Windows атакуют новые интернет-черви

Вирусная лаборатория PandaLabs сообщила Newsinfo характеристики новых червей, связанных с эпидемиями червей Mydoom: Nachi.B (W32/Nachi.B.worm), DoomHunter.A (W32/DoomHunter.A.worm), Deadhat.B (W32/Deadhat.B.worm) и Mitglieder.A (W32/Mitglieder.A.worm).

Nachi.B - это новая версия печально известного вредоносного кода, появившегося в августе 2003 года. Как и его предшественник, червь пытается внушить, что он выполняет своего рода благородную миссию, очищая компьютеры от других вирусов. Несмотря на то, что Nachi.B удаляет Mydoom.A и Mydoom.B с зараженных компьютеров, пользователи за это платят высокую цену, поскольку после этого червь начинает распространяться через следующие бреши Windows:

- RPC DCOM (MS03-26) buffer overflow

- IIS WebDav (MS03-07)

- Workstation Service Overflow (MS03-049)

Nachi.B распространяется непосредственно через Интернет, находя компьютеры с незащищенными портами TCP/IP 80, 135 и 445. После обнаружения жертвы червь начинает атаку, загружая свою копию на компьютер под именем WskPatch.exe. Этот файл запускается автоматически и создает другой файл - Svchost.exe, который также содержит копию кода Nachi.B.

Если компьютер заражен одним из червей Mydoom, Nachi.B удаляет все файлы, связанные с этими червями, а также записи, внесенные ими в реестр Windows.

DoomHunter.A создан с еще более альтруистическими мотивами: он удаляет не только Mydoom.A и Mydoom.B, но также Blaster и Doomjuice.

DoomHunter.A попадает на компьютеры через лазейки, оставленные Mydoom, и создает файл worm.exe. При обнаружении какого-либо из перечисленных выше червей, он удаляет все его следы. Кроме того, червь открывает и просматривает порт TCP 3127. Если ему не удается открыть его сразу, он продолжает попытки каждые 5 секунд. При обнаружении активности он отправляет свою копию на удаленный компьютер, пытающийся получить доступ через данный порт.

Deadhat.B - это усовершенствованная версия вируса, впервые появившегося несколько дней назад. При распространении он попадает на компьютеры непосредственно через Интернет, используя лазейки, созданные Mydoom.A и Mydoom.B. Также он способен распространяться, используя программу обмена файлами SoulSeek.

После попадания на компьютер Deadhat.B создает свою копию в файле msgsvr32.exe, а также несколько файлов с различными именами в общей папке SoulSeek.

После этого он завершает все процессы Mydoom.A и Mydoom.B, а также процессы, принадлежащие различным приложениям, включая некоторые антивирусы и программы безопасности. Также он создает новую запись в реестре Window для обеспечения своего запуска при каждой загрузке системы.

В определенных обстоятельствах Deadhat.B способен удалять некоторые важные системные файлы, а также соединяется с каналом IRC, ожидая команд от своего автора.

Наконец, Mitglieder.A также попадает в системы через лазейки, оставленные червями Mydoom, копируя себя в систему под именем system.exe. Он завершает процессы определенных приложений и создает запись в Реестре Windows для обеспечения своего сохранения на компьютере.