Обнаружен новый опасный интернет-червь "Doomjuice". Зарегистрированный экспертами "Лабаратории Касперского", вредоносный код на настоящий момент успел заразить более 100 000 компьютеров по всему миру, и темпы его распространения продолжают нарастать.
По сведениям специалистов, "Doomjuice" написан автором наиболее разрушительного вируса современности, "Mydoom", и предназначен для сокрытия обличающих его улик. Помимо этого, новый интернет-червь позволяет организовать масштабную атаку на Web-сайт компании Microsoft. Для осуществления этих целей используются компьютеры, зараженные "Mydoom.a".
Интенсивный рост числа зараженных "Doomjuice" пользовательских машин объясняется механизмом саморазмножения червя. Он распространяется по глобальным сетям, используя для размножения компьютеры, уже зараженные одной из версий червя "I-Worm.Mydoom". Проникновение в компьютер производится через порт TCP 3127, открываемый троянской компонентой для приема удаленных команд.
Если зараженный компьютер отвечает на запрос червя, то "Doomjuice" создает соединение и пересылает туда свою копию. В свою очередь, установленная "Mydoom" троянская программа принимает данный файл и запускает его на исполнение. Запустившись, червь копирует себя в системный каталог Windows с именем "INTRENAT.EXE", и регистрирует данный файл в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера.
Затем "Doomjuice" начинает выполнение основной функции, заложенной его автором. Он извлекает из себя файл с именем "SYNC-SRC-1.00.TBZ" и копирует его в корневой каталог, каталог Windows, системный каталог Windows, а также в пользовательские каталоги Documents and Settings. Данный файл представляет собой архив TAR, содержащий полные исходные тексты "I-Worm.Mydoom.a".
Цель этого действия - распространить оригиналы "Mydoom.a" на как можно большее число компьютеров для невозможности определения конкретного создателя самого опасного вируса современности. Ведь в случае, когда исходные образцы кода "Mydoom.a" размещены на жестких дисках десятков тысяч компьютеров по всему миру, доказать авторство определенного лица становится фактически невозможно.
Кроме того, в "Doomjuice" встроена функция DoS-атаки на сайт "Microsoft". До 12 февраля 2004 года она реализуется в "легком" режиме: червь отсылает на 80 порт данного сайта один запрос "GET", повторяя его через произвольное время. Однако, начиная с последующего дня, DoS-атака начнет работу на полную мощь, без перерывов.
Учитывая огромный массив зараженных "Mydoom" компьютеров, дальнейшее распространение "Doomjuice" способно создать реальную угрозу бесперебойному функционированию интернет-ресурса ведущего производителя программного обеспечения.
«Помимо стремления запутать следствие в отношении выявления лиц, причастных к созданию "Mydoom", массовое распространение оригинальных текстов вируса может привести к возникновению мощной волны новых версий этого зловредного кода.
Располагая исходником "Mydoom.a", любой знакомый с принципами программирования человек сможет создать клон этого вируса. Поэтому вполне возможно, что в ближайшее время интернет ожидает массированная бомбардировка репликантами "Mydoom", сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".
Алекс Щепилов, пресс-служба TLTnews.ru
|