Mihaluch
13.02.2004, 19:48
Червь Doomjuice заметает следы
"Лаборатория Касперского" сообщила об обнаружении нового опасного интернет-червя "Doomjuice". Обнаруженный экспертами компании 9 февраля 2004 года вредоносный код на настоящий момент успел заразить более 100 000 компьютеров по всему миру, и темпы его распространения продолжают нарастать. По сведениям специалистов "Лаборатории Касперского", "Doomjuice" написан автором наиболее разрушительного вируса современности - "Mydoom", - и предназначен для сокрытия обличающих его улик. Помимо этого, новый интернет-червь позволяет организовать масштабную атаку на веб-сайт компании Microsoft. Для осуществления этих целей используются компьютеры, зараженные "Mydoom.a". Проникновение в компьютер производится через порт TCP 3127, открываемый троянской компонентой "Mydoom" для приема удаленных команд. Если зараженный компьютер отвечает на запрос червя, то "Doomjuice" создает соединение и пересылает свою копию. В свою очередь, установленная "Mydoom" троянская программа принимает данный файл и запускает его на исполнение.
Запустившись, червь копирует себя в системный каталог Windows с именем "INTRENAT.EXE", и регистрирует данный файл в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера. Затем "Doomjuice" начинает выполнение основной функции, заложенной его автором. Он извлекает из себя файл с именем "SYNC-SRC-1.00.TBZ" и копирует его в корневой каталог, каталог Windows, системный каталог Windows, а также в пользовательские каталоги Documents and Settings. Данный файл представляет собой архив TAR, содержащий полный исходный код '"-Worm.Mydoom.a".
Цель описанной процедуры - распространить оригиналы "Mydoom.a" на как можно большее число компьютеров. Благодаря этому станет невозможно определить конкретного создателя самого опасного вируса современности. Ведь в случае, когда исходные образцы кода "Mydoom.a" размещены на жестких дисках десятков тысяч компьютеров по всему миру, доказать авторство определенного лица становится фактически невозможно.
Вслед за появлением интернет-червя «Doomjuice», появилась его новая версия — «Doomjuice.b». Принцип распространения данной вредоносной программы — тот же, что использовался ее предшественником, но функциональное предназначение «Doomjuice.b» сосредоточено исключительно на DoS-атаке веб-сайта компании Microsoft. Скопировав себя при запуске в системный каталог Windows под именем «REGEDIT.EXE», и зарегистрировав данный файл в ключе автозапуска системного реестра, червь проверяет системную дату. В случае, если текущая дата находится в промежутке между 8 и 12 числом месяца, — функция DoS-атаки не запускается. Также червь не производит DoS-атаку в январе.
Ситуация усугубляется тем, что в Windows нашлись «дырки», дающие хакерам доступ к персональным данным пользователя. Специалисты Microsoft разработали специальные «заплатки» для закрытия брешей в своей операционной системе (ОС). Ущерб от потенциального нарушения компьютерной защиты может быть очень серьёзным: злоумышленники могут копировать и уничтожать файлы, а также следить за тем, что вообще делает пользователь. В ежемесячном бюллетене, посвященном компьютерной безопасности, Microsoft сообщает, что проблема касается операционных систем NT, 2000, XP и Server 2003. Как и во многих других случаях, нарушение безопасности компьютеров, работающих с этим программным обеспечением, оценивается как критическое. Компания eEye Digital Security обнаружила проблему еще полгода назад, - сообщает Газета.ru, - однако руководство Microsoft убедило экспертов не сообщать об этом – с тем чтобы позволить производителям изготовить программу защиты. На сайте Microsoft его предлагают скачать бесплатно
[hr:dcb2c63105][hr:dcb2c63105]
"Лаборатория Касперского" сообщила об обнаружении нового опасного интернет-червя "Doomjuice". Обнаруженный экспертами компании 9 февраля 2004 года вредоносный код на настоящий момент успел заразить более 100 000 компьютеров по всему миру, и темпы его распространения продолжают нарастать. По сведениям специалистов "Лаборатории Касперского", "Doomjuice" написан автором наиболее разрушительного вируса современности - "Mydoom", - и предназначен для сокрытия обличающих его улик. Помимо этого, новый интернет-червь позволяет организовать масштабную атаку на веб-сайт компании Microsoft. Для осуществления этих целей используются компьютеры, зараженные "Mydoom.a". Проникновение в компьютер производится через порт TCP 3127, открываемый троянской компонентой "Mydoom" для приема удаленных команд. Если зараженный компьютер отвечает на запрос червя, то "Doomjuice" создает соединение и пересылает свою копию. В свою очередь, установленная "Mydoom" троянская программа принимает данный файл и запускает его на исполнение.
Запустившись, червь копирует себя в системный каталог Windows с именем "INTRENAT.EXE", и регистрирует данный файл в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера. Затем "Doomjuice" начинает выполнение основной функции, заложенной его автором. Он извлекает из себя файл с именем "SYNC-SRC-1.00.TBZ" и копирует его в корневой каталог, каталог Windows, системный каталог Windows, а также в пользовательские каталоги Documents and Settings. Данный файл представляет собой архив TAR, содержащий полный исходный код '"-Worm.Mydoom.a".
Цель описанной процедуры - распространить оригиналы "Mydoom.a" на как можно большее число компьютеров. Благодаря этому станет невозможно определить конкретного создателя самого опасного вируса современности. Ведь в случае, когда исходные образцы кода "Mydoom.a" размещены на жестких дисках десятков тысяч компьютеров по всему миру, доказать авторство определенного лица становится фактически невозможно.
Вслед за появлением интернет-червя «Doomjuice», появилась его новая версия — «Doomjuice.b». Принцип распространения данной вредоносной программы — тот же, что использовался ее предшественником, но функциональное предназначение «Doomjuice.b» сосредоточено исключительно на DoS-атаке веб-сайта компании Microsoft. Скопировав себя при запуске в системный каталог Windows под именем «REGEDIT.EXE», и зарегистрировав данный файл в ключе автозапуска системного реестра, червь проверяет системную дату. В случае, если текущая дата находится в промежутке между 8 и 12 числом месяца, — функция DoS-атаки не запускается. Также червь не производит DoS-атаку в январе.
Ситуация усугубляется тем, что в Windows нашлись «дырки», дающие хакерам доступ к персональным данным пользователя. Специалисты Microsoft разработали специальные «заплатки» для закрытия брешей в своей операционной системе (ОС). Ущерб от потенциального нарушения компьютерной защиты может быть очень серьёзным: злоумышленники могут копировать и уничтожать файлы, а также следить за тем, что вообще делает пользователь. В ежемесячном бюллетене, посвященном компьютерной безопасности, Microsoft сообщает, что проблема касается операционных систем NT, 2000, XP и Server 2003. Как и во многих других случаях, нарушение безопасности компьютеров, работающих с этим программным обеспечением, оценивается как критическое. Компания eEye Digital Security обнаружила проблему еще полгода назад, - сообщает Газета.ru, - однако руководство Microsoft убедило экспертов не сообщать об этом – с тем чтобы позволить производителям изготовить программу защиты. На сайте Microsoft его предлагают скачать бесплатно
[hr:dcb2c63105][hr:dcb2c63105]