Nachi.B - это новая версия печально известного вредоносного кода, появившегося в августе 2003 года. Как и его предшественник, червь пытается внушить, что он выполняет своего рода благородную миссию, очищая компьютеры от других вирусов. Несмотря на то, что Nachi.B удаляет Mydoom.A и Mydoom.B с зараженных компьютеров, пользователи за это платят высокую цену, поскольку после этого червь начинает распространяться через следующие бреши Windows:
- RPC DCOM (MS03-26) buffer overflow
- IIS WebDav (MS03-07)
- Workstation Service Overflow (MS03-049)
Nachi.B распространяется непосредственно через Интернет, находя компьютеры с незащищенными портами TCP/IP 80, 135 и 445. После обнаружения жертвы червь начинает атаку, загружая свою копию на компьютер под именем WskPatch.exe. Этот файл запускается автоматически и создает другой файл - Svchost.exe, который также содержит копию кода Nachi.B.
Если компьютер заражен одним из червей Mydoom, Nachi.B удаляет все файлы, связанные с этими червями, а также записи, внесенные ими в реестр Windows.
DoomHunter.A создан с еще более альтруистическими мотивами: он удаляет не только Mydoom.A и Mydoom.B, но также Blaster и Doomjuice.
DoomHunter.A попадает на компьютеры через лазейки, оставленные Mydoom, и создает файл worm.exe. При обнаружении какого-либо из перечисленных выше червей, он удаляет все его следы. Кроме того, червь открывает и просматривает порт TCP 3127. Если ему не удается открыть его сразу, он продолжает попытки каждые 5 секунд. При обнаружении активности он отправляет свою копию на удаленный компьютер, пытающийся получить доступ через данный порт.
Deadhat.B - это усовершенствованная версия вируса, впервые появившегося несколько дней назад. При распространении он попадает на компьютеры непосредственно через Интернет, используя лазейки, созданные Mydoom.A и Mydoom.B. Также он способен распространяться, используя программу обмена файлами SoulSeek.
После попадания на компьютер Deadhat.B создает свою копию в файле msgsvr32.exe, а также несколько файлов с различными именами в общей папке SoulSeek.
После этого он завершает все процессы Mydoom.A и Mydoom.B, а также процессы, принадлежащие различным приложениям, включая некоторые антивирусы и программы безопасности. Также он создает новую запись в реестре Window для обеспечения своего запуска при каждой загрузке системы.
В определенных обстоятельствах Deadhat.B способен удалять некоторые важные системные файлы, а также соединяется с каналом IRC, ожидая команд от своего автора.
Наконец, Mitglieder.A также попадает в системы через лазейки, оставленные червями Mydoom, копируя себя в систему под именем system.exe. Он завершает процессы определенных приложений и создает запись в Реестре Windows для обеспечения своего сохранения на компьютере.
Беларусь обвинила Литву в атаках на Минск с помощью дронов, но Литва продолжает это отрицать
Представитель отдела стратегической коммуникации литовской армии майор Гинтаутас Цюнис сообщил, что атака литовский дронов на территорию Беларуси - это на все 99% случаев дезинформация.
Skoda продемонстрировала суперкар для Gran Turismo
Skoda представила виртуальный суперкар для видеоигры Gran Turismo, названный Skoda Vision Gran Turismo. Этот одноместный суперкар с футуристичным дизайном вдохновлён гоночным автомобилем 1100 OHC Spider 1957 года.
Врач Белоусова: антибиотики действуют на бактерии, а не на вирусы
Врач Анна Белоусова прокомментировала запрет врачам выписывать антибиотики при ОРВИ.
Врач Агапкин рассказал, что зеленый кофе не помогает в похудении
Врач-реабилитолог Сергей Агапкин в передаче "О самом главном" опроверг миф о зелёном кофе как средстве для похудения.