Вирус "Doomjuice" заметает следы и угрожает Microsoft

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового опасного интернет-червя "Doomjuice".

Обнаруженный экспертами компании 9 февраля 2004 года вредоносный код на настоящий момент успел заразить более 100 000 компьютеров по всему миру, и темпы его распространения продолжают нарастать. По сведениям специалистов "Лаборатории Касперского", "Doomjuice" написан автором наиболее разрушительного вируса современности - "Mydoom", - и предназначен для сокрытия обличающих его улик. Помимо этого, новый интернет-червь позволяет организовать масштабную атаку на веб-сайт компании Microsoft. Для осуществления этих целей используются компьютеры, зараженные "Mydoom.a".

Вирус распространяется по глобальным сетям, используя компьютеры, уже зараженные одной из версий червя "I-Worm.Mydoom". Проникновение в компьютер производится через порт TCP 3127, открываемый троянской компонентой "Mydoom" для приема удаленных команд. Если зараженный компьютер отвечает на запрос червя, то "Doomjuice" создает соединение и пересылает свою копию. В свою очередь, установленная "Mydoom" троянская программа принимает данный файл и запускает его на исполнение.

Запустившись, червь копирует себя в системный каталог Windows с именем "INTRENAT.EXE", и регистрирует данный файл в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера. Затем "Doomjuice" начинает выполнение основной функции, заложенной его автором. Он извлекает из себя файл с именем "SYNC-SRC-1.00.TBZ" и копирует его в корневой каталог, каталог Windows, системный каталог Windows, а также в пользовательские каталоги Documents and Settings. Данный файл представляет собой архив TAR, содержащий полный исходный код '"-Worm.Mydoom.a".

В "Doomjuice" встроена функция DoS-атаки на сайт www.microsoft.com. До 12 февраля 2004 года она реализуется в "легком" режиме: червь отсылает на 80 порт данного сайта один запрос GET, повторяя его через произвольное время. Однако, начиная с указанной даты, DoS-атака начнется в полную мощь, без перерывов. Учитывая огромный массив зараженных "Mydoom" компьютеров, дальнейшее распространение "Doomjuice" способно создать реальную угрозу бесперебойному функционированию интернет-ресурса ведущего производителя программного обеспечения.