12.02.2004 "Лаборатория Касперского" сообщает об обнаружении нового опасного интернет-червя Doomjuice
Обнаруженный вредоносный код на настоящий момент успел заразить более 100 тыс. компьютеров по всему миру, и темпы его распространения продолжают нарастать. По сведениям специалистов "Лаборатории Касперского", Doomjuice написан автором вируса Mydoom, и предназначен для сокрытия обличающих его улик. Помимо этого, новый интернет-червь позволяет организовать масштабную атаку на веб-сайт компании Microsoft. Для осуществления этих целей используются компьютеры, зараженные Mydoom.A. Интенсивный рост числа зараженных Doomjuice пользовательских машин объясняется механизмом саморазмножения червя. Он распространяется по глобальным сетям, используя компьютеры, уже зараженные одной из версий червя I-Worm.Mydoom. Проникновение в компьютер производится через порт TCP 3127, открываемый троянской компонентой Mydoom для приема удаленных команд. Если зараженный компьютер отвечает на запрос червя, то Doomjuice создает соединение и пересылает свою копию. В свою очередь, установленная Mydoom троянская программа принимает данный файл и запускает его на исполнение. Запустившись, червь копирует себя в системный каталог Windows с именем "INTRENAT.EXE", и регистрирует данный файл в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера. Затем Doomjuice начинает выполнение основной функции, заложенной его автором. Он извлекает из себя файл SYNC-SRC-1.00.TBZ и копирует его в корневой каталог, каталог Windows, системный каталог Windows, а также в пользовательские каталоги Documents and Settings. Данный файл представляет собой архив TAR, содержащий полный исходный код Worm.Mydoom.A. Цель описанной процедуры - распространить оригиналы Mydoom.a на как можно большее число компьютеров. Кроме того, в Doomjuice встроена функция DoS-атаки на сайт www.microsoft.com. До 12 февраля 2004 года она реализуется в "легком" режиме: червь отсылает на 80 порт данного сайта один запрос GET, повторяя его через произвольное время. Однако, начиная с указанной даты, DoS-атака начнется в полную мощь, без перерывов |