane komentarze są prywatnymi opiniami użytkowników portalu. Wirtualnemedia.pl nie ponosi odpowiedzialności za treść opinii. Jeżeli którykolwiek z postów na forum łamie dobre obyczaje, zawiadom nas o tym redakcja@wirtualnemedia.pl